Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
减少噪音,增加信号:Elastic Defend 如何大幅降低事件数据量
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
Elastic Defend 8.18版本通过优化数据效率,显著减少了事件数据量,Linux减少68%,macOS减少57%,Windows减少48%。新功能包括合并短生命周期进程和网络连接事件,过滤冗余数据,确保保护水平不变。这些改进降低了存储成本,提升了用户体验。
🎯
关键要点
- Elastic Defend 8.18版本通过优化数据效率,显著减少了事件数据量,Linux减少68%,macOS减少57%,Windows减少48%。
- 新功能包括合并短生命周期进程和网络连接事件,过滤冗余数据,确保保护水平不变。
- 这些改进降低了存储成本,提升了用户体验。
- 在8.14版本中,默认不再报告Linux进程能力,8.15版本中移除了非进程事件的进程祖先信息。
- 8.18版本中,短生命周期进程的生命周期事件被合并为单个事件,网络连接事件也进行了合并。
- 不再默认计算MD5或SHA1哈希,仅包含SHA256哈希,以节省CPU周期和数据量。
❓
延伸问答
Elastic Defend 8.18版本的主要改进是什么?
Elastic Defend 8.18版本通过合并短生命周期进程和网络连接事件、过滤冗余数据,显著减少了事件数据量,Linux减少68%,macOS减少57%,Windows减少48%。
Elastic Defend 8.18版本如何影响存储成本?
通过减少事件数据量,Elastic Defend 8.18版本降低了存储成本,同时提升了用户体验。
Elastic Defend 8.18版本中不再计算哪些哈希?
在8.18版本中,不再默认计算MD5或SHA1哈希,仅包含SHA256哈希,以节省CPU周期和数据量。
Elastic Defend 8.18版本如何确保保护水平不变?
尽管减少了数据量,Elastic Defend 8.18版本的改进专注于数据效率,确保保护水平和可见性不变。
Elastic Defend 8.18版本的事件过滤功能有什么新特点?
新版本增加了进程后代事件过滤功能,可以过滤掉匹配进程的所有子进程事件,提升了数据处理效率。
Elastic Defend 8.18版本在不同操作系统上的数据量减少情况如何?
在8.18版本中,Linux的数据量减少了68%,macOS减少了57%,Windows减少了48%。
🏷️
标签
➡️
