Kurzfassung
Der ELK-Stack bezeichnet die Kombination aus Elasticsearch, Logstash und Kibana — drei Open-Source-Tools, die zusammen eine vollständige Lösung für die Erfassung, Speicherung, Suche und Visualisierung von Log-Daten im großen Maßstab bieten.
Was ist der ELK-Stack?
Jede Komponente hat eine eigene Rolle: Logstash nimmt Log-Daten aus verschiedenen Quellen auf, parst und transformiert sie und leitet sie zur Speicherung an Elasticsearch weiter. Elasticsearch indiziert die Daten für schnelle Suche und Aggregation. Kibana stellt die Web-Oberfläche für Abfragen, Dashboards und Alerting bereit.
Der Stack wird häufig um Beats erweitert — leichte Daten-Shipper (Filebeat, Metricbeat, Packetbeat) —, die Logs und Metrics von einzelnen Hosts erfassen, ohne den vollen Logstash-Footprint zu benötigen. Diese Variante wird manchmal Elastic Stack oder BELK genannt.
ELK wird häufig im Security-Betrieb (SIEM-Anwendungsfälle), der Anwendungs-Log-Analyse und der Infrastrukturüberwachung eingesetzt. Elastic bietet verwaltetes Cloud-Hosting; bei selbstgehosteten Deployments ist eine sorgfältige Dimensionierung der Elasticsearch-Cluster für den Produktionsbetrieb erforderlich.
Warum ist der ELK-Stack relevant?
- Zentralisierung: Aggregiert Logs von Servern, Containern, Anwendungen und Netzwerkgeräten an einem Ort
- Volltextsuche: Elasticsearch macht die Suche in Milliarden von Log-Zeilen schnell und intuitiv
- Visualisierung: Kibana-Dashboards zeigen Trends und Anomalien ohne Programmieraufwand
- Erweiterbarkeit: Hunderte von Beats- und Logstash-Plugins decken nahezu jede Datenquelle ab