温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
00:00
接下来我们给大家讲解一下ES软件当中的eql操作。Eql的全名啊是。他表述了一种事件查询语言。为什么会有这么一个语言呢?其实主要是因为我们之前啊,我们存储的数据,其实它都是按照数据的内容做分词处理,然后呢,将这些我们分值后的数据呢,进行匹配查询,所以我们的数据之间是没有关系的。对吧,但是在某些我们的场景当中,我们需要把数据之间建立关系,把它查询出来,这个在我们生活当中也是比较常见的,对不对,那所以呢,我们的ES软件就提供了这样的一种处理机制,来实现这样的功能。数据和数据之间建立关系,但是我们如何给他建立关系呢?我们就要额外的添加事件的关联,比方说你是一个用户行为的时间,它是一个系统的业务时间,诶你们之间就区分开了,对不对?所以啊,我们需要添加这种额外的字段。
01:03
那么我们的eql有哪些优点呢?我们这里看一看,首先第一个eql可以让我们来表达事件之间的关系,我不说了吗?以前的数据之间呀,是没有什么关系的,那么现在呢,我们把它建立关系,那这样的话,我匹配的时候就可以按照它的关系来进行匹配,这样的话它的范围不就更广了吗,对不对?Eql的学习曲线是比较低的,它的难度并不大,它类似于我们的蛇。用起来也相对来说比较简单。Eql被设计用于安全用例,这就说明我们的eql可以通过数据之间的关联来找到对于我们系统的威胁,然后做出预警,这些都是完全可以的。
我来说两句