Prima di scoprire come automatizzare l’installazione e aggiornamento di LogOS con Dr.WOLF, vediamo in dettaglio di cosa si tratta. LogOS SIEM è una soluzione offerta da Seacom in ambito Security, che permette di raccogliere e visualizzare le informazioni utili al...
Elasticsearch 6.4.0 è l’ultima versione rilasciata del motore di ricerca, basato su Lucene 7.4.0 e già disponibile per l’implementazione. Abbiamo già parlato delle novità in arrivo con la nuova versione di Elastic Stack, ma adesso è arrivato il momento di analizzare in modo ancora più approfondito le tante modifiche e funzionalità della componente di base del pacchetto.
Sicurezza
FIPS 140-2
Elasticsearch 6.4.0 supporta da anni un certo numero di algoritmi di crittografi, tanto da essere pronto a compiere lo step successivo. Elasticsearch è adesso compatibile con JVM abilitata per FIPS 140-2. L’esecuzione del cluster Elasticsearch con la modalità FIPS 140-2 abilitata non è un requisito richiesto a tutti, ma nel caso ci trovassimo ad operare in ambiente regolamentato che lo richiede, l’implementazione di Elasticsearch adesso è sostanzialmente più semplice.
Impostazioni di sicurezza programmabili
Nelle versioni precedenti di Elasticsearch per aggiornare un’impostazione protetta memorizzata nel keystore Elasticsearch, era necessario riavviare un nodo per abilitare le nuove impostazioni. Da adesso i plugin Elasticsearch hanno invece la capacità di leggere le impostazioni aggiornate dal keystore.
Verifica della firma del plug-in
Con la versione di Elasticsearch 6.4.0 è possibile controllare automaticamente le firme dei plugin forniti da Elastic. Basterà quindi firmare i plugin durante l’installazione con una chiave GPG che verrà verificata durante il set up. Un plug-in che non supera questo controllo di integrità non verrà installato.
Supporto per token di sicurezza (STS) per EC2 e S3
AWS ha la possibilità di specificare credenziali temporanee utilizzando AWS Security Token Service (STS). STS consente invece di fornire una credenziale con un intervallo di tempo limitato. Il supporto per queste credenziali temporanee è ora disponibile per i plug-in S3 ed EC2 . La nuova opzione per utilizzare questa funzione è denominata session_token.
Ricerca e Aggregazioni
Alias di campo
Normalmente per effettuare modifiche sui JSON di origine di tutti i vecchi documenti basta sfruttare reindex API, Ma a volte è emersa la necessità di eseguire una query su un nuovo nome di campo che non è mai stato indicizzato, oppure usare un campo hostname più descrittivo, ma che non si trova nei vecchi dati. Adesso è possibile collegare nuovi e vecchi indici e far corrispondere le query con Elastic Stack 6.4.0 con il nuovo alias type
Analizzatore linguaggio coreano
Elastic Stack 6.4.0 ha introdotto un analizzatore completamente nuovo (“Nori”) per la lingua coreana, idioma molto complesso per certi aspetti. Utilizzando lo stesso dizionario mecab-ko-dic delle precedenti versioni, viene impiegata la compressione binaria che lo rende molto più leggero (solo 24 MB su disco da una dimensione iniziale di 219 MB) riuscendo ad essere 30 volte più veloce del popolare plugin per la comunità di Seunjeon per l’analisi del linguaggio coreana.
Nuove opzioni di elaborazione del testo
Come evidenziato da Nori, una delle priorità di Elasticsearch 6.4.0 è velocizzare i processi, e nella versione 6.4 è stata resa più rapida anche la ricerca di frasi. Adesso è infatti possibile utilizzare una nuova opzione index_phrases sui campi di testo, che indicizza automaticamente combinazioni di parole a due termini in un campo separato in modo che le ricerche di frasi possano essere eseguite in modo più efficiente.
Tra le nuove funzionalità di Elastic 6.4.0 ci sono anche:
• Aggregazione media ponderata che consente di specificare il peso di ciascun documento e calcolare la media in base a tali pesi e ai valori corrispondenti.
• Expected Reciprocal Rank (ERR) API di valutazione di rango, che supporta già DCG / nDCG, MRR e P @ k.
• Possibilità di comprimere su un secondo livello nella funzione di compressione del campo della ricerca
Client e SQL
La prima versione della funzionalità SQL era stata introdotta in Elastic 6.3.0, ed è proprio in questa applicazione nella versione 6.4.0 che sono stati fatti alcuni miglioramenti
• L’aggiunta di CHAR, UCASE, LCASE, SPACE, LENGTH e molte altre funzioni di manipolazione del testo.
• Ora è possibile utilizzare più campi in GROUP BY.
• Il driver JDBC ora è un singolo jar per semplificare l’installazione.
Java High Level REST Client
C’è ancora la possibilità di collegare il client REST ad alto livello Java, al quale sono state aggiunte alcune nuove API. Per gli sviluppatori Java che non hanno ancora effettuato il passaggio dal client di trasporto è arrivato il momento giusto per fare questo switch!
Registrazione X-Opaque-Id
Dopo l’aggiunta in Elasticsearch 6.2 del supporto per identificare e annullare le attività a livello di programmazione tramite un’intestazione X-Opaque-Id. Nella nuova versione Elasticsearch 6.4.0 si presenta ora il supporto per l’intestazione X-Opaque-Id da poter aggiungere ai registri di controllo. Adesso le operazioni possono essere quindi controllate con questo stesso valore di X-Opaque-Id.
Rollup
In Elasticsearch 6.3.0 era stata aggiunta la funzione sperimentale di rollup dei dati per consentire di archiviare le statistiche aggregate. La novità in Elasticsearch 6.4.0 riguardo a questa funzionalità è la possibilità di eseguire query su termini. In più adesso c’è modo di approfondire maggiormente i problemi legati alla generazione dell’ID interno per l’archiviazione di documenti e processi di rollup eseguiti in precedenza.
Credits: Shane Connelly