Elasticsearch / ELK
Le moteur de recherche et la stack d'observabilité de référence : pour indexer ce que SQL ne couvre pas et centraliser ce que vos serveurs émettent.
Elasticsearch seul est un moteur d'indexation et de recherche full-text. Sa vraie valeur opérationnelle se révèle dans la stack ELK complète : Elasticsearch (indexation et requêtage) + Logstash ou Filebeat (collecte et transformation) + Kibana (visualisation, dashboards, alerting). Pour une PME, deux cas d'usage principaux où Elasticsearch joue un rôle différent : en recherche applicative, il sert d'index de lecture rapide à côté de votre base SQL transactionnelle ; en observabilité (logs, métriques, événements de sécurité), il devient le stockage primaire alimenté par les agents de collecte, avec Kibana comme interface unique de requêtage et de visualisation.
Mon opinion sur la stack ELK : c'est un investissement sérieux que je vous déploie quand vos besoins justifient une vraie stack d'indexation et d'observabilité.
Pour la recherche applicative, Elasticsearch vient en complément de votre PostgreSQL : SQL reste la source de vérité avec ses garanties transactionnelles et ses relations, Elasticsearch sert d'index optimisé pour les requêtes complexes (facettes, suggestions, agrégations en temps réel).
Pour l'observabilité, la stack complète Filebeat, Logstash, Elasticsearch, Kibana centralise les logs de tous vos serveurs et applications, avec dashboards et alerting unifiés. Sans Kibana et sans pipeline d'ingestion, Elasticsearch seul perd l'essentiel de sa valeur : c'est la stack qu'on déploie, jamais le moteur isolément.
Mention spéciale au SIEM : ELK est l'une des bases open source les plus déployées pour la corrélation d'événements de sécurité et la conformité.
- →Catalogue volumineux nécessitant des recherches complexes en complément de PostgreSQL : facettes, suggestions, autocomplétion, scoring fin
- →Centralisation de logs multi-serveurs avec dashboards Kibana et alerting unifiés
- →Observabilité applicative : corrélation entre logs, métriques et traces dans une interface unique
- →SIEM (Security Information and Event Management) avec rétention longue et audit
- →Données géographiques ou time series complexes au-delà de PostgreSQL
- ×Recherche simple sur un catalogue modéré : PostgreSQL full-text suffit, sans cluster séparé à maintenir
- ×Logs d'un seul serveur : journald ou Loki sont plus simples et économiques
- ×Équipe sans culture observabilité ou DevOps : la stack ELK demande un vrai travail de configuration et de maintenance
- ×Budget contraint : Elasticsearch consomme beaucoup de RAM et nécessite plusieurs serveurs dédiés en production
- →PostgreSQL full-text seulPour la recherche simple sur catalogue modéré : pas besoin d'un index séparé tant que les requêtes restent basiquesVoir la page
- →Meilisearch / TypesenseMoteurs de recherche modernes plus légers, alternative crédible pour les besoins de recherche pure sans pipeline d'observabilité
- →AlgoliaRecherche en SaaS, excellente UX : coût qui grimpe vite avec le volume
- →OpenSearchFork open source d'Elasticsearch sous licence Apache, défendable pour les nouveaux projets
- →Loki + GrafanaPour la centralisation de logs uniquement : plus léger qu'ELK, intégration native Prometheus, mais sans la puissance de recherche d'Elasticsearch
- 01
Pour la recherche applicative : PostgreSQL en source de vérité, Elasticsearch en index de lecture alimenté par change-data-capture (Debezium) ou ingestion applicative
- 02
Pour l'observabilité : pipeline Filebeat (collecte), Logstash (transformation), Elasticsearch (stockage primaire), Kibana (dashboards et alerting)
- 03
Cluster minimal 3 nœuds en production : pas de single-node, haute disponibilité non négociable
- 04
Choix entre Elasticsearch (SSPL) ou OpenSearch (Apache 2.0) selon votre sensibilité licence
- 05
Index dimensionnés et templates de mapping définis avant ingestion massive : éviter le mapping explosion
- 06
Rétention des indices automatisée (ILM) pour maîtriser le stockage, sinon la facture s'envole
Pour la recherche applicative : Elasticsearch ou PostgreSQL full-text ?
Complémentaires dans la grande majorité des cas, pas opposés. PostgreSQL reste source de vérité avec ses garanties transactionnelles, ses contraintes et ses relations. Elasticsearch vient en index de lecture, alimenté depuis Postgres, optimisé pour les requêtes complexes : recherche full-text avancée, facettes, agrégations en temps réel. Pour de la recherche simple, keyword matching sur un catalogue modéré, PostgreSQL full-text suffit largement et évite l'overhead d'un cluster séparé. Le passage à Elasticsearch se justifie quand vos besoins de recherche dépassent ce que SQL peut faire efficacement. À noter que pour l'observabilité (logs, SIEM, événements), la question ne se pose pas : Elasticsearch est lui-même la source primaire.Pourquoi parler de la stack ELK et pas juste d'Elasticsearch ?
Parce qu'Elasticsearch seul est un moteur sans interface ni pipeline d'ingestion. Il ne sert à rien isolément. La valeur opérationnelle vient de la stack complète : Filebeat ou Logstash pour collecter et transformer les données (logs, événements, données métier), Elasticsearch pour indexer et requêter, Kibana pour visualiser, créer des dashboards et configurer des alertes. Déployer Elasticsearch sans pipeline ni visualisation, c'est passer à côté de l'essentiel.Combien coûte une stack ELK auto-hébergée ?
Pour une PME avec quelques serveurs à monitorer ou un catalogue moyen, comptez un cluster Elasticsearch sur 3 VPS de 8-16 Go de RAM chacun, soit 80-200 €/mois d'hébergement. La mise en place initiale (cluster + pipeline Filebeat/Logstash + Kibana + alerting) demande 4 à 10 jours selon la complexité. Elastic Cloud (offre managée) commence vers 100 €/mois mais grimpe vite avec le volume.Elasticsearch ou OpenSearch ?
Depuis le changement de licence Elasticsearch en 2021 (passage à SSPL non-open-source au sens OSI), OpenSearch est le fork maintenu par Amazon avec une licence Apache 2.0 pure. Compatibilité très large mais divergence croissante. Pour les nouveaux projets sans dépendance forte à des fonctionnalités Elastic récentes, OpenSearch est le choix défendable. Pour des projets existants en production sur Elasticsearch, la migration n'est pas urgente.Et la sécurité de la stack ELK ?
Critique. Beaucoup d'incidents médiatisés sont liés à des clusters Elasticsearch exposés sans authentification sur Internet. Les bonnes pratiques essentielles : authentification activée (gratuite depuis 2020), TLS sur tous les nœuds, accès Kibana et admin restreints au réseau interne ou VPN, sauvegardes régulières des snapshots, rotation des indices. Bien déployée, la stack ELK est sécurisée ; mal déployée, c'est une exposition directe de toutes vos données et de tous vos logs.
Un projet impliquant Elasticsearch / ELK ?
Décrivez votre contexte : je vous propose le bon niveau d'investissement.
Premier échangeParlons devotre projet.
Décrivez votre besoin en quelques lignes. Réponse sous 24h pour caler la suite, devis détaillé sous 48h.
- Réponse sous 24h
- NDA sur demande