Elasticsearch campos de configuração do conector

  • Versão de lançamento: Xanadu
  • Atualizado 25 de ago. de 2024
  • 5 min. de leitura

    • Descrição dos campos nos formulários de configuração do conector Elasticsearch.

    Tabela 1. Detalhes da integração
    Campo Descrição
    Integração: nome Nome exclusivo deste conector. Este campo é obrigatório.
    Nota:
    Quando você preenche este campo, o nome genérico exibido no formulário se ajusta automaticamente para corresponder ao nome inserido.
    Marcadores Marcador para ajudar a localizar e identificar conectores desse tipo no Lista expressa. Por exemplo: Elasticsearch. Este campo é obrigatório.
    Descrição Opção para adicionar uma breve descrição do conector para ajudar a identificá-lo.
    Executar nos(as) Opção para determinar se deve ser usado um cluster específico MID Server ou MID Server.
    MID Server

    (Somente quando o campo Executar em estiver definido como Específico MID Server)

    O MID Server para o qual os dados de log de Elasticsearch índices são extraídos. Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando o campo Executar em estiver definido como Cluster específico MID Server )

    O cluster MID Server para o qual os dados de log são extraídos. Este campo é obrigatório.

    O conector é executado em um único MID Server no cluster até que MID Server falhe. O sistema move todas as tarefas do conector para o próximo MID Server disponível no cluster de acordo com a ordem configurada.

    Nota:
    • Análise de logs de integridade oferece suporte somente a clusters de failover MID Server. Nesses clusters, vários MID Servers são agrupados para proteção de failover. Ao selecionar um cluster no formulário do conector, a lista MID Server Clusters exibe somente clusters de failover.
    • O cluster MID Server deve incluir somente MID Servers que oferecem suporte à autenticação básica. O mTLS não é compatível com a ingestão de log.
    • A ingestão de log deve ser habilitada para cada MID Server no cluster. Se a ingestão de log não estiver habilitada para o MID Serverativo, Análise de logs de integridade a habilitará automaticamente.
    • Se Elasticsearch usar certificado de cliente ou autenticação de certificado de CA, todos os MID Servers no cluster deverão ter os certificados apropriados.
    • O número máximo padrão de logs de streaming de conectores para um único MID Server é 10. Um cluster será aprovado na validação de capacidade se contiver pelo menos um MID Server com menos de 10 conectores em execução, mesmo quando esse MID Server estiver inativo.
    Serviço de aplicações O serviço de aplicativos ao qual os dados de log serão vinculados. Este campo é obrigatório.
    Nota:
    Se não existir nenhum serviço de aplicações relevante, Criar um Serviço de aplicações e adicione ICs a ele. Defina o status do novo serviço de aplicativos como Operacional.
    Tabela 2. Método de recuperação de dados
    Campo Descrição
    URL do servidor O URL usado para acessar o cluster. Este campo é obrigatório.
    Método de autenticação O método de autenticação usado para autenticar o conector para Elasticsearch.
    Nota:
    Quando você seleciona o método de autenticação, os campos de credenciais correspondentes são exibidos no formulário.
    Prefixo do índice Prefixo para os índices Elasticsearch lerem. O conector lê somente de índices com este prefixo. Este campo é obrigatório.
    Campo de carimbo de data/hora do documento Campo de carimbo de data/hora em documentos armazenados nos índices de leitura. Este campo é obrigatório.
    Filtro de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar a consulta de termo para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, faça referência à palavra-chave usando fieldname.keyword.
    Tabela 3. Configurações avançadas
    Campo Descrição
    Máximo de conexões por rota O número máximo de conexões a serem abertas por nó.
    Partes máximas de rolagem O número de fragmentos configurados para o índice relevante em Elasticsearch.

    Esse número informa ao Elastic quantas consultas paralelas devem ser executadas em cada solicitação de pesquisa.
    Host do proxy Nome do host do proxy HTTP por meio do qual as solicitações são enviadas.
    Porta do proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.
    Usar verificação de política de certificação MID Opção para habilitar a verificação da política de certificação MID.

    Selecione esta opção se quiser enviar seus logs criptografados usando SSL TLS. Em seguida, navegue até Todos > MID Server > Política de segurança de MID e adicione a verificação da política de certificação MID à tabela. Para obter mais informações, consulte Políticas de verificação de certificado do MID Server.
    Usar pesquisa entre clusters Opção para pesquisar dados em Elasticsearch clusters.

    Quando esta caixa de seleção está marcada, o campo Clusters a serem pesquisados é exibido.

    Nota:
    Suas configurações na caixa de seleção Usar privilégios mínimos e no campo Atraso na leitura do carimbo de data/hora atual (segundos) no formulário Configuração avançada afetam como os dados são coletados em vários clusters.
    Usar privilégios mínimos Opção para ler dados de log diretamente dos índices Elasticsearch com o prefixo configurado.
    • Quando selecionado, o conector lê os dados de log diretamente dos índices Elasticsearch com o prefixo configurado. Para executar esta tarefa, ela precisa apenas de privilégios de leitura.
      Nota:
      Quando esta caixa de seleção está marcada e você está usando a pesquisa entre clusters, os dados são coletados de todos os clusters simultaneamente.
    • Quando desmarcado, o conector busca todos os índices com o prefixo, os filtra e lê os dados de log dos índices filtrados. A execução desta tarefa requer privilégios adicionais.
      Nota:
      Deixar esta caixa de seleção desmarcada ao usar a pesquisa entre clusters afeta a forma como os dados são coletados dos clusters. Para obter mais informações, consulte o artigo Como habilitar e usar a pesquisa entre clusters para entradas de dados do Elasticsearch na Análise de logs de integridade [KB1556079] na Base de conhecimento Now Support.

    Para obter informações adicionais sobre logs de streaming usando o conector Elasticsearch, consulte o artigo Logs de fluxo usando entrada de dados do Elasticsearch - Guia avançado [KB1080162] na Base de conhecimento Now Support.
    De Data de início da leitura dos dados. Dados anteriores a esta data não são lidos. Este campo é obrigatório.
    Nota:
    Definir este valor como uma data passada pode exigir que o sistema leia grandes quantidades de dados, causando congestão.
    Formato do campo de carimbo de data/hora Formato do campo de carimbo de data/hora nos documentos.

    Se nenhum formato for especificado, o formato de tempo de época padrão do Unix será usado, em milissegundos.

    Por exemplo: 1684168407 (15 de maio de 2023 4:33:27 PM)
    Filtros de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar a consulta de termo para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, faça referência à palavra-chave usando fieldname.keyword.

    Por exemplo: {"severity": ["error", "warning"]}
    Desempate de rolagem em partes Valor usado para dividir os dados. Cada fatia é rolada em paralelo. Padrão: _id
    Desempate pós-pesquisa Valor exclusivo por documento a ser usado como desempate ao classificar entradas de log por carimbo de data/hora.
    Máximo de documentos por consulta Número máximo de documentos obtidos em uma única consulta.
    Porta de proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.