Elasticsearch Integration Konfigurationsfelder

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Beschreibung der Felder auf Elasticsearch Integration Konfigurationsformulare für Health Log Analytics.

    Tabelle : 1. Details bereitstellen
    Feld Beschreibung
    Integrationsname Eindeutiger Name davon Integration . Dieses Feld ist erforderlich.
    Hinweis:
    Wenn Sie dieses Feld ausfüllen, wird der im Formular angezeigte generische Name automatisch an den von Ihnen eingegebenen Namen angepasst.
    Beschreibung Option zum Hinzufügen einer kurzen Beschreibung von Integration Um es zu identifizieren.
    Ausführen auf Option, um zu bestimmen, ob eine bestimmte verwendet werden soll MID-ServerOder a MID-ServerCluster.
    MID-Server

    (Nur wenn Ausführen am Feld ist auf „spezifisch“ festgelegt MID-Server)

    Die MID-ServerZu dem Protokolldaten stammen ElasticsearchIndizes werden abgerufen. Dieses Feld ist erforderlich.
    MID-Server-Cluster

    (Nur wenn Ausführen am Feld ist auf festgelegt MID-ServerCluster)

    Die MID-ServerCluster, in den die Protokolldaten abgerufen werden. Dieses Feld ist erforderlich.

    Wenn Sie einen Cluster auswählen, wird MID ServersIm ausgewählten Cluster und ihr Status werden angezeigt.

    Die Integration Wird für eine einzelne ausgeführt MID-ServerIm Cluster bis dahin MID-ServerSchlägt fehl. Das System verschiebt dann alle Integration Aufgaben zur nächsten verfügbaren MID-ServerIm Cluster gemäß der konfigurierten Reihenfolge.

    Hinweis:
    • Health Log AnalyticsUnterstützt nur Failover MID-ServerCluster. In diesen Clustern mehrere MID ServersSind für Failover-Schutz gruppiert. Bei Auswahl eines Clusters aus Integration Formular, die MID-ServerDie Clusterliste zeigt nur Failover-Cluster an.
    • Die MID-ServerCluster darf nur enthalten MID ServersDie die Standardauthentifizierung unterstützen. MTLs werden für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden aktiviert sein MID-ServerIm Cluster. Wenn die Protokollerfassung für die aktiven nicht aktiviert ist MID-Server, Health Log AnalyticsAktiviert es automatisch.
    • Wenn ElasticsearchVerwendet Client-Zertifikat- oder CA-Zertifikat-Authentifizierung, alle MID ServersIm Cluster muss über die entsprechenden Zertifikate verfügen.
    • Die standardmäßige maximale Anzahl von Integration S Streaming von Protokollen an eine einzelne MID-ServerIst 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn er mindestens einen enthält MID-ServerMit weniger als 10 Integration Wird ausgeführt, auch wenn dies der Fall ist MID-ServerIst ausgefallen.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dieses Feld ist erforderlich.
    Hinweis:
    Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie einen Serviceinstanz Und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf „betriebsbereit“ fest.
    Tabelle : 2. Datenabrufmethode
    Feld Beschreibung
    Server-URL Die URL, die für den Zugriff auf den Cluster verwendet wird. Dieses Feld ist erforderlich.
    Authentifizierungsmethode Die zur Authentifizierung von verwendete Authentifizierungsmethode Integration Bis Elasticsearch. Der Standardwert ist „keine“.
    Wenn Sie die Authentifizierungsmethode auswählen, werden die entsprechenden Anmeldeinformationsfelder im Formular angezeigt.
    Hinweis:
    Als Administrator können Sie eine Authentifizierungsmethode erstellen, indem Sie zu navigieren Alle > Health Log Analytics > Authentifizierungsmethoden Und Auswahl Neu .
    Indexpräfix Präfix Vorangestellt den Namen von Die ElasticsearchIndizes Aus dem Sie Daten lesen möchten . Die Integration Nur Lesevorgänge Daten Von Indizes Diese Übereinstimmung Th E konfiguriert Präfix. Beispiel: Network-Logs-* entspricht Indizes wie Network-Logs-2024.01.01.

    Diese Einstellung stellt das sicher HLAErfasst nur Daten aus den relevanten Indizes.

    Dieses Feld ist erforderlich.
    Zeitstempelfeld des Dokuments Zeitstempelfeld in Dokumenten, die in den Leseindizes gespeichert sind. Dieses Feld ist erforderlich.
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe.
    Hinweis:
    Vermeiden Sie die Verwendung der Begriffsabfrage für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, verweisen Sie auf das Stichwort, indem Sie fieldname.keyword verwenden.
    Tabelle : 3. Erweiterte Einstellungen
    Feld Beschreibung
    Max. Anzahl von Verbindungen pro Route Die maximale Anzahl von Verbindungen, die pro Knoten geöffnet werden sollen.
    Max. Bildlaufsegmente Die Anzahl der Teile, die für den relevanten Index in konfiguriert sind Elasticsearch.

    Diese Zahl gibt Elastic an, wie viele parallele Abfragen in jeder Abfrageanforderung ausgeführt werden sollen.
    Proxy-Host Hostname des HTTP-Proxys, über den Anforderungen gesendet werden.
    Proxy-Port Port des HTTP-Proxys, über den Anforderungen gesendet werden.
    MID-Zertifikatrichtlinienprüfung verwenden Option zum Aktivieren der MID-Zertifikatrichtlinienprüfung.

    Wählen Sie diese Option aus, wenn Sie Ihre Protokolle verschlüsselt mit SSL-TLS versenden möchten. Navigieren Sie dann zu Alle > MID-Server > MID-Sicherheitsrichtlinie Und fügen Sie der Tabelle die MID-Zertifikatrichtlinienprüfung hinzu. Weitere Informationen finden Sie unter Richtlinien für die Zertifikatprüfung des MID-Servers .
    Cross-Cluster-Suche verwenden Option für die Suche nach Daten in allen ElasticsearchCluster.

    Wenn dieses Kontrollkästchen aktiviert ist, wird Cluster, die gesucht werden sollen Feldanzeigen.

    Hinweis:
    Ihre Einstellungen in Verwenden Sie minimale Berechtigungen Kontrollkästchen und Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) Feld auf Erweiterte Konfiguration Das Formular wirkt sich auf die Erfassung von Daten über mehrere Cluster aus.
    Minimale Berechtigungen verwenden Option zum Lesen von Protokolldaten direkt aus ElasticsearchIndizes mit dem konfigurierten Präfix.
    • Wenn ausgewählt, wird Integration Liest die Protokolldaten direkt aus ElasticsearchIndizes mit dem konfigurierten Präfix. Zum Ausführen dieser Aufgabe sind nur Leseberechtigungen erforderlich.
      Hinweis:
      Wenn dieses Kontrollkästchen aktiviert ist und Sie die clusterübergreifende Suche verwenden, werden Daten aus allen Clustern gleichzeitig erfasst.
    • Wenn diese Option deaktiviert ist, wird Integration Ruft alle Indizes mit dem Präfix ab, filtert sie und liest die Protokolldaten aus den gefilterten Indizes. Die Ausführung dieser Aufgabe erfordert zusätzliche Berechtigungen.
      Hinweis:
      Wenn Sie dieses Kontrollkästchen deaktivieren, wenn die clusterübergreifende Suche sich darauf auswirkt, wie Daten aus den Clustern erfasst werden. Weitere Informationen finden Sie unter Aktivieren und Verwenden der clusterübergreifenden Suche für Elasticsearch-Dateneingaben in Integritätsprotokollanalysen [KB1556079] artikel in Now SupportKnowledge Base.

    Für zusätzliche Informationen zum Streaming von Protokollen mit Elasticsearch Integration , Siehe Protokolle mithilfe der Elasticsearch-Dateneingabe streamen – Erweiterter Leitfaden [KB1080162] artikel in Now SupportKnowledge Base.
    Von Startdatum für das Lesen der Daten. Daten, die älter als dieses Datum sind, werden nicht gelesen. Dieses Feld ist erforderlich.
    Hinweis:
    Wenn Sie diesen Wert auf ein vergangenes Datum festlegen, muss das System möglicherweise große Datenmengen lesen, was zu einer Überlastung führt.
    Format des Zeitstempelfelds Format des Zeitstempelfelds in den Dokumenten.

    Wenn kein Format angegeben ist, wird das standardmäßige Unix-Epochenzeitformat in Millisekunden verwendet.

    Beispiel: 1684168407 (15. Mai 2023 16:33:27 PM)
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe.
    Hinweis:
    Vermeiden Sie die Verwendung der Begriffsabfrage für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, verweisen Sie auf das Stichwort, indem Sie fieldname.keyword verwenden.

    Beispiel: {"severity": ["error", "warning"]}
    Tie-Breaker für Sliced-Scrolling Wert, der zum Segmentieren der Daten verwendet wird. Jedes Segment wird parallel gescrollt. Standard: _ID
    Tiebreaker für nicht zunächst auf Suche beschränkt Eindeutiger Wert pro Dokument, der beim Sortieren von Protokolleinträgen nach Zeitstempel als Tiebreaker verwendet werden soll.
    Max. Anzahl von Dokumenten pro Abfrage Maximale Anzahl von Dokumenten, die in einer einzelnen Abfrage abgerufen werden
    Proxy-Port Port des HTTP-Proxys, über den Anforderungen gesendet werden.