Elasticsearch integração campos de configuração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura
  • Descrição dos campos no Elasticsearch integração formulários de configuração para Análise de logs de integridade.

    Tabela 1. Detalhes do provedor
    Campo Descrição
    Integração: nome Nome exclusivo deste integração . Este campo é obrigatório.
    Nota:
    Ao preencher este campo, o nome genérico exibido no formulário é ajustado automaticamente para corresponder ao nome inserido.
    Descrição Opção para adicionar uma breve descrição do integração para ajudar a identificá-lo.
    Executar nos(as) Opção para determinar se um específico deve ser usado MID Serverou um MID Servercluster.
    MID Server

    (Somente quando o. Executar em O campo está definido como Específico MID Server)

    . MID Serverde qual log os dados Elasticsearchos índices são extraídos. Este campo é obrigatório.
    Cluster do MID Server

    (Somente quando o. Executar em o campo está definido como MID ServerCluster)

    . MID Servercluster para o qual os dados de log são extraídos. Este campo é obrigatório.

    Quando você seleciona um cluster, o. MID Serversno cluster selecionado e seu status são exibidos.

    . integração executado em um único MID Serverno cluster até isso MID Serverfalhas. Em seguida, o sistema move todos os integração tarefas para as próximas disponíveis MID Serverno cluster de acordo com a ordem configurada.

    Nota:
    • Análise de logs de integridadecompatível somente com failover MID Serverclusters. Nesses clusters, vários MID Serverssão agrupados para proteção de failover. Ao selecionar um cluster no integração . MID ServerA lista de clusters exibe somente clusters de failover.
    • . MID Servero cluster deve incluir somente MID Serversque oferecem suporte à autenticação básica. O MTLS não é compatível com ingestão de log.
    • A ingestão de log deve estar habilitada para cada MID Serverno cluster. Se a ingestão de log não estiver habilitada para o ativo MID Server, Análise de logs de integridadehabilita automaticamente.
    • Se ElasticsearchUsa autenticação de certificado de cliente ou de certificação de CA, tudo MID Serversno cluster deve ter os certificados apropriados.
    • O número máximo padrão de integração s streaming de logs para um único MID Serveré 10. Um cluster passa na validação de capacidade se contiver pelo menos um MID Servercom menos de 10 integração s rodando nele, mesmo quando isso MID Serverestá inativo.
    Instância do serviço A instância de serviço à qual vincular os dados de log. Este campo é obrigatório.
    Nota:
    Se não existir nenhuma instância de serviço relevante, Crie um instância de serviço E adicione ICs a ele. Defina o status da nova instância de serviço como Operacional.
    Tabela 2. Método de recuperação de dados
    Campo Descrição
    URL do servidor O URL usado para acessar o cluster. Este campo é obrigatório.
    Método de autenticação O método de autenticação usado para autenticar o. integração para Elasticsearch. O padrão é nenhum.
    Quando você seleciona o método de autenticação, os campos de credenciais correspondentes são exibidos no formulário.
    Nota:
    Como administrador, você pode criar um método de autenticação navegando até Tudo > Análise de logs de integridade > Métodos de Autenticação e selecionando Novo .
    Prefixo do índice Prefixo precedido aos nomes de . Elasticsearchíndices a partir da qual você deseja ler os dados . . integração apenas leituras dados dos índices que correspondem th e configurado prefixo. Por exemplo: Network-logs-* corresponde a índices como network-logs-2024.01.01.

    Essa configuração garante isso HLAapenas ingira dados dos índices relevantes.

    Este campo é obrigatório.

    Campo de carimbo de data/hora do documento Campo de carimbo de data/hora em documentos armazenados em índices de leitura. Este campo é obrigatório.
    Filtro de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar o termo consulta para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, referencie a palavra-chave usando fieldname.keyword.
    Tabela 3. Configurações avançadas
    Campo Descrição
    Máximo de conexões por rota O número máximo de conexões a serem abertas por nó.
    Partes máximas de rolagem O número de fragmentos configurados para o índice relevante em Elasticsearch.

    Esse número informa ao Elastic quantas consultas paralelas executar em cada solicitação de pesquisa.

    Host do proxy Nome do host do proxy HTTP por meio do qual as solicitações são enviadas.
    Porta do proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.
    Usar verificação de política de certificação MID Opção para habilitar a verificação da política de certificação MID.

    Selecione esta opção se quiser enviar seus logs criptografados usando SSL TLS. Em seguida, navegue até Tudo > MID Server > Política de segurança de MID E adicione a verificação de política de certificado MID à tabela. Para obter mais informações, consulte Políticas de verificação de certificados do MID Server .

    Usar pesquisa entre clusters Opção para pesquisar dados em Elasticsearchclusters.

    Quando esta caixa de seleção é marcada, o. Clusters a serem pesquisados o campo é exibido.

    Nota:
    Suas configurações no Use privilégios mínimos e Atraso na leitura do carimbo de data/hora atual (segundos) campo no Configuração avançada o formulário afeta como os dados são coletados em vários clusters.
    Usar privilégios mínimos Opção para ler dados de log diretamente do Elasticsearchíndices com o prefixo configurado.
    • Quando selecionado, o. integração lê os dados de log diretamente do Elasticsearchíndices com o prefixo configurado. Para executar esta tarefa, ela só precisa de privilégios de leitura.
      Nota:
      Quando esta caixa de seleção estiver marcada e você estiver usando a pesquisa entre clusters, os dados serão coletados de todos os clusters simultaneamente.
    • Quando estiver claro, o. integração busca todos os índices com o prefixo, filtra-os e lê os dados de log dos índices filtrados. A execução desta tarefa requer privilégios adicionais.
      Nota:
      Deixar esta caixa de seleção desmarcada ao usar a pesquisa entre clusters afeta como os dados são coletados dos clusters. Para obter mais informações, consulte Pesquisa entre clusters para entradas de dados do Elasticsearch na Análise de log de integridade [KB1556079] artigo no Now SupportBase de conhecimento.

    Para obter informações adicionais sobre logs de streaming usando o. Elasticsearch integração , consulte Logs de fluxo usando a entrada de dados do Elasticsearch - Guia avançado [KB1080162] artigo no Now SupportBase de conhecimento.

    De Data de início da leitura dos dados. Dados anteriores a esta data não são lidos. Este campo é obrigatório.
    Nota:
    Definir este valor como uma data passada pode exigir que o sistema leia grandes quantidades de dados, causando congestionamento.
    Formato do campo de carimbo de data/hora Formato do campo de carimbo de data/hora nos documentos.

    Se nenhum formato for especificado, será usado o formato de tempo de época padrão do Unix, em milissegundos.

    Por exemplo: 1684168407 (May 15, 2023 4:33:27 PM)

    Filtros de termo Mapa JSON dos termos a serem filtrados.
    Nota:
    Evite usar o termo consulta para campos de texto. Se o campo de destino estiver mapeado como texto e palavra-chave, referencie a palavra-chave usando fieldname.keyword.

    Por exemplo

    Tie breaker de rolagem fatiada Valor usado para dividir os dados. Cada fatia é rolada em paralelo. Padrão: _Id
    Desempate pós-pesquisa Valor exclusivo por documento a ser usado como critério de desempate ao classificar entradas de log por carimbo de data/hora.
    Máximo de documentos por consulta Número máximo de documentos que serão obtidos em uma única consulta.
    Porta do proxy Porta do proxy HTTP por meio da qual as solicitações são enviadas.