Elasticsearch Champs de configuration d’intégration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Description des champs sur les formulaires de configuration d’intégration Elasticsearch pour Analyse de l'intégrité des journaux.

    Tableau 1. Fournir des détails
    Champ Description
    Nom de l'intégration Nom unique de cette intégration. Ce champ est obligatoire.
    Remarque :
    Lorsque vous remplissez ce champ, le nom générique affiché sur le formulaire s’ajuste automatiquement pour correspondre au nom que vous avez saisi.
    Description Option permettant d’ajouter une brève description de l’intégration pour faciliter son identification.
    Exécuter sur Option permettant de déterminer s’il faut utiliser une unité spécifique Serveur MID ou une Serveur MID grappe.
    Serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Spécifique Serveur MID)

    Vers Serveur MID lequel les données de journal des Elasticsearch index sont extraites. Ce champ est obligatoire.
    Grappe de Serveur MID

    (Uniquement lorsque le champ Exécuter sur est défini sur Serveur MID grappes)

    Grappe Serveur MID vers laquelle les données de journal sont extraites. Ce champ est obligatoire.

    Lorsque vous sélectionnez une grappe, les informations de la Serveurs MID grappe sélectionnée et son état s’affichent.

    L’intégration s’exécute sur un seul Serveur MID dans le cluster jusqu’à ce que cela Serveur MID échoue. Le système déplace ensuite toutes les tâches d’intégration vers la prochaine tâche disponible Serveur MID dans la grappe en fonction de l’ordre configuré.

    Remarque :
    • Analyse de l'intégrité des journaux ne prend en charge que les clusters de basculement Serveur MID . Dans ces clusters, plusieurs Serveurs MID sont regroupés pour la protection contre le basculement. Lors de la sélection d’un cluster dans le formulaire d’intégration, la Serveur MID liste Clusters affiche uniquement les clusters de basculement.
    • La Serveur MID grappe ne doit inclure que Serveurs MID ceux qui prennent en charge l’authentification de base. mTLS n’est pas pris en charge pour l’ingestion de journaux.
    • L’ingestion de journaux doit être activée pour chacun Serveur MID des éléments de la grappe. Si l’ingestion de journal n’est pas activée pour l’actif Serveur MID, Analyse de l'intégrité des journaux l’active automatiquement.
    • Si Elasticsearch l’authentification par certificat client ou par certificat de l’autorité de certification est utilisée, tous les Serveurs MID membres de la grappe doivent disposer des certificats appropriés.
    • Le nombre maximal par défaut de journaux de diffusion d’intégration à un seul Serveur MID est de 10. Une grappe réussit la validation de capacité si elle en contient au moins une Serveur MID avec moins de 10 intégrationsen cours d’exécution, même en Serveur MID panne.
    Instance de service Instance de service à laquelle lier les données du journal. Ce champ est obligatoire.
    Remarque :
    Si aucune instance de service pertinente n’existe, Créer un de service et ajoutez-y des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Tableau 2. Méthode de récupération de données
    Champ Description
    URL serveur URL utilisée pour accéder à la grappe. Ce champ est obligatoire.
    Méthode d'authentification Méthode d’authentification utilisée pour authentifier l’intégration à Elasticsearch. La valeur par défaut est Aucun.
    Lorsque vous sélectionnez la méthode d’authentification, les champs d’informations d’identification correspondants s’affichent sur le formulaire.
    Remarque :
    En tant qu’administrateur, vous pouvez créer une méthode d’authentification en accédant à Tout > Analyse de l'intégrité des journaux > Méthodes d'authentification et en sélectionnant Nouveau.
    Préfixe d'index Préfixe ajouté aux noms des index à partir desquels Elasticsearch vous souhaitez lire les données. L’intégration lit uniquement les données des index qui correspondent au préfixe configuré. Par exemple : network-logs-* correspond à des index tels que network-logs-2024.01.01.

    Ce paramètre garantit que HLA seules les données des indices pertinents sont ingérées.

    Ce champ est obligatoire.
    Champ d'horodatage de document Champ d'horodatage dans les documents stockés dans les index de lecture. Ce champ est obligatoire.
    Filtre à terme Carte JSON des termes à filtrer.
    Remarque :
    Évitez d'utiliser la requête des termes pour les champs de texte. Si le champ cible est mappé en tant que texte et mot clé, référencez le mot clé à l'aide de fieldname.keyword.
    Tableau 3. Paramètres avancés
    Champ Description
    Nbre max. de connexions par acheminement Le nombre maximal de connexions à ouvrir par nœud.
    Tranches de défilement maximum Nombre de partitions configurées pour l’index pertinent dans Elasticsearch.

    Ce nombre indique à Elastic le nombre de requêtes parallèles à exécuter dans chaque demande d’interrogation.
    Hôte proxy Nom d’hôte du proxy HTTP par lequel les demandes sont envoyées.
    Port proxy Port du proxy HTTP par lequel les demandes sont envoyées.
    Utiliser la vérification de la politique de certificat MID Option permettant d'activer la vérification de la politique de certificat MID.

    Sélectionnez cette option si vous souhaitez envoyer vos journaux chiffrés à l'aide du protocole SSL TLS. Accédez ensuite à Tout > Serveur MID > Politique de sécurité MID et ajoutez la vérification de la politique de certificat MID à la table. Pour plus d’informations, consultez Politiques de vérification des certificats de Serveur MID.
    Utiliser la recherche inter-grappes Option de recherche de données dans les Elasticsearch grappes.

    Lorsque cette case est cochée, le champ Grappes à rechercher s’affiche .

    Remarque :
    Les paramètres définis dans la case à cocher Utiliser les privilèges minimaux et le champ Délai de lecture de l’horodatage actuel (secondes) du formulaire Configuration avancée affectent la façon dont les données sont collectées sur plusieurs clusters.
    Utiliser des privilèges minimaux Option de lecture des données de journal directement à partir des Elasticsearch index avec le préfixe configuré.
    • Lorsque cette option est sélectionnée, l’intégration lit les données de journal directement à partir des Elasticsearch index avec le préfixe configuré. Pour effectuer cette tâche, il n’a besoin que de privilèges de lecture.
      Remarque :
      Lorsque cette case est cochée et que vous utilisez la recherche inter-grappes, les données sont collectées simultanément à partir de toutes les grappes.
    • Si cette option est effacée, l’intégration extrait tous les index portant le préfixe, les filtre et lit les données de journal à partir des index filtrés. L’exécution de cette tâche nécessite des privilèges supplémentaires.
      Remarque :
      Si vous laissez cette case décochée lors de l’utilisation de la recherche inter-grappes, la façon dont les données sont collectées à partir des grappes. Pour plus d’informations, consultez l’article Activation et utilisation de la recherche inter-grappes pour les entrées de données Elasticsearch dans Analyse de l’intégrité des journaux [KB1556079] dans la base de Now Support connaissances.

    Pour plus d’informations sur les journaux de diffusion à l’aide de l’intégrationElasticsearch , consultez l’article Flux de journaux à l’aide de l’entrée de données Elasticsearch - Guide avancé [KB1080162] dans la base de Now Support connaissances.
    De Date de début de lecture des données. Les données antérieures à cette date ne sont pas lues. Ce champ est obligatoire.
    Remarque :
    La définition de cette valeur sur une date antérieure peut nécessiter que le système lise de grandes quantités de données, provoquant ainsi une congestion.
    Format du champ d'horodatage Format du champ d'horodatage dans les documents.

    Si aucun format n’est spécifié, le format d’heure Epoch Unix par défaut est utilisé, en millisecondes.

    Par exemple : 1684168407 (15 mai 2023 16:33:27)
    Filtres à terme Carte JSON des termes à filtrer.
    Remarque :
    Évitez d'utiliser la requête des termes pour les champs de texte. Si le champ cible est mappé en tant que texte et mot clé, référencez le mot clé à l'aide de fieldname.keyword.

    Par exemple : {"severity » : ["error », « warning"]}
    Départage par l’option sliced-scrolling Valeur utilisée pour trancher les données. Chaque tranche est défilée en parallèle. Par défaut : _id
    Départage par l'option search-after Valeur unique par document à utiliser comme départage lors du tri des entrées de journal par horodatage.
    Nombre maximal de documents par requête Nombre maximum de documents récupérés en une seule requête.
    Port proxy Port du proxy HTTP par lequel les demandes sont envoyées.