Elasticsearch Integration Konfigurationsfelder

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Beschreibung der Felder in den Konfigurationsformularen der Elasticsearch -Integration für Health Log Analytics.

    Tabelle : 1. Details angeben
    Feld Beschreibung
    Integrationsname Eindeutiger Name dieser Integration. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn Sie dieses Feld ausfüllen, wird der im Formular angezeigte generische Name automatisch an den eingegebenen Namen angepasst.
    Beschreibung Option zum Hinzufügen einer kurzen Beschreibung der -Integration, um sie zu identifizieren.
    Ausführen auf Option, um zu bestimmen, ob ein bestimmtes MID-Server - oder ein MID-Server -Cluster verwendet werden soll.
    MID-Server

    (Nur, wenn das Feld Ausführen auf auf Spezifisch MID-Serverfestgelegt ist)

    Der MID-Server, an den Protokolldaten aus den Indizes Elasticsearch abgerufen werden. Dies ist ein Pflichtfeld.
    MID-Server-Cluster

    (Nur, wenn das Feld Ausführen auf auf MID-Server Cluster festgelegt ist)

    Der Cluster MID-Server, in den die Protokolldaten abgerufen werden. Dies ist ein Pflichtfeld.

    Wenn Sie ein Cluster auswählen, werden die MID Servers im ausgewählten Cluster und deren Status angezeigt.

    Die -Integration wird für einen einzelnen MID-Server im Cluster ausgeführt, bis dieser MID-Server fehlschlägt. Das System verschiebt dann alle Integrationsaufgaben gemäß der konfigurierten Reihenfolge zu den nächsten verfügbaren MID-Server im Cluster.

    Hinweis:
    • Health Log Analytics unterstützt nur Failover-Cluster MID-Server. In diesen Clustern sind mehrere MID Servers zum Failover-Schutz in einer Gruppe zusammengefasst. Wenn Sie im Formular Integration ein Cluster auswählen, werden in der Liste der MID-Server -Cluster nur Failover-Cluster angezeigt.
    • Der Cluster MID-Server darf nur MID Servers enthalten, die die Standardauthentifizierung unterstützen. mTLS wird für die Protokollerfassung nicht unterstützt.
    • Die Protokollerfassung muss für jeden MID-Server im Cluster aktiviert werden. Wenn die Protokollerfassung für den aktiven MID-Servernicht aktiviert ist, wird sie von Health Log Analytics automatisch aktiviert.
    • Wenn Elasticsearch die Client- oder CA-Zertifikatauthentifizierung verwendet, müssen alle MID Servers im Cluster über die entsprechenden Zertifikate verfügen.
    • Die standardmäßige maximale Anzahl von Integrationens, die Protokolle an ein einzelnes MID-Server streamen, beträgt 10. Ein Cluster besteht die Kapazitätsvalidierung, wenn es mindestens einen MID-Server enthält und weniger als 10 Integrationendarauf ausgeführt werden, auch wenn MID-Server ausgefallen ist.
    Serviceinstanz Die Serviceinstanz, an die die Protokolldaten gebunden werden sollen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn keine relevante Serviceinstanz vorhanden ist, Erstellen Sie eine für Service und fügen Sie CIs hinzu. Legen Sie den Status der neuen Serviceinstanz auf „Funktionsfähig“ fest.
    Tabelle : 2. Datenabrufmethode
    Feld Beschreibung
    Server-URL Die für den Zugriff auf den Cluster verwendete URL. Dies ist ein Pflichtfeld.
    Authentifizierungsmethode Die Authentifizierungsmethode, die zum Authentifizieren der -Integration in Elasticsearchverwendet wird. Standard ist keine.
    Wenn Sie die Authentifizierungsmethode auswählen, werden die entsprechenden Felder für Anmeldeinformationen im Formular angezeigt.
    Hinweis:
    Als Administrator können Sie eine Authentifizierungsmethode erstellen, indem Sie zu navigieren Alle > Health Log Analytics > Authentifizierungsmethoden und wählen Sie Neu.
    Indexpräfix Präfix vor die Namen von der Elasticsearch Indizes , aus denen Sie Daten lesen möchten. Die -Integration liest nur Daten aus Indizes , die mit dem -tene-konfigurierten -Präfix übereinstimmen. Beispiel: network-logs-* stimmt mit Indizes wie network-logs-2024.01.01 überein.

    Diese Einstellung stellt sicher, dass HLA nur Daten aus den relevanten Indizes erfasst.

    Dies ist ein Pflichtfeld.
    Zeitstempelfeld des Dokuments Zeitstempelfeld in Dokumenten, die in den Leseindizes gespeichert sind. Dies ist ein Pflichtfeld.
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe
    Hinweis:
    Vermeiden Sie die Verwendung von Begriffsabfragen für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, referenzieren Sie das Stichwort mit feldname.stichwort.
    Tabelle : 3. Erweiterte Einstellungen
    Feld Beschreibung
    Max. Anzahl von Verbindungen pro Route Die maximale Anzahl von Verbindungen, die pro Knoten geöffnet werden sollen
    Max. Bildlaufsegmente Die Anzahl der für den relevanten Index in Elasticsearchkonfigurierten Shards.

    Diese Zahl teilt Elastic mit, wie viele parallele Abfragen in jeder Abfrageanforderung ausgeführt werden sollen.
    Proxy-Host Hostname des HTTP-Proxy, über den Anforderungen gesendet werden.
    Proxy-Port Port des HTTP-Proxy, über den Anforderungen gesendet werden
    MID-Zertifikatrichtlinienprüfung verwenden Option zum Aktivieren der Prüfung der MID-Zertifikatsrichtlinie.

    Wählen Sie diese Option aus, wenn Sie die Protokolle mit SSL/TLS verschlüsselt senden möchten. Navigieren Sie dann zu Alle > MID-Server > MID-Sicherheitsrichtlinie und fügen Sie die MID-Zertifikatrichtlinienprüfung zur Tabelle hinzu. Weitere Informationen finden Sie unter Richtlinien für MID-Server-Zertifikatprüfung.
    Cross-Cluster-Suche verwenden Option für die Suche nach Daten in Elasticsearch -Clustern.

    Wenn dieses Kontrollkästchen aktiviert ist, wird das Feld Zu durchsuchende Cluster angezeigt.

    Hinweis:
    Ihre Einstellungen im Kontrollkästchen Minimale Rechte verwenden und im Feld Verzögerung beim Lesen des aktuellen Zeitstempels (Sekunden) im Formular Erweiterte Konfiguration wirken sich darauf aus, wie Daten in mehreren Clustern erfasst werden.
    Minimale Berechtigungen verwenden Option zum Lesen von Protokolldaten direkt aus den Indizes Elasticsearch mit dem konfigurierten Präfix.
    • Wenn ausgewählt, liest die -Integration die Protokolldaten direkt aus den Elasticsearch -Indizes mit dem konfigurierten Präfix. Zum Ausführen dieser Aufgabe sind nur Leseberechtigungen erforderlich.
      Hinweis:
      Wenn dieses Kontrollkästchen aktiviert ist und Sie die Cross-Cluster-Suche verwenden, werden Daten von allen Clustern gleichzeitig gesammelt.
    • Wenn diese Option gelöscht ist, ruft die -Integration alle Indizes mit dem Präfix ab, filtert sie und liest die Protokolldaten aus den gefilterten Indizes. Das Ausführen dieser Aufgabe erfordert zusätzliche Berechtigungen.
      Hinweis:
      Wenn Sie diese Checkbox bei Verwendung der Cross-Cluster-Suche deaktiviert lassen, wirkt sich dies darauf aus, wie Daten aus den Clustern gesammelt werden. Weitere Informationen finden Sie im Artikel „Cross-Cluster Search for Elasticsearch Data Inputs in Health Log Analytics“ [KB1556079] in der Knowledge Base Now Support.

    Weitere Informationen zum Streaming von Protokollen mithilfe der Elasticsearch -Integrationfinden Sie im Artikel Stream Logs with Elasticsearch data input - Advanced Guide [KB1080162] (Protokolle mit Elasticsearch-Dateneingabe streamen – Erweiterte Anleitung) in der Knowledge Base Now Support.
    Von Startdatum zum Lesen der Daten. Daten, die älter als dieses Datum sind, werden nicht gelesen. Dies ist ein Pflichtfeld.
    Hinweis:
    Wenn Sie diesen Wert auf ein vergangenes Datum festlegen, muss das System möglicherweise große Datenmengen lesen, was zu einer Überlastung führt.
    Format des Zeitstempelfelds Format des Zeitstempelfelds in den Dokumenten.

    Wenn kein Format angegeben ist, wird das Standardformat für die Unix-Epoch-Zeit in Millisekunden verwendet.

    Beispiel: 1684168407 (15. Mai 2023 16:33:27)
    Begriffsfilter JSON-Zuordnung der zu filternden Begriffe
    Hinweis:
    Vermeiden Sie die Verwendung von Begriffsabfragen für Textfelder. Wenn das Zielfeld sowohl als Text als auch als Stichwort zugeordnet ist, referenzieren Sie das Stichwort mit feldname.stichwort.

    Beispiel: {"severity":["error", "warning"]}
    Tiebreaker für segmentierten Bildlauf Wert, der zum Teilen der Daten verwendet wird. Jeder Teil wird parallel gescrollt. Standard: _id
    Tiebreaker für nicht zunächst auf Suche beschränkt Eindeutiger Wert pro Dokument, der beim Sortieren von Protokolleinträgen nach Zeitstempel als Tiebreaker verwendet werden soll.
    Max. Anzahl von Dokumenten pro Abfrage Maximale Anzahl von Dokumenten, die in einer einzelnen Abfrage abgerufen werden
    Proxy-Port Port des HTTP-Proxy, über den Anforderungen gesendet werden