Elasticsearch 통합 구성 필드

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기5분

    • 에 대한 상태 로그 분석통합 구성 양식의 필드에 대한 설명입니다Elasticsearch .

    표 1. 제공자 상세 정보
    필드 설명
    통합 이름 이 통합의 고유 이름입니다. 이 필드는 필수입니다.
    주:
    이 필드를 채우면 양식에 표시된 일반 이름이 입력된 이름과 일치하도록 자동으로 조정됩니다.
    설명 통합을 식별하는 데 도움이 되도록 통합에 대한 간략한 설명을 추가하는 옵션입니다.
    다음에서 실행 특정 MID 서버 또는 MID 서버 클러스터를 사용할지 여부를 결정하는 옵션입니다.
    MID 서버

    (실행 위치 필드가 특정 MID 서버로 설정된 경우에만)

    Elasticsearch 인덱스에서 로그 데이터를 가져오는 MID 서버입니다. 이 필드는 필수입니다.
    MID 서버 클러스터

    ( 실행 위치 필드가 MID 서버 클러스터)

    로그 데이터를 끌어오는 대상인 MID 서버 클러스터입니다. 이 필드는 필수입니다.

    클러스터를 선택하면 선택한 클러스터에 있는 항목 MID 서버 과 해당 상태가 표시됩니다.

    통합은 실패할 때까지 MID 서버 클러스터의 싱글 MID 서버 에서 실행됩니다. 그런 다음, 시스템은 구성된 순서에 따라 모든 통합 작업을 클러스터에서 사용 가능한 MID 서버 다음 작업으로 이전합니다.

    주:
    • 상태 로그 분석는 페일오버 MID 서버 클러스터만 지원합니다. 이러한 클러스터에서는 페일오버 보호를 위해 여러 개의 MID 서버가 함께 그룹화됩니다. 통합 양식 MID 서버 에서 클러스터를 선택할 때 클러스터 목록에는 페일오버 클러스터만 표시됩니다.
    • MID 서버 클러스터에는 기본 인증을 지원하는 MID 서버만 포함되어야 합니다. mTLS는 로그 수집에 지원되지 않습니다.
    • 클러스터의 MID 서버별로 로그 수집을 활성화해야 합니다. 활성 MID 서버에 대해 로그 수집이 활성화되지 않은 경우 상태 로그 분석가 로그 수집을 자동으로 활성화합니다.
    • Elasticsearch가 클라이언트 인증서 또는 CA 인증서 인증을 사용하는 경우 클러스터에 있는 모든 MID 서버에 적절한 인증서가 있어야 합니다.
    • 단일 MID 서버 통합스트리밍 로그의 최대 기본 수는 10입니다. 클러스터에 10개 미만의 통합이 실행 중인 클러스터가 하나 이상 MID 서버 있는 경우 클러스터가 다운된 경우에도 MID 서버 용량 확인을 통과합니다.
    서비스 인스턴스 로그 데이터를 바인딩할 서비스 인스턴스입니다. 이 필드는 필수입니다.
    주:
    관련 서비스 인스턴스가 없는 경우 생성 서비스 인스턴스 을 클릭하고 CI를 추가합니다. 새 서비스 인스턴스의 상태를 운영으로 설정하십시오.
    표 2. 데이터 검색 방법
    필드 설명
    서버 URL 클러스터에 액세스하는 데 사용되는 URL입니다. 이 필드는 필수입니다.
    인증 방법 통합을Elasticsearch인증하는 데 사용되는 인증 방법입니다. 기본값은 없음입니다.
    인증 방법을 선택하면 해당 자격 증명 필드가 양식에 표시됩니다.
    주:
    관리자는 다음으로 이동하여 인증 방법을 만들 수 있습니다. 모두 > 상태 로그 분석 > 인증 방법 을 클릭하고 새로 만들기를 선택합니다.
    인덱스 접두사 데이터를 읽으려는 인덱스의Elasticsearch 이름 앞에 접두사가 추가됩니다. 통합은 구성된 프리픽스와 일치하는 인덱스에서만 데이터를 읽습니다. 예: network-logs-*는 network-logs-2024.01.01과 같은 인덱스와 일치합니다.

    이 설정은 관련 인덱스의 데이터만 수집하도록 HLA 합니다.

    이 필드는 필수입니다.
    문서 타임스탬프 필드 읽기 인덱스에 저장된 문서의 타임스탬프 필드입니다. 이 필드는 필수입니다.
    용어 필터 필터링할 용어의 JSON 맵입니다.
    주:
    텍스트 필드에 용어 쿼리를 사용하지 않도록 하십시오. 대상 필드가 텍스트와 키워드 둘 다로 매핑된 경우 fieldname.keyword를 사용하여 키워드를 참조하십시오.
    표 3. 고급 설정
    필드 설명
    경로당 최대 연결 수 노드당 열리는 최대 연결 수입니다.
    최대 스크롤 슬라이스 Elasticsearch에서 관련 인덱스로 구성된 샤드의 개수입니다.

    이 숫자는 각 폴링 요청에서 실행할 병렬 쿼리의 수를 Elastic에 알려줍니다.
    프록시 호스트 요청을 전송하는 HTTP 프록시의 호스트 이름입니다.
    프록시 포트 요청을 전송하는 HTTP 프록시의 포트 이름입니다.
    MID 인증서 정책 검사 사용 MID 인증서 정책 검사를 활성화하는 옵션입니다.

    SSL TLS를 사용하여 암호화된 로그를 배송하려면 이 옵션을 선택합니다. 그런 다음 다음으로 이동합니다. 모두 > MID 서버 > MID 보안 정책 을 클릭하고 MID 인증서 정책 검사를 테이블에 추가합니다. 자세한 내용은 MID 서버 인증서 검사 정책을 참조하십시오.
    클러스터 간 검색 사용 Elasticsearch 클러스터 간에 데이터를 검색하기 위한 옵션입니다.

    이 확인란을 선택하면 검색할 클러스터 필드가 표시됩니다.

    주:
    고급 구성 양식의 최소 권한 사용 확인란 및 현재 타임스탬프 읽기 지연(초) 필드의 설정은 여러 클러스터 간에 데이터가 수집되는 방식에 영향을 줍니다.
    최소 권한 사용 구성된 접두사가 있는 Elasticsearch 인덱스에서 직접 로그 데이터를 읽는 옵션입니다.
    • 이 옵션을 선택하면 통합이 구성된 접두사가 있는 인덱스에서 Elasticsearch 직접 로그 데이터를 읽습니다. 이 작업을 수행하려면 읽기 권한만 필요합니다.
      주:
      이 확인란을 선택하고 클러스터 간 검색을 사용하는 경우 모든 클러스터에서 데이터가 동시에 수집됩니다.
    • 옵션을 지우면 통합은 접두사가 있는 모든 인덱스를 가져오고 필터링한 후 필터링된 인덱스에서 로그 데이터를 읽습니다. 이 작업을 수행하려면 추가 권한이 필요합니다.
      주:
      클러스터 간 검색을 사용할 때 이 확인란을 선택 취소하면 클러스터에서 데이터를 수집하는 방식이 달라집니다. 자세한 내용은 Now Support 지식베이스의 상태 로그 분석에서 Elasticsearch 데이터 입력에 대한 클러스터 간 검색 활성화 및 사용 [KB1556079] 문서를 참조하십시오.

    통합을 사용하여 로그를 스트리밍하는 Elasticsearch 방법에 대한 자세한 내용은 기술 자료에서 Now SupportElasticsearch 데이터 입력을 사용하는 스트림 로그 - 고급 가이드 [KB1080162] 문서를 참조하십시오.
    시작 날짜 데이터를 읽을 시작 날짜입니다. 이 날짜보다 오래된 데이터는 읽지 않습니다. 이 필드는 필수입니다.
    주:
    이 값을 과거 날짜로 설정하면 읽어야 할 데이터 양이 많아 정체가 발생할 수 있습니다.
    타임스탬프 필드 형식 문서의 타임스탬프 필드의 형식입니다.

    지정된 형식이 없으면 기본 Unix epoch 시간 형식(밀리초 단위)이 사용됩니다.

    예: 1684168407(2023년 5월 15일 오후 4:33:27)
    용어 필터 필터링할 용어의 JSON 맵입니다.
    주:
    텍스트 필드에 용어 쿼리를 사용하지 않도록 하십시오. 대상 필드가 텍스트와 키워드 둘 다로 매핑된 경우 fieldname.keyword를 사용하여 키워드를 참조하십시오.

    예: {"severity": ["error", "warning"]}
    슬라이스 스크롤링 결정자 데이터를 슬라이싱하는 데 사용하는 값입니다. 각 데이터 슬라이스는 병렬로 스크롤됩니다. 기본값: _id
    검색 후 결정자 타임스탬프로 로그 항목을 정렬할 때 타이브레이커로 사용할 문서당 고유 값입니다.
    쿼리당 최대 문서 단일 쿼리에서 가져오는 최대 문서 수입니다.
    프록시 포트 요청을 전송하는 HTTP 프록시의 포트 이름입니다.