Integration von Elasticsearch

Hinweis:

Kontakt CAS-PM-Ext@cloud.com um Unterstützung bei der Elasticsearch-Integration anzufordern, Daten nach Elasticsearch zu exportieren oder Feedback zu geben.

Sie können Citrix Analytics for Performance in Elasticsearch integrieren, indem Sie die Logstash-Engine verwenden. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus Ihrer Citrix IT-Umgebung in Elasticsearch zu exportieren und zu korrelieren und tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihre Observability-Plattform gesendet werden, finden Sie unter Datenexport.

Voraussetzungen

  • Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Performance, den Elasticsearch-Integrationsprozess zu starten.

  • Stellen Sie sicher, dass sich der folgende Endpunkt in der Zulassungsliste in Ihrem Netzwerk befindet.

    Endpoint Region Vereinigte Staaten Region der Europäischen Union Region Asien-Pazifik Süd
    Kafka Makler casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integration mit Elasticsearch

  1. Gehe zu Einstellungen > Datenexporte.

  2. Am Konto einrichten Erstellen Sie ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

    SIEM-Datenexport

  3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

    SIEM-Passwortanforderungen

  4. Klicken Konfigurieren , um die Logstash-Konfigurationsdatei zu generieren.

    Konfigurieren von Elasticsearch

  5. Wählen Sie die Schaltfläche Elastische Suche Registerkarte aus dem Abschnitt Observability Platform, um die Konfigurationsdateien herunterzuladen:

    • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Performance an Elasticsearch mithilfe der Logstash-Datenerfassungs-Engine. Weitere Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash Dokumentation.

    • JKS Datei: Enthält die Zertifikate, die für die SSL-Verbindung erforderlich sind.

      Hinweis

      Diese Dateien enthalten vertrauliche Informationen. Bewahren Sie sie an einem sicheren Ort auf.

      Wählen Sie Elasticsearch aus.

  6. Logstash konfigurieren:

    1. Installieren Sie auf Ihrem Linux- oder Windows-Hostcomputer Logstash. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

    2. Platzieren Sie auf dem Hostcomputer, auf dem Sie Logstash installiert haben, die folgenden Dateien im angegebenen Verzeichnis:

      Typ des Host-Computers Dateiname Pfad des Verzeichnisses
      Linux CAS_Elasticsearch_LogStash_Config.config Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
          Für .zip und .tar.gz Archive: {extract.path}/config
        kafka.client.truststore.jks Für Debian- und RPM-Pakete: /etc/logstash/ssl/
          Für .zip und .tar.gz Archive: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash Dokumentation.

    3. Öffnen Sie die Logstash-Konfigurationsdatei, und gehen Sie wie folgt vor:

      1. Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:

        • Passwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Performance erstellt haben, um die Konfigurationsdatei vorzubereiten.

        • Standort des SSL-Truststores: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Hostcomputer.

        Elasticsearch-Eingabebereich

      2. Geben Sie im Ausgabebereich der Datei die Adresse Ihres Host-Computers oder des Clusters ein, auf dem Elasticsearch ausgeführt wird.

        Elasticsearch-Ausgabebereich

    4. Starten Sie Ihren Hostcomputer neu, um verarbeitete Daten von Citrix Analytics for Performance an Elasticsearch zu senden.

Stellen Sie nach Abschluss der Konfiguration sicher, dass Sie die Citrix Analytics-Daten in Ihrer Elasticsearch anzeigen können.

Logstash-Konfiguration

Eine Beispiel-Logstash-Konfiguration kann von der Seite Citrix Analytics for Performance heruntergeladen werden.

Im Folgenden finden Sie eine kleine Variation der Logstash-Pipelinedefinition, die die bereitgestellten Kibana-Beispieldashboards unterstützen kann:

  filter {
    json {
      source => "message"
      remove_field => ["message"]
    }
    date {
      match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
      target => "@timestamp"
    }
  }

  filter {
    mutate {
      copy => ["eventType", "[@metadata][eventTypeIndex]"]
    }
  }

  filter {
    mutate {
      lowercase => ["[@metadata][eventTypeIndex]"]
    }
  }

  output {
    elasticsearch {
      hosts => ["<your logstash host : port>"]
      index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
    }
  }
<!--NeedCopy-->

Basierend auf der vorherigen Konfiguration verwendet Logstash die eventType , um Sitzungs- und Maschinenereignisse zu trennen, um Indizes zu trennen.

Sie können die Abschnitte “filter” und “output” der Standardkonfigurationsdatei, die von der Citrix Analytics-Seite heruntergeladen wurde, durch den vorherigen Inhalt ersetzen und den Logstash-Dienst neu starten.

Beispiele für Kibana-Dashboards

Sie können das von Citrix bereitgestellte Kibana-Beispieldashboard importieren, das Folgendes enthält:

  • Metriken
  • Zeitdiagramme
  • Weitere nützliche Visualisierungen von Sitzungs- und Infrastrukturtelemetriedaten.

Sie können die Dashboard-Definitionen (JSON-Dateien) von der Citrix Analytics-Downloads Seite.

Sie können die Dashboard-Dateien in Ihre Kibana-Instanz importieren, entweder in ein Elasticsearch-Cloud- oder ein Unternehmenskonto.

Stellen Sie vor dem Importieren des Dashboards sicher, dass Sie Ihre Logstash-, Elasticsearch- und Kibana-Instanzen ordnungsgemäß konfiguriert haben und in der Lage sind, CitrixAnalytics Indizes auf der Seite Kibana Index Management.

Führen Sie die folgenden Schritte aus, um die Dashboards und referenzierten Datenansichten zu importieren:

  1. Navigieren Sie zu Management > Gespeichertes Objekt.
  2. Klicken Importieren und wählen Sie die bereitgestellte ndjson Datei, die in der angegebenen komprimierten Datei enthalten ist.
  3. Optional können Sie Erstellen Sie neue Objekte mit zufälligen IDs.
  4. Klicken Sie auf Importieren.

Nachdem Sie die vorherigen Schritte ausgeführt haben, können Sie die vier neuen gespeicherten Objekte anzeigen, wie in der folgenden Abbildung dargestellt:

ElasticSearch vier Objekte

Die Datenansichten werden von den Dashboard-Visualisierungen referenziert und verweisen auf die Indizes, die in der vorherigen Logstash-Konfiguration definiert wurden. Sie müssen in der Lage sein, die Dashboards zu öffnen. Im Folgenden finden Sie Beispieldashboards:

ElasticSearch-Dashboard 1

ElasticSearch-Dashboard 2

Datenübertragung ein- oder ausschalten

Nachdem Citrix Analytics for Performance die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Elasticsearch aktiviert.

So beenden Sie die Übertragung von Daten von Citrix Analytics for Performance:

  1. Gehe zu Einstellungen > Datenexporte.

  2. Deaktivieren Sie die Umschalttaste, um die Datenübertragung zu deaktivieren. Standardmäßig wird die Datenübertragung ist immer aktiviert.

    SIEM-Übertragungen klar

  3. Es erscheint ein Warnfenster zur Bestätigung. Klicken Datenübertragung ausschalten , um die Übertragungsaktivität zu stoppen.

    SIEM-Übertragung: klare Warnung

Um die Datenübertragung wieder zu aktivieren, aktivieren Sie die Umschalttaste.

Integration von Elasticsearch