Elasticsearch-Integration

Hinweis:

Kontaktieren Sie CAS-PM-Ext@cloud.com, um Unterstützung bei der Elasticsearch-Integration, dem Export von Daten nach Elasticsearch oder Feedback anzufordern.

Sie können Citrix Analytics for Performance™ mit Elasticsearch mithilfe der Logstash-Engine integrieren. Diese Integration ermöglicht es Ihnen, Benutzerdaten aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren, um tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihre Observability-Plattform gesendet werden, finden Sie unter Datenexport.

Voraussetzungen

• Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Dies hilft Citrix Analytics for Performance, den Elasticsearch-Integrationsprozess zu starten.

• Stellen Sie sicher, dass der folgende Endpunkt in der Zulassungsliste Ihres Netzwerks enthalten ist.

  Endpunkt	Region Vereinigte Staaten	Region Europäische Union	Region Asien-Pazifik Süd
  Kafka-Broker	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Integration mit Elasticsearch

1. Gehen Sie zu Settings > Data Exports.

2. Erstellen Sie im Abschnitt Account set up ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

   

3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

   

4. Klicken Sie auf Configure, um die Logstash-Konfigurationsdatei zu generieren.

   

5. Wählen Sie die Registerkarte Elastic Search im Abschnitt „Observability Platform“ aus, um die Konfigurationsdateien herunterzuladen:

   • Logstash config file: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Performance an Elasticsearch mithilfe der Logstash-Datenerfassungs-Engine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation.

   • JKS file: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

     Hinweis

     Diese Dateien enthalten vertrauliche Informationen. Bewahren Sie sie an einem sicheren Ort auf.

     

6. Konfigurieren Sie Logstash:

   1. Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

   2. Platzieren Sie auf dem Hostcomputer, auf dem Sie Logstash installiert haben, die folgenden Dateien im angegebenen Verzeichnis:

      Hostcomputertyp	Dateiname	Verzeichnispfad
      Linux	CAS_Elasticsearch_LogStash_Config.config	Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
      		Für .zip- und .tar.gz-Archive: {extract.path}/config
      	kafka.client.truststore.jks	Für Debian- und RPM-Pakete: /etc/logstash/ssl/
      		Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows	CAS_Elasticsearch_LogStash_Config.config	C:\logstash-7.xx.x\config
      	kafka.client.truststore.jks

      Informationen zur Standardverzeichnisstruktur von Logstash-Installationspaketen finden Sie in der Logstash-Dokumentation.

   3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

      1. Geben Sie im Eingabeabschnitt der Datei die folgenden Informationen ein:

         • Password: Das Kennwort des Kontos, das Sie in Citrix Analytics for Performance erstellt haben, um die Konfigurationsdatei vorzubereiten.

         • SSL truststore location: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Hostcomputer.

         

      2. Geben Sie im Ausgabeabschnitt der Datei die Adresse Ihres Hostcomputers oder des Clusters ein, auf dem Elasticsearch ausgeführt wird.

         

   4. Starten Sie Ihren Hostcomputer neu, um verarbeitete Daten von Citrix Analytics for Performance an Elasticsearch zu senden.

Nach Abschluss der Konfiguration überprüfen Sie, ob Sie die Citrix Analytics-Daten in Ihrem Elasticsearch anzeigen können.

Logstash-Konfiguration

Eine Beispiel-Logstash-Konfiguration kann von der Citrix Analytics for Performance-Seite heruntergeladen werden.

Im Folgenden finden Sie eine kleine Variation der Logstash-Pipeline-Definition, die die bereitgestellten Kibana-Beispiel-Dashboards unterstützen kann:

filter {
  json {
    source => "message"
    remove_field => ["message"]
  }
  date {
    match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
    target => "@timestamp"
  }
}
 
filter {
  mutate {
    copy => ["eventType", "[@metadata][eventTypeIndex]"]
  }
}
 
filter {
  mutate {
    lowercase => ["[@metadata][eventTypeIndex]"]
  }
}
 
output {
  elasticsearch {
    hosts => ["<your logstash host : port>"]
    index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
  }
}
<!--NeedCopy-->

Basierend auf der vorherigen Konfiguration verwendet Logstash das Feld eventType, um Sitzungs- und Maschinenereignisse in separate Indizes zu trennen.

Sie können die Abschnitte „filter“ und „output“ der von der Citrix Analytics-Seite heruntergeladenen Standardkonfigurationsdatei durch den vorstehenden Inhalt ersetzen und den Logstash-Dienst neu starten.

Kibana-Dashboard-Beispiele

Sie können das von Citrix bereitgestellte Kibana-Beispiel-Dashboard importieren, das Folgendes umfasst:

• Metriken
• Zeitdiagramme
• Weitere nützliche Visualisierungen von Sitzungs- und Infrastrukturtelemetriedaten.

Sie können die Dashboard-Definitionen (JSON-Dateien) von der Citrix Analytics Downloads-Seite herunterladen.

Sie können die Dashboard-Dateien in Ihre Kibana-Instanz importieren, entweder in eine Elasticsearch-Cloud oder ein Enterprise-Konto.

Bevor Sie das Dashboard importieren, stellen Sie sicher, dass Sie Ihre Logstash-, Elasticsearch- und Kibana-Instanzen ordnungsgemäß konfiguriert haben und die citrixanalytics-Indizes auf der Kibana-Indexverwaltungsseite anzeigen können.

Um die Dashboards und referenzierten Datenansichten zu importieren, führen Sie die folgenden Schritte aus:

1. Navigieren Sie zu Management > Saved Object.
2. Klicken Sie auf Import und wählen Sie die bereitgestellte ndjson-Datei aus, die in der gegebenen komprimierten Datei enthalten ist.
3. Sie können optional Create new objects with random IDs auswählen.
4. Klicken Sie auf Import.

Nachdem Sie die vorhergehenden Schritte abgeschlossen haben, können Sie die vier neuen gespeicherten Objekte wie im folgenden Bild angezeigt sehen:

Die Datenansichten werden von den Dashboard-Visualisierungen referenziert und verweisen auf die in der vorhergehenden Logstash-Konfiguration definierten Indizes. Sie müssen in der Lage sein, die Dashboards zu öffnen. Im Folgenden sind Beispiel-Dashboards aufgeführt:

Datenübertragung ein- oder ausschalten

Nachdem Citrix Analytics for Performance die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Elasticsearch aktiviert.

Um die Datenübertragung von Citrix Analytics for Performance zu beenden:

1. Gehen Sie zu Settings > Data Exports.

2. Deaktivieren Sie den Umschalter, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert.

   

3. Ein Warnfenster wird zur Bestätigung angezeigt. Klicken Sie auf Turn off data transmission, um die Übertragungsaktivität zu beenden.

   

Um die Datenübertragung wieder zu aktivieren, schalten Sie den Umschalter ein.