Integración de Elasticsearch

Nota

Contacto CAS-PM-Ext@cloud.com para solicitar asistencia para la integración de Elasticsearch, exportar datos a Elasticsearch o proporcionar comentarios.

Puede integrar Citrix Analytics for Performance con Elasticsearch mediante el motor Logstash. Esta integración le permite exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix a Elasticsearch y obtener información más detallada sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su plataforma de observabilidad, consulte Exportación de datos.

Requisitos previos

  • Active el procesamiento de datos para al menos una fuente de datos. Ayuda a Citrix Analytics for Performance a iniciar el proceso de integración de Elasticsearch.

  • Asegúrese de que el siguiente punto de conexión esté en la lista de permitidos de la red.

    Dispositivo de punto final Región de Estados Unidos Región de la Unión Europea Región Asia Pacífico Sur
    Corredores de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integración con Elasticsearch

  1. Vete a Configuración > Exportación de datos.

  2. En el Configuración de la cuenta , cree una cuenta especificando el nombre de usuario y una contraseña. Esta cuenta se utiliza para preparar un archivo de configuración, que es necesario para la integración.

    Exportación de datos SIEM

  3. Asegúrese de que la contraseña cumpla las siguientes condiciones:

    Requisitos de contraseña de SIEM

  4. Clic Configurar para generar el archivo de configuración de Logstash.

    Configurar Elasticsearch

  5. Seleccione la opción Búsqueda elástica de la sección Plataforma de observabilidad para descargar los archivos de configuración:

    • Archivo de configuración de Logstash: Contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos de Citrix Analytics for Performance a Elasticsearch mediante el motor de recopilación de datos Logstash. Para obtener información sobre la estructura del archivo de configuración de Logstash, consulte la Alijo de registros documentación.

    • Archivo JKS: Incluye los certificados necesarios para la conexión SSL.

      Nota

      Estos archivos contienen información confidencial. Guárdelos en un lugar seguro y protegido.

      Seleccione Elasticsearch

  6. Configurar Logstash:

    1. En su máquina host Linux o Windows, instale Alijo de registros. También puedes usar tu instancia de Logstash existente.

    2. En el equipo host en el que ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:

      Tipo de máquina host Nombre de archivo Ruta de acceso del directorio
      Linux CAS_Elasticsearch_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
          Para .zip y .tar.gz archivos: {extract.path}/config
        kafka.cliente.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
          Para .zip y .tar.gz archivos: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.cliente.truststore.jks  

      Para obtener información sobre la estructura de directorios predeterminada de los paquetes de instalación de Logstash, consulte la Alijo de registros documentación.

    3. Abra el archivo de configuración de Logstash y haga lo siguiente:

      1. En la sección de entrada del archivo, introduzca la siguiente información:

        • Contraseña: La contraseña de la cuenta que ha creado en Citrix Analytics for Performance para preparar el archivo de configuración.

        • Ubicación del almacén de confianza SSL: La ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en el equipo host.

        Sección de entrada de Elasticsearch

      2. En la sección de salida del archivo, introduzca la dirección de su máquina host o del clúster donde se ejecuta Elasticsearch.

        Sección de salida de Elasticsearch

    4. Reinicie el equipo host para enviar los datos procesados de Citrix Analytics for Performance a Elasticsearch.

Una vez completada la configuración, compruebe que puede ver los datos de Citrix Analytics en su Elasticsearch.

Configuración de Logstash

Se puede descargar un ejemplo de configuración de Logstash desde la página Citrix Analytics for Performance.

A continuación, se muestra una pequeña variación de la definición de canalización de Logstash que puede admitir los paneles de Kibana de ejemplo proporcionados:

  filter {
    json {
      source => "message"
      remove_field => ["message"]
    }
    date {
      match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
      target => "@timestamp"
    }
  }

  filter {
    mutate {
      copy => ["eventType", "[@metadata][eventTypeIndex]"]
    }
  }

  filter {
    mutate {
      lowercase => ["[@metadata][eventTypeIndex]"]
    }
  }

  output {
    elasticsearch {
      hosts => ["<your logstash host : port>"]
      index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
    }
  }
<!--NeedCopy-->

Sobre la base de la configuración anterior, Logstash utiliza el método eventType para separar los eventos Session y Machine para separar índices.

Puede reemplazar las secciones “filtro” y “salida” del archivo de configuración predeterminado descargado de la página Citrix Analytics con el contenido anterior y reiniciar el servicio Logstash.

Ejemplos de paneles de Kibana

Puede importar el panel de Kibana de muestra proporcionado por Citrix, que incluye:

  • Métricas
  • Gráficos de tiempo
  • Otras visualizaciones útiles de la telemetría de sesión e infraestructura.

Puede descargar las definiciones del panel de control (archivos JSON) de la carpeta Descargas de Citrix Analytics página.

Puedes importar los archivos del panel a tu instancia de Kibana, ya sea a una cuenta en la nube o en una cuenta empresarial de Elasticsearch.

Antes de importar el panel, asegúrese de haber configurado correctamente las instancias de Logstash, Elasticsearch y Kibana y de poder ver Citrix Analytics en la página Administración de índices de Kibana.

Para importar los paneles y las vistas de datos a los que se hace referencia, realice los siguientes pasos:

  1. Vaya a Administración > Objeto guardado.
  2. Clic Importación y seleccione la opción proporcionada ndjson archivo incluido en el archivo comprimido dado.
  3. Opcionalmente, puede seleccionar Creación de nuevos objetos con ID aleatorios.
  4. Haga clic en Import.

Después de completar los pasos anteriores, puede ver los cuatro nuevos objetos guardados como se muestra en la siguiente imagen:

ElasticSearch cuatro objetos

Las visualizaciones del panel de control hacen referencia a las vistas de datos y hacen referencia a los índices definidos en la configuración anterior de Logstash. Debe poder abrir los paneles. A continuación se muestran paneles de ejemplo:

Panel de control de ElasticSearch 1

Panel de control de ElasticSearch 2

Activar o desactivar la transmisión de datos

Una vez que Citrix Analytics for Performance prepara el archivo de configuración, la transmisión de datos se activa para Elasticsearch.

Para detener la transmisión de datos desde Citrix Analytics for Performance:

  1. Vete a Configuración > Exportación de datos.

  2. Apague el botón de alternancia para deshabilitar la transmisión de datos. De forma predeterminada, el método transmisión de datos siempre está habilitado.

    Transmisiones SIEM claras

  3. Aparecerá una ventana de advertencia para su confirmación. Clic Desactivar la transmisión de datos para detener la actividad de transmisión.

    Advertencia clara de transmisión SIEM

Para volver a habilitar la transmisión de datos, active el botón de alternancia.

Integración de Elasticsearch