Integración con Elasticsearch

Nota:

Contacta con CAS-PM-Ext@cloud.com para solicitar asistencia con la integración de Elasticsearch, la exportación de datos a Elasticsearch o para enviar comentarios.

Puedes integrar Citrix Analytics for Performance™ con Elasticsearch usando el motor de Logstash. Esta integración te permite exportar y correlacionar los datos de los usuarios de tu entorno de TI de Citrix a Elasticsearch y obtener información más detallada sobre la postura de seguridad de tu organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a tu plataforma de Observabilidad, consulta Exportación de datos.

Requisitos previos

• Activa el procesamiento de datos para al menos una fuente de datos. Esto ayuda a Citrix Analytics for Performance a iniciar el proceso de integración con Elasticsearch.

• Asegúrate de que el siguiente punto de conexión esté en la lista de permitidos de tu red.

  Punto de conexión	Región de Estados Unidos	Región de la Unión Europea	Región de Asia Pacífico Sur
  Agentes de Kafka	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Integrar con Elasticsearch

1. Ve a Configuración > Exportaciones de datos.

2. En la sección Configuración de la cuenta, crea una cuenta especificando el nombre de usuario y una contraseña. Esta cuenta se usa para preparar un archivo de configuración, que es necesario para la integración.

   

3. Asegúrate de que la contraseña cumpla las siguientes condiciones:

   

4. Haz clic en Configurar para generar el archivo de configuración de Logstash.

   

5. Selecciona la ficha Elastic Search en la sección Plataforma de Observabilidad para descargar los archivos de configuración:

   • Archivo de configuración de Logstash: Contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos de Citrix Analytics for Performance a Elasticsearch usando el motor de recopilación de datos de Logstash. Para obtener información sobre la estructura del archivo de configuración de Logstash, consulta la documentación de Logstash.

   • Archivo JKS: Incluye los certificados necesarios para la conexión SSL.

     Nota

     Estos archivos contienen información confidencial. Guárdalos en un lugar seguro.

     

6. Configura Logstash:

   1. En tu equipo host Linux o Windows, instala Logstash. También puedes usar tu instancia de Logstash existente.

   2. En el equipo host donde hayas instalado Logstash, coloca los siguientes archivos en el directorio especificado:

      Tipo de equipo host	Nombre de archivo	Ruta del directorio
      Linux	CAS_Elasticsearch_LogStash_Config.config	Para paquetes Debian y RPM: /etc/logstash/conf.d/
      		Para archivos .zip y .tar.gz: {extract.path}/config
      	kafka.client.truststore.jks	Para paquetes Debian y RPM: /etc/logstash/ssl/
      		Para archivos .zip y .tar.gz: {extract.path}/ssl
      Windows	CAS_Elasticsearch_LogStash_Config.config	C:\logstash-7.xx.x\config
      	kafka.client.truststore.jks

      Para obtener información sobre la estructura de directorios predeterminada de los paquetes de instalación de Logstash, consulta la documentación de Logstash.

   3. Abre el archivo de configuración de Logstash y haz lo siguiente:

      1. En la sección de entrada del archivo, introduce la siguiente información:

         • Contraseña: La contraseña de la cuenta que creaste en Citrix Analytics for Performance para preparar el archivo de configuración.

         • Ubicación del almacén de confianza SSL: La ubicación de tu certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en tu equipo host.

         

      2. En la sección de salida del archivo, introduce la dirección de tu equipo host o del clúster donde se ejecuta Elasticsearch.

         

   4. Reinicia tu equipo host para enviar los datos procesados de Citrix Analytics for Performance a Elasticsearch.

Una vez completada la configuración, verifica que puedes ver los datos de Citrix Analytics en tu Elasticsearch.

Configuración de Logstash

Puedes descargar una configuración de Logstash de ejemplo desde la página de Citrix Analytics for Performance.

La siguiente es una pequeña variación de la definición de la canalización de Logstash que puede admitir los paneles de Kibana de ejemplo proporcionados:

filter {
  json {
    source => "message"
    remove_field => ["message"]
  }
  date {
    match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
    target => "@timestamp"
  }
}
 
filter {
  mutate {
    copy => ["eventType", "[@metadata][eventTypeIndex]"]
  }
}
 
filter {
  mutate {
    lowercase => ["[@metadata][eventTypeIndex]"]
  }
}
 
output {
  elasticsearch {
    hosts => ["<your logstash host : port>"]
    index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
  }
}
<!--NeedCopy-->

Según la configuración anterior, Logstash usa el campo eventType para separar los eventos de sesión y de máquina en índices separados.

Puedes reemplazar las secciones “filter” y “output” del archivo de configuración predeterminado descargado de la página de Citrix Analytics con el contenido anterior y reiniciar el servicio de Logstash.

Ejemplos de paneles de Kibana

Puedes importar el panel de Kibana de ejemplo proporcionado por Citrix, que incluye:

• Métricas
• Gráficos de tiempo
• Otras visualizaciones útiles de telemetría de sesión e infraestructura.

Puedes descargar las definiciones de los paneles (archivos JSON) desde la página de descargas de Citrix Analytics.

Puedes importar los archivos del panel a tu instancia de Kibana, ya sea a una cuenta de Elasticsearch Cloud o Enterprise.

Antes de importar el panel, asegúrate de haber configurado correctamente tus instancias de Logstash, Elasticsearch y Kibana y de poder ver los índices citrixanalytics en la página de administración de índices de Kibana.

Para importar los paneles y las vistas de datos referenciadas, realiza los siguientes pasos:

1. Navega a Administración > Objeto guardado.
2. Haz clic en Importar y selecciona el archivo ndjson proporcionado incluido en el archivo comprimido.
3. Opcionalmente, puedes seleccionar Crear nuevos objetos con ID aleatorios.
4. Haz clic en Importar.

Después de completar los pasos anteriores, puedes ver los cuatro nuevos objetos guardados como se muestra en la siguiente imagen:

Las vistas de datos son referenciadas por las visualizaciones del panel y referencian los índices definidos en la configuración de Logstash anterior. Debes poder abrir los paneles. Los siguientes son ejemplos de paneles:

Activar o desactivar la transmisión de datos

Después de que Citrix Analytics for Performance prepare el archivo de configuración, la transmisión de datos se activa para Elasticsearch.

Para detener la transmisión de datos desde Citrix Analytics for Performance:

1. Ve a Configuración > Exportaciones de datos.

2. Desactiva el botón de alternancia para deshabilitar la transmisión de datos. Por defecto, la transmisión de datos siempre está activada.

   

3. Aparece una ventana de advertencia para tu confirmación. Haz clic en Desactivar transmisión de datos para detener la actividad de transmisión.

   

Para volver a activar la transmisión de datos, activa el botón de alternancia.