Elasticsearchの統合

注意:

接触 CAS-PM-Ext@cloud.com Elasticsearch統合の支援を依頼したり、Elasticsearchにデータをエクスポートしたり、フィードバックを提供したりします。

Logstashエンジンを使用して、Citrix Analytics for PerformanceをElasticsearchと統合できます。 この統合により、Citrix IT環境からユーザーのデータをElasticsearchにエクスポートして関連付け、組織のセキュリティ体制に関するより深い洞察を得ることができます。

統合の利点と、観測可能性プラットフォームに送信される処理済みデータのタイプの詳細については、以下を参照してください。 データエクスポート.

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。 これは、Citrix Analytics for PerformanceがElasticsearch統合プロセスを開始するのに役立ちます。

  • 次のエンドポイントがネットワークの許可リストに含まれていることを確認します。

    Endpoint 米国地域 欧州連合地域 アジア太平洋南部地域
    Kafka ブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Elasticsearchとの統合

  1. 行きます 設定 > データのエクスポート.

  2. アカウントの設定 セクションで、ユーザー名とパスワードを指定してアカウントを作成します。 このアカウントは、統合に必要な設定ファイルを準備するために使用されます。

    SIEMデータのエクスポート

  3. パスワードが次の条件を満たしていることを確認してください。

    SIEM パスワード要件

  4. クリック 構成 Logstash設定ファイルを生成します。

    Elasticsearchの設定

  5. を選択します。 エラスティック検索 タブを Observability Platform セクションからダウンロードして、設定ファイルをダウンロードします。

    • Logstash設定ファイル:Logstashデータ収集エンジンを使用してCitrix Analytics for PerformanceからElasticsearchにイベントを送信するための構成データ(入力セクション、フィルターセクション、および出力セクション)が含まれています。 Logstash設定ファイルの構造については、 ログスタッシュ ドキュメンテーション。

    • JKS ファイル: SSL 接続に必要な証明書が含まれています。

      (注)

      これらのファイルには機密情報が含まれています。 それらを安全で安全な場所に保管してください。

      Elasticsearchを選択します

  6. Logstashを設定します。

    1. LinuxまたはWindowsホストマシンで、 ログスタッシュ. 既存のLogstashインスタンスを使用することもできます。

    2. Logstashをインストールしたホストマシンで、指定したディレクトリに次のファイルを配置します。

      ホストマシンタイプ ファイル名 ディレクトリ パス
      Linux CAS_Elasticsearch_LogStash_Config.config Debian および RPM パッケージの場合: /etc/logstash/conf.d/に
          .zipおよび.tar.gzアーカイブの場合: {extract.path}/configの
        kafka.client.truststore.jks Debian および RPM パッケージの場合: /etc/logstash/ssl/です。
          .zipおよび.tar.gzアーカイブの場合: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Logstashインストールパッケージのデフォルトのディレクトリ構造については、 ログスタッシュ ドキュメンテーション。

    3. Logstash設定ファイルを開き、次の操作を行います。

      1. ファイルの入力セクションで、次の情報を入力します。

        • パスワード:Citrix Analytics for Performanceで作成したアカウントのパスワードで、構成ファイルを準備します。

        • SSL トラストストアの場所: SSL クライアント証明書のロケーション。 これは、ホストマシン内の kafka.client.truststore.jks ファイルの場所です。

        Elasticsearch入力セクション

      2. ファイルの出力セクションに、ホストマシンまたは Elasticsearch が実行されているクラスターのアドレスを入力します。

        Elasticsearch出力セクション

    4. ホストマシンを再起動して、Citrix Analytics for PerformanceからElasticsearchに処理済みデータを送信します。

構成が完了したら、ElasticsearchでCitrix Analytics データを表示できることを確認します。

Logstashの設定

Logstash構成のサンプルは、Citrix Analytics for Performanceページからダウンロードできます。

以下は、提供されているサンプル Kibana ダッシュボードをサポートできる Logstash パイプライン定義の小さなバリエーションです。

  filter {
    json {
      source => "message"
      remove_field => ["message"]
    }
    date {
      match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
      target => "@timestamp"
    }
  }

  filter {
    mutate {
      copy => ["eventType", "[@metadata][eventTypeIndex]"]
    }
  }

  filter {
    mutate {
      lowercase => ["[@metadata][eventTypeIndex]"]
    }
  }

  output {
    elasticsearch {
      hosts => ["<your logstash host : port>"]
      index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
    }
  }
<!--NeedCopy-->

前の設定に基づいて、Logstashは イベントタイプ フィールドを Session イベントと Machine イベントを別々のインデックスに分離します。

Citrix Analyticsページからダウンロードしたデフォルトの構成ファイルの「filter」セクションと「output」セクションを前のコンテンツに置き換えて、Logstashサービスを再起動できます。

Kibana ダッシュボードのサンプル

Citrixが提供するサンプルのKibanaダッシュボードをインポートできます。

  • メトリック
  • タイムチャート
  • セッションとインフラストラクチャのテレメトリのその他の便利な視覚化。

ダッシュボード定義 (JSON ファイル) は、 Citrix Analytics のダウンロード ページ。

ダッシュボードファイルは、Kibanaインスタンス(Elasticsearchクラウドまたはエンタープライズアカウント)にインポートできます。

ダッシュボードをインポートする前に、Logstash、Elasticsearch、Kibana のインスタンスが適切に設定されていること、および表示できることを確認してください Citrixアナリティクス インデックスをKibana Index Managementページに追加します。

ダッシュボードと参照データ・ビューをインポートするには、以下のステップを実行します。

  1. に移動します 管理 > 保存済みオブジェクト.
  2. クリック 輸入 を選択し、提供されている ndjsonの 指定された圧縮ファイルに含まれるファイル。
  3. オプションで選択することもできます ランダムな ID を持つ新しいオブジェクトの作成.
  4. [インポート] をクリックします。

上記の手順を完了すると、次の図に示すように、新しく保存された 4 つのオブジェクトを表示できます。

ElasticSearchの4つのオブジェクト

データ ビューは、ダッシュボードの視覚化によって参照され、前の Logstash 構成で定義されたインデックスを参照しています。 ダッシュボードを開くことができる必要があります。 以下は、ダッシュボードの例です。

ElasticSearchダッシュボード1

ElasticSearchダッシュボード2

データ送信をオンまたはオフにする

Citrix Analytics for Performanceが構成ファイルを準備すると、Elasticsearchのデータ転送がオンになります。

Citrix Analytics for Performanceからのデータ送信を停止するには:

  1. 行きます 設定 > データのエクスポート.

  2. トグルボタンをオフにして、データ転送を無効にします。 デフォルトでは、 データ伝送 は常に有効になっています。

    SIEM送信クリア

  3. 確認のための警告ウィンドウが表示されます。 クリック データ送信をオフにする を送信活動を停止します。

    SIEM伝送クリア警告

データ転送を再度有効にするには、トグルボタンをオンにします。

Elasticsearchの統合