Elasticsearch連携
注:
Elasticsearch連携、Elasticsearchへのデータエクスポート、またはフィードバックに関するサポートについては、CAS-PM-Ext@cloud.comまでお問い合わせください。
Citrix Analytics for Performance™は、Logstashエンジンを使用してElasticsearchと連携できます。この連携により、Citrix IT環境からのユーザーデータをElasticsearchにエクスポートして関連付け、組織のセキュリティ状況に関するより深い洞察を得ることができます。
連携の利点と、可観測性プラットフォームに送信される処理済みデータの種類について詳しくは、「データエクスポート」を参照してください。
前提条件
-
少なくとも1つのデータソースでデータ処理を有効にします。これにより、Citrix Analytics for PerformanceはElasticsearch連携プロセスを開始できます。
-
次のエンドポイントがネットワークの許可リストに含まれていることを確認します。
エンドポイント 米国リージョン 欧州連合リージョン アジア太平洋南部リージョン Kafkaブローカー casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
Elasticsearchとの連携
-
[設定] > [データエクスポート] の順に移動します。
-
[アカウント設定] セクションで、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、連携に必要な構成ファイルを準備するために使用されます。
-
パスワードが次の条件を満たしていることを確認します。
-
[構成] をクリックして、Logstash構成ファイルを生成します。
-
可観測性プラットフォームセクションから [Elastic Search] タブを選択し、構成ファイルをダウンロードします。
-
Logstash構成ファイル: Citrix Analytics for PerformanceからLogstashデータ収集エンジンを使用してElasticsearchにイベントを送信するための構成データ(入力、フィルター、出力セクション)が含まれています。Logstash構成ファイルの構造については、Logstashのドキュメントを参照してください。
-
JKSファイル: SSL接続に必要な証明書が含まれています。
注
これらのファイルには機密情報が含まれています。安全な場所に保管してください。
-
-
Logstashを構成します。
-
LinuxまたはWindowsホストマシンにLogstashをインストールします。既存のLogstashインスタンスを使用することもできます。
-
Logstashをインストールしたホストマシンで、次のファイルを指定されたディレクトリに配置します。
ホストマシンの種類 ファイル名 ディレクトリパス Linux CAS_Elasticsearch_LogStash_Config.config DebianおよびRPMパッケージの場合: /etc/logstash/conf.d/.zipおよび.tar.gzアーカイブの場合: {extract.path}/configkafka.client.truststore.jks DebianおよびRPMパッケージの場合: /etc/logstash/ssl/.zipおよび.tar.gzアーカイブの場合: {extract.path}/sslWindows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\configkafka.client.truststore.jks Logstashインストールパッケージのデフォルトのディレクトリ構造については、Logstashのドキュメントを参照してください。
-
Logstash構成ファイルを開き、次の操作を行います。
-
ファイルの入力セクションに、次の情報を入力します。
-
パスワード: 構成ファイルを準備するためにCitrix Analytics for Performanceで作成したアカウントのパスワード。
-
SSLトラストストアの場所: SSLクライアント証明書の場所。これは、ホストマシン上のkafka.client.truststore.jksファイルの場所です。
-
-
ファイルの出力セクションに、ホストマシンまたはElasticsearchが実行されているクラスターのアドレスを入力します。
-
-
ホストマシンを再起動して、Citrix Analytics for PerformanceからElasticsearchに処理済みデータを送信します。
-
構成が完了したら、ElasticsearchでCitrix Analyticsデータが表示されることを確認します。
Logstashの構成
Logstash構成のサンプルは、Citrix Analytics for Performanceページからダウンロードできます。
以下は、提供されているサンプルKibanaダッシュボードをサポートできるLogstashパイプライン定義のわずかなバリエーションです。
filter {
json {
source => "message"
remove_field => ["message"]
}
date {
match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
target => "@timestamp"
}
}
filter {
mutate {
copy => ["eventType", "[@metadata][eventTypeIndex]"]
}
}
filter {
mutate {
lowercase => ["[@metadata][eventTypeIndex]"]
}
}
output {
elasticsearch {
hosts => ["<your logstash host : port>"]
index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
}
}
<!--NeedCopy-->
以前の構成に基づき、LogstashはeventTypeフィールドを使用してセッションイベントとマシンイベントを個別のインデックスに分離します。
Citrix Analyticsページからダウンロードしたデフォルトの構成ファイルの「filter」および「output」セクションを上記のコンテンツに置き換え、Logstashサービスを再起動できます。
Kibanaダッシュボードのサンプル
Citrixが提供するサンプルKibanaダッシュボードをインポートできます。これには以下が含まれます。
- メトリック
- タイムチャート
- セッションおよびインフラストラクチャのテレメトリのその他の便利な可視化
ダッシュボード定義(JSONファイル)は、Citrix Analyticsダウンロードページからダウンロードできます。
ダッシュボードファイルは、ElasticsearchクラウドまたはエンタープライズアカウントのいずれかのKibanaインスタンスにインポートできます。
ダッシュボードをインポートする前に、Logstash、Elasticsearch、Kibanaインスタンスが適切に構成されており、Kibanaインデックス管理ページでcitrixanalyticsインデックスを表示できることを確認してください。
ダッシュボードと参照されているデータビューをインポートするには、次の手順を実行します。
- [管理] > [保存済みオブジェクト] に移動します。
-
[インポート] をクリックし、提供されている圧縮ファイルに含まれる
ndjsonファイルを選択します。 - 必要に応じて、[ランダムIDで新しいオブジェクトを作成] を選択できます。
- [インポート] をクリックします。
上記の手順を完了すると、次の画像に示すように、4つの新しい保存済みオブジェクトを表示できます。
データビューはダッシュボードの可視化によって参照され、以前のLogstash構成で定義されたインデックスを参照しています。ダッシュボードを開くことができる必要があります。以下はサンプルダッシュボードです。
データ送信の有効化または無効化
Citrix Analytics for Performanceが構成ファイルを準備すると、Elasticsearchのデータ送信が有効になります。
Citrix Analytics for Performanceからのデータ送信を停止するには、次の手順を実行します。
-
[設定] > [データエクスポート] の順に移動します。
-
トグルボタンをオフにして、データ送信を無効にします。デフォルトでは、データ送信は常に有効になっています。
-
確認のための警告ウィンドウが表示されます。[データ送信をオフにする] をクリックして、送信アクティビティを停止します。
データ送信を再度有効にするには、トグルボタンをオンにします。