Elasticsearch 集成
注意:
联系 CAS-PM-Ext@cloud.com 请求有关 Elasticsearch 集成、将数据导出到 Elasticsearch 的帮助或提供反馈。
您可以使用 Logstash 引擎将 Citrix Analytics for Performance 与 Elasticsearch 集成。 通过此集成,您可以将用户数据从 Citrix IT 环境导出并关联到 Elasticsearch,并更深入地了解组织的安全状况。
有关集成的好处以及发送到 Observability 平台的已处理数据类型的更多信息,请参阅 数据导出.
必备条件
-
为至少一个数据源启用数据处理。 它可以帮助 Citrix Analytics for Performance 开始 Elasticsearch 集成过程。
-
确保以下终端节点位于网络的 allow 名单中。
端点 美国区域 欧盟区域 亚太南部区域 Kafka 代理 casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
与 Elasticsearch 集成
-
转到 设置 > 数据导出.
-
在 帐户设置 部分中,通过指定用户名和密码创建帐户。 此帐户用于准备集成所需的配置文件。
-
确保密码满足以下条件:
-
点击 配置 以生成 Logstash 配置文件。
-
选择 弹性搜索 选项卡以下载配置文件:
-
Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics for Performance 发送到 Elasticsearch 的配置数据(输入、筛选和输出部分)。 有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。
-
JKS 文件:包括 SSL 连接所需的证书。
注意:
这些文件包含敏感信息。 将它们放在安全可靠的地方。
-
-
配置 Logstash:
-
在 Linux 或 Windows 主机上,安装 Logstash. 您还可以使用现有的 Logstash 实例。
-
在已安装 Logstash 的主机上,将以下文件放在指定目录中:
主机类型 文件名 目录路径 Linux CAS_Elasticsearch_LogStash_Config.config 对于 Debian 和 RPM 软件包: /etc/logstash/conf.d/对于 .zip 和 .tar.gz 档案: {extract.path}/配置kafka.client.truststore.jks 对于 Debian 和 RPM 软件包: /etc/logstash/ssl/对于 .zip 和 .tar.gz 档案: {extract.path}/sslWindows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\configkafka.client.truststore.jks 有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档。
-
打开 Logstash 配置文件并执行以下操作:
-
在文件的 input 部分中,输入以下信息:
-
密码:您在 Citrix Analytics for Performance 中创建的用于准备配置文件的帐户的密码。
-
SSL 信任库位置:您的 SSL 客户端证书的位置。 这是 kafka.client.truststore.jks 文件在主机中的位置。
-
-
在文件的输出部分中,输入运行 Elasticsearch 的主机或集群的地址。
-
-
重新启动主机,将处理后的数据从 Citrix Analytics for Performance 发送到 Elasticsearch。
-
配置完成后,验证您是否可以在 Elasticsearch 中查看 Citrix Analytics 数据。
Logstash 配置
可以从 Citrix Analytics for Performance 页面下载示例 Logstash 配置。
以下是 Logstash 管道定义的一个小变体,可以支持提供的示例 Kibana 控制面板:
filter {
json {
source => "message"
remove_field => ["message"]
}
date {
match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
target => "@timestamp"
}
}
filter {
mutate {
copy => ["eventType", "[@metadata][eventTypeIndex]"]
}
}
filter {
mutate {
lowercase => ["[@metadata][eventTypeIndex]"]
}
}
output {
elasticsearch {
hosts => ["<your logstash host : port>"]
index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
}
}
<!--NeedCopy-->
基于之前的配置,Logstash 使用 eventType 事件类型 字段将 Session 和 Machine 事件分隔到单独的索引中。
您可以将从 Citrix Analytics 页面下载的默认配置文件的 “filter” 和 “output” 部分替换为上述内容,然后重新启动 Logstash 服务。
Kibana 仪表板示例
您可以导入 Citrix 提供的示例 Kibana 控制面板,其中包括:
- 指标
- 时间图表
- 会话和基础设施遥测的其他有用可视化效果。
您可以从 Citrix Analytics 下载 页。
您可以将控制面板文件导入到 Kibana 实例中,也可以导入到 Elasticsearch 云或企业账户。
在导入控制面板之前,请确保您已正确配置 Logstash、Elasticsearch 和 Kibana 实例,并且能够查看 Citrix Analytics 索引。
要导入控制面板和引用的数据视图,请执行以下步骤:
- 导航到 管理 > 保存的对象.
- 点击 进口 并选择提供的
NDJSON 格式文件。 - 您可以选择 创建具有随机 ID 的新对象.
- 单击导入。
完成上述步骤后,您可以查看四个新保存的对象,如下图所示:
数据视图由控制面板可视化引用,并引用在前面的 Logstash 配置中定义的索引。 您必须能够打开控制面板。 以下是示例控制面板:
打开或关闭数据传输
Citrix Analytics for Performance 准备配置文件后,将为 Elasticsearch 开启数据传输。
要停止从 Citrix Analytics for Performance 传输数据,请执行以下操作:
-
转到 设置 > 数据导出.
-
关闭切换按钮以禁用数据传输。 默认情况下, 数据传输 始终启用。
-
此时将显示一个警告窗口供您确认。 点击 关闭数据传输 以停止传输活动。
要再次启用数据传输,请打开切换按钮。