Elasticsearch 集成
Note:
如需获取 Elasticsearch 集成、将数据导出到 Elasticsearch 或提供反馈方面的帮助,请联系 CAS-PM-Ext@cloud.com。
您可以使用 Logstash 引擎将 Citrix Analytics for Performance™ 与 Elasticsearch 集成。此集成使您能够将 Citrix IT 环境中的用户数据导出并关联到 Elasticsearch,从而更深入地了解组织的安全状况。
有关集成优势以及发送到可观测性平台的数据类型处理的更多信息,请参阅数据导出。
先决条件
-
为至少一个数据源启用数据处理。这有助于 Citrix Analytics for Performance 启动 Elasticsearch 集成过程。
-
确保以下端点在您的网络中处于允许列表中。
端点 美国区域 欧盟区域 亚太南部区域 Kafka brokers casnb-0.citrix.com:9094casnb-eu-0.citrix.com:9094casnb-aps-0.citrix.com:9094casnb-1.citrix.com:9094casnb-eu-1.citrix.com:9094casnb-aps-1.citrix.com:9094casnb-2.citrix.com:9094casnb-eu-2.citrix.com:9094casnb-aps-2.citrix.com:9094casnb-3.citrix.com:9094
与 Elasticsearch 集成
-
转至“Settings”(设置)>“Data Exports”(数据导出)。
-
在“Account set up”(帐户设置)部分,通过指定用户名和密码来创建帐户。此帐户用于准备集成所需的配置文件。
-
确保密码满足以下条件:
-
单击“Configure”(配置)以生成 Logstash 配置文件。
-
从“Observability Platform”(可观测性平台)部分选择“Elastic Search”选项卡以下载配置文件:
-
Logstash config file(Logstash 配置文件):包含用于通过 Logstash 数据收集引擎将事件从 Citrix Analytics for Performance 发送到 Elasticsearch 的配置数据(输入、筛选器和输出部分)。有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。
-
JKS file(JKS 文件):包含 SSL 连接所需的证书。
Note
这些文件包含敏感信息。请将其保存在安全位置。
-
-
配置 Logstash:
-
在您的 Linux 或 Windows 主机上,安装 Logstash。您也可以使用现有的 Logstash 实例。
-
在安装了 Logstash 的主机上,将以下文件放置在指定目录中:
主机类型 文件名 目录路径 Linux CAS_Elasticsearch_LogStash_Config.config对于 Debian 和 RPM 软件包: /etc/logstash/conf.d/对于 .zip 和 .tar.gz 归档文件: {extract.path}/configkafka.client.truststore.jks对于 Debian 和 RPM 软件包: /etc/logstash/ssl/对于 .zip 和 .tar.gz 归档文件: {extract.path}/sslWindows CAS_Elasticsearch_LogStash_Config.configC:\logstash-7.xx.x\configkafka.client.truststore.jks有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档。
-
打开 Logstash 配置文件并执行以下操作:
-
在文件的
input部分中,输入以下信息:-
Password(密码):您在 Citrix Analytics for Performance 中创建的用于准备配置文件的帐户的密码。
-
SSL truststore location(SSL 信任库位置):您的 SSL 客户端证书的位置。这是您的主机中
kafka.client.truststore.jks文件的位置。
-
-
在文件的
output部分中,输入您的主机或运行 Elasticsearch 的群集的地址。
-
-
重新启动主机以将处理后的数据从 Citrix Analytics for Performance 发送到 Elasticsearch。
-
配置完成后,请验证您是否可以在 Elasticsearch 中查看 Citrix Analytics 数据。
Logstash 配置
可以从 Citrix Analytics for Performance 页面下载 Logstash 配置示例。
以下是 Logstash 管道定义的一个小变体,可以支持所提供的 Kibana 仪表板示例:
filter {
json {
source => "message"
remove_field => ["message"]
}
date {
match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
target => "@timestamp"
}
}
filter {
mutate {
copy => ["eventType", "[@metadata][eventTypeIndex]"]
}
}
filter {
mutate {
lowercase => ["[@metadata][eventTypeIndex]"]
}
}
output {
elasticsearch {
hosts => ["<your logstash host : port>"]
index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
}
}
<!--NeedCopy-->
根据之前的配置,Logstash 使用 eventType 字段将会话和计算机事件分离到不同的索引中。
您可以将从 Citrix Analytics 页面下载的默认配置文件的“filter”和“output”部分替换为上述内容,然后重新启动 Logstash 服务。
Kibana 仪表板示例
您可以导入 Citrix 提供的 Kibana 仪表板示例,其中包括:
- 指标
- 时间图表
- 会话和基础架构遥测的其他有用可视化。
您可以从 Citrix Analytics 下载页面下载仪表板定义(JSON 文件)。
您可以将仪表板文件导入到您的 Kibana 实例,无论是 Elasticsearch 云帐户还是企业帐户。
在导入仪表板之前,请确保您已正确配置 Logstash、Elasticsearch 和 Kibana 实例,并且能够在 Kibana 索引管理页面中查看 citrixanalytics 索引。
要导入仪表板和引用的数据视图,请执行以下步骤:
- 导航到“Management”(管理)>“Saved Object”(已保存对象)。
- 单击“Import”(导入),然后选择给定压缩文件中包含的
ndjson文件。 - 您可以选择“Create new objects with random IDs”(创建具有随机 ID 的新对象)。
- 单击“Import”(导入)。
完成上述步骤后,您可以看到四个新的已保存对象,如下图所示:
数据视图由仪表板可视化引用,并引用了上述 Logstash 配置中定义的索引。您应该能够打开仪表板。以下是仪表板示例:
启用或禁用数据传输
Citrix Analytics for Performance 准备好配置文件后,将为 Elasticsearch 启用数据传输。
要停止从 Citrix Analytics for Performance 传输数据:
-
转至“Settings”(设置)>“Data Exports”(数据导出)。
-
关闭切换按钮以禁用数据传输。默认情况下,“data transmission”(数据传输)始终处于启用状态。
-
将出现一个警告窗口,要求您确认。单击“Turn off data transmission”(关闭数据传输)以停止传输活动。
要再次启用数据传输,请打开切换按钮。