Elasticsearch 集成

注意:

联系 CAS-PM-Ext@cloud.com 请求有关 Elasticsearch 集成、将数据导出到 Elasticsearch 的帮助或提供反馈。

您可以使用 Logstash 引擎将 Citrix Analytics for Performance 与 Elasticsearch 集成。 通过此集成,您可以将用户数据从 Citrix IT 环境导出并关联到 Elasticsearch,并更深入地了解组织的安全状况。

有关集成的好处以及发送到 Observability 平台的已处理数据类型的更多信息,请参阅 数据导出.

必备条件

  • 为至少一个数据源启用数据处理。 它可以帮助 Citrix Analytics for Performance 开始 Elasticsearch 集成过程。

  • 确保以下终端节点位于网络的 allow 名单中。

    端点 美国区域 欧盟区域 亚太南部区域
    Kafka 代理 casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

与 Elasticsearch 集成

  1. 转到 设置 > 数据导出.

  2. 帐户设置 部分中,通过指定用户名和密码创建帐户。 此帐户用于准备集成所需的配置文件。

    SIEM 数据导出

  3. 确保密码满足以下条件:

    SIEM 密码要求

  4. 点击 配置 以生成 Logstash 配置文件。

    配置 Elasticsearch

  5. 选择 弹性搜索 选项卡以下载配置文件:

    • Logstash 配置文件:包含用于使用 Logstash 数据收集引擎将事件从 Citrix Analytics for Performance 发送到 Elasticsearch 的配置数据(输入、筛选和输出部分)。 有关 Logstash 配置文件结构的信息,请参阅 Logstash 文档。

    • JKS 文件:包括 SSL 连接所需的证书。

      注意:

      这些文件包含敏感信息。 将它们放在安全可靠的地方。

      选择 Elasticsearch

  6. 配置 Logstash:

    1. 在 Linux 或 Windows 主机上,安装 Logstash. 您还可以使用现有的 Logstash 实例。

    2. 在已安装 Logstash 的主机上,将以下文件放在指定目录中:

      主机类型 文件名 目录路径
      Linux CAS_Elasticsearch_LogStash_Config.config 对于 Debian 和 RPM 软件包: /etc/logstash/conf.d/
          对于 .zip 和 .tar.gz 档案: {extract.path}/配置
        kafka.client.truststore.jks 对于 Debian 和 RPM 软件包: /etc/logstash/ssl/
          对于 .zip 和 .tar.gz 档案: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      有关 Logstash 安装包的默认目录结构的信息,请参阅 Logstash 文档。

    3. 打开 Logstash 配置文件并执行以下操作:

      1. 在文件的 input 部分中,输入以下信息:

        • 密码:您在 Citrix Analytics for Performance 中创建的用于准备配置文件的帐户的密码。

        • SSL 信任库位置:您的 SSL 客户端证书的位置。 这是 kafka.client.truststore.jks 文件在主机中的位置。

        Elasticsearch input 部分

      2. 在文件的输出部分中,输入运行 Elasticsearch 的主机或集群的地址。

        Elasticsearch 输出部分

    4. 重新启动主机,将处理后的数据从 Citrix Analytics for Performance 发送到 Elasticsearch。

配置完成后,验证您是否可以在 Elasticsearch 中查看 Citrix Analytics 数据。

Logstash 配置

可以从 Citrix Analytics for Performance 页面下载示例 Logstash 配置。

以下是 Logstash 管道定义的一个小变体,可以支持提供的示例 Kibana 控制面板:

  filter {
    json {
      source => "message"
      remove_field => ["message"]
    }
    date {
      match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
      target => "@timestamp"
    }
  }

  filter {
    mutate {
      copy => ["eventType", "[@metadata][eventTypeIndex]"]
    }
  }

  filter {
    mutate {
      lowercase => ["[@metadata][eventTypeIndex]"]
    }
  }

  output {
    elasticsearch {
      hosts => ["<your logstash host : port>"]
      index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
    }
  }
<!--NeedCopy-->

基于之前的配置,Logstash 使用 eventType 事件类型 字段将 Session 和 Machine 事件分隔到单独的索引中。

您可以将从 Citrix Analytics 页面下载的默认配置文件的 “filter” 和 “output” 部分替换为上述内容,然后重新启动 Logstash 服务。

Kibana 仪表板示例

您可以导入 Citrix 提供的示例 Kibana 控制面板,其中包括:

  • 指标
  • 时间图表
  • 会话和基础设施遥测的其他有用可视化效果。

您可以从 Citrix Analytics 下载 页。

您可以将控制面板文件导入到 Kibana 实例中,也可以导入到 Elasticsearch 云或企业账户。

在导入控制面板之前,请确保您已正确配置 Logstash、Elasticsearch 和 Kibana 实例,并且能够查看 Citrix Analytics 索引。

要导入控制面板和引用的数据视图,请执行以下步骤:

  1. 导航到 管理 > 保存的对象.
  2. 点击 进口 并选择提供的 NDJSON 格式 文件。
  3. 您可以选择 创建具有随机 ID 的新对象.
  4. 单击导入

完成上述步骤后,您可以查看四个新保存的对象,如下图所示:

ElasticSearch 四个对象

数据视图由控制面板可视化引用,并引用在前面的 Logstash 配置中定义的索引。 您必须能够打开控制面板。 以下是示例控制面板:

ElasticSearch 仪表板 1

ElasticSearch 仪表板 2

打开或关闭数据传输

Citrix Analytics for Performance 准备配置文件后,将为 Elasticsearch 开启数据传输。

要停止从 Citrix Analytics for Performance 传输数据,请执行以下操作:

  1. 转到 设置 > 数据导出.

  2. 关闭切换按钮以禁用数据传输。 默认情况下, 数据传输 始终启用。

    SIEM 传输清除

  3. 此时将显示一个警告窗口供您确认。 点击 关闭数据传输 以停止传输活动。

    SIEM 传输清除警告

要再次启用数据传输,请打开切换按钮。

Elasticsearch 集成