Elasticsearch-Integration

Hinweis:

Wenden Sie sich an CAS-PM-Ext@cloud.com, um Unterstützung für die Elasticsearch-Integration, den Export von Daten nach Elasticsearch anzufordern oder Feedback zu geben.

Sie können Citrix Analytics for Performance mithilfe der Logstash-Engine in Elasticsearch integrieren. Diese Integration ermöglicht es Ihnen, die Daten der Benutzer aus Ihrer Citrix IT-Umgebung nach Elasticsearch zu exportieren und zu korrelieren und so tiefere Einblicke in die Sicherheitslage Ihres Unternehmens zu erhalten.

Weitere Informationen zu den Vorteilen der Integration und der Art der verarbeiteten Daten, die an Ihre Observability-Plattform gesendet werden, finden Sie unter Datenexport.

Voraussetzungen

• Aktivieren Sie die Datenverarbeitung für mindestens eine Datenquelle. Es hilft Citrix Analytics for Performance, den Elasticsearch-Integrationsprozess zu beginnen.

• Stellen Sie sicher, dass der folgende Endpunkt in der Zulassen Liste in Ihrem Netzwerk enthalten ist.

  Endpunkt	Region der Vereinigten Staaten	Region der Europäischen Union	Asien-Pazifik Süd
  Kafka Broker	casnb-0.citrix.com:9094	casnb-eu-0.citrix.com:9094	casnb-aps-0.citrix.com:9094
  	casnb-1.citrix.com:9094	casnb-eu-1.citrix.com:9094	casnb-aps-1.citrix.com:9094
  	casnb-2.citrix.com:9094	casnb-eu-2.citrix.com:9094	casnb-aps-2.citrix.com:9094
  	casnb-3.citrix.com:9094

Integrieren Sie mit Elasticsearch

1. Gehen Sie zu Einstellungen > Datenexporte.

2. Erstellen Sie im Abschnitt Kontoeinrichtung ein Konto, indem Sie den Benutzernamen und ein Kennwort angeben. Dieses Konto wird verwendet, um eine Konfigurationsdatei vorzubereiten, die für die Integration erforderlich ist.

   

3. Stellen Sie sicher, dass das Kennwort die folgenden Bedingungen erfüllt:

   

4. Klicken Sie auf Konfigurieren, um die Logstash-Konfigurationsdatei zu erstellen

   

5. Wählen Sie im Abschnitt Observability Platform die Registerkarte Elastic Search aus, um die Konfigurationsdateien herunterzuladen:

   • Logstash-Konfigurationsdatei: Enthält die Konfigurationsdaten (Eingabe-, Filter- und Ausgabeabschnitte) zum Senden von Ereignissen von Citrix Analytics for Performance an Elasticsearch mithilfe der Logstash-Datenerfassungs-Engine. Informationen zur Struktur der Logstash-Konfigurationsdatei finden Sie in der Logstash-Dokumentation.

   • JKS-Datei: Enthält die für die SSL-Verbindung erforderlichen Zertifikate.

     Hinweis

     Diese Dateien enthalten sensible Informationen. Bewahren Sie sie an einem sicheren Ort auf.

     

6. Konfigurieren Sie Logstash:

   1. Installieren Sie Logstash auf Ihrem Linux- oder Windows-Hostcomputer. Sie können auch Ihre vorhandene Logstash-Instanz verwenden.

   2. Platzieren Sie auf dem Host-Computer, auf dem Sie Logstash installiert haben, die folgenden Dateien in das angegebene Verzeichnis:

      Host-Maschinentyp	Dateiname	Pfad für das Verzeichnis
      Linux	CAS_Elasticsearch_LogStash_Config.config	Für Debian- und RPM-Pakete: /etc/logstash/conf.d/
      		Für .zip- und .tar.gz-Archive: {extract.path}/config
      	kafka.client.truststore.jks	Für Debian- und RPM-Pakete: /etc/logstash/ssl/
      		Für .zip- und .tar.gz-Archive: {extract.path}/ssl
      Windows	CAS_Elasticsearch_LogStash_Config.config	C:\logstash-7.xx.x\config
      	kafka.client.truststore.jks

      Informationen zur Standardverzeichnisstruktur der Logstash-Installationspakete finden Sie in der Logstash-Dokumentation.

   3. Öffnen Sie die Logstash-Konfigurationsdatei und gehen Sie wie folgt vor:

      1. Geben Sie im Eingabebereich der Datei die folgenden Informationen ein:

         • Kennwort: Das Kennwort des Kontos, das Sie in Citrix Analytics for Performance erstellt haben, um die Konfigurationsdatei vorzubereiten.

         • SSL-Truststore-Standort: Der Speicherort Ihres SSL-Clientzertifikats. Dies ist der Speicherort der Datei kafka.client.truststore.jks auf Ihrem Host-Computer.

         

      2. Geben Sie im Ausgabebereich der Datei die Adresse Ihres Host-Computers oder des Clusters ein, in dem Elasticsearch ausgeführt wird.

         

   4. Starten Sie Ihren Host-Computer neu, um verarbeitete Daten von Citrix Analytics for Performance an Elasticsearch zu senden.

Stellen Sie nach Abschluss der Konfiguration sicher, dass Sie die Citrix Analytics-Daten in Ihrer Elasticsearch anzeigen können.

Logstash-Konfiguration

Eine Beispiel-Logstash-Konfiguration kann von der Seite Citrix Analytics for Performance heruntergeladen werden.

Im Folgenden finden Sie eine kleine Variante der Logstash-Pipeline-Definition, die die bereitgestellten Kibana-Beispiel-Dashboards unterstützen kann:

filter {
  json {
    source => "message"
    remove_field => ["message"]
  }
  date {
    match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
    target => "@timestamp"
  }
}

filter {
  mutate {
    copy => ["eventType", "[@metadata][eventTypeIndex]"]
  }
}

filter {
  mutate {
    lowercase => ["[@metadata][eventTypeIndex]"]
  }
}

output {
  elasticsearch {
    hosts => ["<your logstash host : port>"]
    index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
  }
}
<!--NeedCopy-->

Basierend auf der vorherigen Konfiguration verwendet Logstash das Feld eventType, um Sitzungs- und Maschinenereignisse und damit Indizes zu trennen.

Sie können die Abschnitte “Filter” und “Ausgabe” der Standardkonfigurationsdatei, die von der Citrix Analytics-Seite heruntergeladen wurde, durch den vorherigen Inhalt ersetzen und den Logstash-Dienst neu starten.

Beispiele für ein Kibana-Dashboard

Sie können das von Citrix bereitgestellte Kibana-Beispiel-Dashboard importieren, das Folgendes beinhaltet:

• Metriken
• Zeitdiagramme
• Weitere nützliche Visualisierungen der Sitzungs- und Infrastrukturtelemetrie.

Sie können die Dashboard-Definitionen (JSON-Dateien) von der Citrix Analytics-Downloadseite herunterladen.

Sie können die Dashboard-Dateien in Ihre Kibana-Instanz importieren, entweder in ein Elasticsearch-Cloud- oder Enterprise-Konto.

Stellen Sie vor dem Import des Dashboards sicher, dass Sie Ihre Logstash-, Elasticsearch- und Kibana-Instances richtig konfiguriert haben und citrixanalytics-Indizes auf der Kibana-Indexverwaltungsseite einsehen können.

Gehen Sie wie folgt vor, um die Dashboards und referenzierten Datenansichten zu importieren:

1. Navigieren Sie zu Verwaltung > Gespeichertes Objekt.
2. Klicken Sie auf Importieren und wählen Sie die bereitgestellte Datei ndjson aus, die in der angegebenen komprimierten Datei enthalten ist.
3. Sie können optional Neue Objekte mit zufälligen IDs erstellen auswählen.
4. Klicken Sie auf Importieren.

Nachdem Sie die vorherigen Schritte abgeschlossen haben, können Sie die vier neuen gespeicherten Objekte wie in der folgenden Abbildung dargestellt anzeigen:

Die Datenansichten werden von den Dashboard-Visualisierungen referenziert und verweisen auf die Indizes, die in der vorherigen Logstash-Konfiguration definiert wurden. Sie müssen in der Lage sein, die Dashboards zu öffnen. Im Folgenden finden Sie Beispiel-Dashboards:

Aktivieren oder Deaktivieren der Datenübertragung

Nachdem Citrix Analytics for Performance die Konfigurationsdatei vorbereitet hat, wird die Datenübertragung für Elasticsearch aktiviert.

So beenden Sie die Übertragung von Daten von Citrix Analytics for Performance:

1. Gehen Sie zu Einstellungen > Datenexporte.

2. Schalten Sie die Umschalttaste aus, um die Datenübertragung zu deaktivieren. Standardmäßig ist die Datenübertragung immer aktiviert.

   

3. Zur Bestätigung wird ein Warnfenster angezeigt. Klicken Sie auf Datenübertragung ausschalten, um die Übertragungsaktivität zu beenden.

   

Um die Datenübertragung wieder zu aktivieren, schalten Sie die Umschalttaste ein.