Integración de Elasticsearch

Nota:

Contacte con CAS-PM-Ext@cloud.com para solicitar ayuda para la integración de Elasticsearch, la exportación de datos a Elasticsearch o para enviar comentarios.

Puede integrar Citrix Analytics for Performance con Elasticsearch mediante el motor Logstash. Esta integración le permite exportar y correlacionar los datos de los usuarios de su entorno de TI de Citrix con Elasticsearch y obtener información más profunda sobre la postura de seguridad de su organización.

Para obtener más información sobre los beneficios de la integración y el tipo de datos procesados que se envían a su plataforma de Observability, consulte Exportación de datos.

Requisitos previos

  • Active el procesamiento de datos para al menos un origen de datos. Ayuda a Citrix Analytics for Performance a iniciar el proceso de integración de Elasticsearch.

  • Asegúrese de que el siguiente punto de enlace esté en la lista de permitidos en su red.

    Dispositivo de punto final Región de los Estados Unidos Región de la Unión Europea Región Asia-Pacífico Sur
    Intermediarios de Kafka casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Integración con Elasticsearch

  1. Vaya a Configuración > Exportación de datos.

  2. En la sección Configuración de la cuenta, cree una cuenta especificando el nombre de usuario y la contraseña. Esta cuenta se usa para preparar un archivo de configuración, que se requiere para la integración.

    Exportación de datos SIEM

  3. Asegúrese de que la contraseña cumpla con las siguientes condiciones:

    Requisitos para contraseñas SIEM

  4. Haga clic en Configurar para generar el archivo de configuración de Logstash.

    Configurar Elasticsearch

  5. Seleccione la ficha Elastic Search en la sección Observability Platform para descargar los archivos de configuración:

    • Archivo de configuración de Logstash: Contiene los datos de configuración (secciones de entrada, filtro y salida) para enviar eventos desde Citrix Analytics for Performance a Elasticsearch mediante el motor de recopilación de datos Logstash. Para obtener información sobre la estructura del archivo de configuración de Logstash, consulta la documentación de Logstash.

    • Archivo JKS: Incluye los certificados necesarios para la conexión SSL.

      Nota

      Estos archivos contienen información confidencial. Manténgalos en un lugar seguro y protegido.

      Seleccione Elasticsearch

  6. Configurar Logstash:

    1. En su máquina host Linux o Windows, instale Logstash. También puede usar su instancia de Logstash existente.

    2. En la máquina host donde ha instalado Logstash, coloque los siguientes archivos en el directorio especificado:

      Tipo de máquina host Nombre de archivo Ruta del directorio
      Linux CAS_Elasticsearch_LogStash_Config.config Para paquetes Debian y RPM: /etc/logstash/conf.d/
          Para archivos.zip y.tar.gz: {extract.path}/config
        kafka.client.truststore.jks Para paquetes Debian y RPM: /etc/logstash/ssl/
          Para archivos.zip y.tar.gz: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Para obtener información sobre la estructura de directorios predeterminada de los paquetes de instalación de Logstash, consulta la documentación de Logstash.

    3. Abra el archivo de configuración de Logstash y haga lo siguiente:

      1. En la sección de entrada del archivo, introduzca la siguiente información:

        • Contraseña: La contraseña de la cuenta que ha creado en Citrix Analytics for Performance para preparar el archivo de configuración.

        • Ubicación del almacén de confianza SSL: la ubicación de su certificado de cliente SSL. Esta es la ubicación del archivo kafka.client.truststore.jks en su máquina host.

        Sección de entrada de Elasticsearch

      2. En la sección de salida del archivo, introduzca la dirección de su máquina host o del clúster donde se ejecuta Elasticsearch.

        Sección de salida de Elasticsearch

    4. Reinicie la máquina host para enviar los datos procesados de Citrix Analytics for Performance a Elasticsearch.

Una vez completada la configuración, compruebe que puede ver los datos de Citrix Analytics en su Elasticsearch.

Activar o desactivar la transmisión de datos

Una vez que Citrix Analytics for Performance prepare el archivo de configuración, se activa la transmisión de datos para Elasticsearch.

Para detener la transmisión de datos desde Citrix Analytics for Performance:

  1. Vaya a Configuración > Exportación de datos.

  2. Apague el botón para desactivar la transmisión de datos. De forma predeterminada, la transmisión de datos siempre está habilitada.

    Transmisiones SIEM claras

  3. Aparece una ventana de advertencia para su confirmación. Haga clic en Desactivar la transmisión de datos para detener la actividad de transmisión.

    Advertencia clara de transmisión SIEM

Para habilitar de nuevo la transmisión de datos, active el botón.

Integración de Elasticsearch