製品ドキュメント
Citrix Analytics for Performance
PDFを表示

Elasticsearch インテグレーション

April 12, 2024
寄稿者: 
C

注:

CAS-PM-Ext@cloud.comElasticsearchの統合、Elasticsearchへのデータのエクスポートに関するサポートのリクエスト、またはフィードバックの提供については、お問い合わせください。

Logstash エンジンを使用して、Citrix Analytics for Performance を Elasticsearch と統合できます。この統合により、ユーザーのデータをCitrix IT環境からElasticsearchにエクスポートして関連付け、組織のセキュリティ体制についてより深い洞察を得ることができます。

統合の利点とオブザーバビリティプラットフォームに送信される処理データの種類について詳しくは、「 データエクスポート」を参照してください。

前提条件

  • 少なくとも 1 つのデータソースのデータ処理を有効にします。これにより、Citrix Analytics for PerformanceがElasticsearchの統合プロセスを開始できるようになります。

  • ネットワークの許可リストに次のエンドポイントがあることを確認します。

    エンドポイント 米国リージョン 欧州連合地域 アジア太平洋南部リージョン
    Kafkaブローカー casnb-0.citrix.com:9094 casnb-eu-0.citrix.com:9094 casnb-aps-0.citrix.com:9094
      casnb-1.citrix.com:9094 casnb-eu-1.citrix.com:9094 casnb-aps-1.citrix.com:9094
      casnb-2.citrix.com:9094 casnb-eu-2.citrix.com:9094 casnb-aps-2.citrix.com:9094
      casnb-3.citrix.com:9094    

Elasticsearchとの統合

  1. [設定] > [ **データエクスポート ]**に移動します。

  2. アカウント設定セクションで 、ユーザー名とパスワードを指定してアカウントを作成します。このアカウントは、統合に必要な設定ファイルの準備に使用されます。

    SIEM データエクスポート

  3. パスワードが次の条件を満たしていることを確認します。

    SIEM パスワードの要件

  4. [ Configure ] をクリックして Logstash 設定ファイルを生成します。

    Elasticsearch の設定

  5. オブザーバビリティプラットフォームセクションから「 Elastic Search 」タブを選択し、設定ファイルをダウンロードします:

    • Logstash構成ファイル:Logstashデータ収集エンジンを使用してCitrix Analytics for PerformanceからElasticsearchにイベントを送信するための構成データ(入力セクション、フィルターセクション、出力セクション)が含まれています。Logstashの設定ファイル構造については、 Logstashのドキュメントを参照してください 。

    • JKS ファイル:SSL 接続に必要な証明書が含まれます。

      これらのファイルには機密情報が含まれています。安全な場所に保管してください。

      [Elasticsearch] を選択します

  6. Logstash を設定します。

    1. Linux または Windows ホストマシンに Logstashをインストールします。既存の Logstash インスタンスを使用することもできます。

    2. Logstash をインストールしたホストマシンで、次のファイルを指定したディレクトリに配置します。

      ホストマシンタイプ ファイル名 ディレクトリパス
      Linux CAS_Elasticsearch_LogStash_Config.config Debian パッケージと RPM パッケージの場合: /etc/logstash/conf.d/
          .zip および.tar.gz アーカイブの場合: {extract.path}/config
        kafka.client.truststore.jks Debian パッケージと RPM パッケージの場合: /etc/logstash/ssl/
          .zip および.tar.gz アーカイブの場合: {extract.path}/ssl
      Windows CAS_Elasticsearch_LogStash_Config.config C:\logstash-7.xx.x\config
        kafka.client.truststore.jks  

      Logstashインストールパッケージのデフォルトのディレクトリ構造については、Logstashのドキュメントを参照してください。

    3. Logstash 設定ファイルを開き、次の操作を行います:

      1. ファイルの input セクションに、次の情報を入力します:

        • パスワード:構成ファイルを準備するためにCitrix Analytics for Performanceで作成したアカウントのパスワード。

        • SSL トラストストアの場所:SSL クライアント証明書の場所。これは、ホストマシンの kafka.client.truststore.jks ファイルの場所です。

        Elasticsearch 入力セクション

      2. ファイルの出力セクションに、Elasticsearch が実行されているホストマシンまたはクラスターのアドレスを入力します。

        Elasticsearch 出力セクション

    4. ホストマシンを再起動して、処理済みのデータを Citrix Analytics for Performance から Elasticsearch に送信します。

構成が完了したら、ElasticsearchでCitrix Analytics データを表示できることを確認します。

ログスタッシュ設定

Logstash構成のサンプルは、Citrix Analytics for Performanceページからダウンロードできます。

以下は、提供されているサンプルKibanaダッシュボードをサポートできるLogstashパイプライン定義の小さなバリエーションです:

filter {
  json {
    source => "message"
    remove_field => ["message"]
  }
  date {
    match => [ "timestamp", "ISO8601", "yyyy-MM-dd HH:mm:ss" ]
    target => "@timestamp"
  }
}

filter {
  mutate {
    copy => ["eventType", "[@metadata][eventTypeIndex]"]
  }
}

filter {
  mutate {
    lowercase => ["[@metadata][eventTypeIndex]"]
  }
}

output {
  elasticsearch {
    hosts => ["<your logstash host : port>"]
    index => "citrixanalytics-%{[@metadata][eventTypeIndex]}-%{+YYYY.MM.dd}"
  }
}
<!--NeedCopy-->

以前の設定に基づいて、 eventType Logstashはフィールドを使用してセッションイベントとマシンイベントを分離し、インデックスを分離します。

Citrix Analyticsページからダウンロードしたデフォルト構成ファイルの「フィルター」セクションと「出力」セクションを前述の内容に置き換えて、Logstashサービスを再起動できます。

Kibana ダッシュボードサンプル

Citrix が提供するサンプルKibanaダッシュボードをインポートできます。これには以下が含まれます。

  • メトリックス
  • タイムチャート
  • セッションとインフラストラクチャのテレメトリに関するその他の便利な視覚化。

ダッシュボード定義(JSONファイル)は、 Citrix Analyticsのダウンロードページからダウンロードできます

ダッシュボードファイルは、Elasticsearch クラウドまたはエンタープライズアカウントのいずれかの Kibana インスタンスにインポートできます。

ダッシュボードをインポートする前に、Logstash、Elasticsearch、Kibanaの各インスタンスを正しく設定し、 citrixanalytics Kibanaインデックス管理ページでインデックスを表示できることを確認してください。

ダッシュボードと参照データビューをインポートするには、次の手順を実行します:

  1. [ 管理 ] > [ 保存済みオブジェクト] に移動します。
  2. [ インポート ] をクリックして、指定された圧縮ファイルに含まれる提供されたndjsonファイルを選択します。
  3. オプションで [ ランダム ID で新規オブジェクトを作成] を選択できます。
  4. [インポート] をクリックします。

前のステップを完了すると、次の図に示すように、新しく保存された 4 つのオブジェクトを表示できます:

エラスティックサーチ 4 つのオブジェクト

データビューはダッシュボードの視覚化によって参照され、前述のLogstash設定で定義されたインデックスを参照しています。ダッシュボードを開くことができる必要があります。以下はサンプルダッシュボードです:

エラスティックサーチダッシュボード 1

エラスティックサーチダッシュボード 2

データ伝送をオンまたはオフにする

Citrix Analytics for Performanceが設定ファイルを準備すると、Elasticsearchのデータ転送が有効になります。

Citrix Analytics for パフォーマンスからのデータ送信を停止するには:

  1. [設定] > [ **データエクスポート ]**に移動します。

  2. トグルボタンをオフにしてデータ転送を無効にします。デフォルトでは、 データ転送は常に有効になっています 。

    SIEM トランスミッションクリア

  3. 確認用の警告ウィンドウが表示されます。[ データ転送をオフにする ] をクリックして送信アクティビティを停止します。

    SIEM 送信クリア警告

データ転送を再度有効にするには、トグルボタンをオンにします。

Elasticsearch インテグレーション
April 12, 2024
寄稿者: 
C
April 12, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.