Sentinel konfiguriert die in der Tabelle unten beschriebenen Elasticsearch-Einstellungen automatisch. Sie können die Elasticsearch-Einstellungen je nach Bedarf anpassen.
So ändern Sie die Standardeinstellungen:
Herkömmlicher Speicher: Öffnen Sie die Datei /etc/opt/novell/sentinel/config/elasticsearch-index.properties und aktualisieren Sie die in der Tabelle aufgeführten Eigenschaften je nach Bedarf.
Skalierbarer Speicher: Klicken Sie auf der SSDM-Startseite auf Speicher > Skalierbarer Speicher > Erweiterte Eigenschaften > Elasticsearch.
Tabelle 12-1 Elasticsearch-Eigenschaften
|
Eigenschaft |
Standardwert |
Anmerkungen |
|---|---|---|
|
elasticsearch.events.lucenefilter (optional) |
|
Legen Sie einen Filter fest, um nur bestimmte Ereignisse zur Indexierung an Elasticsearch zu senden. Beispiel: Wenn Sie den Wert als sev:[3-5] festlegen, werden nur Ereignisse mit einem Schweregradswert zwischen 3 und 5 zu Elasticsearch gesendet. |
|
index.fields |
id,dt,rv171,msg,ei,evt,xdastaxname,xdasoutcomename,sev,vul,rv32,rv39,rv159,dhn,dip,rv98,dp,fn,rv199,dun,tufname,rv84,rv158,shn,sip,rv76,sun,iufname,sp,iudep,rv198,rv62,st,tid,srcgeo,destgeo,obsgeo,rv145,estz,estzmonth,estzdiy,estzdim,estzdiw,estzhour,estzmin,rv24,tudep,pn,xdasclass,xdasid,xdasreg,xdasprov,iuident,tuident |
Gibt die Ereignisfelder an, die Elasticsearch indexieren soll. |
|
es.num.shards |
5 |
Gibt die Anzahl der primären Shards pro Index an. Sie können diesen Standardwert erhöhen, wenn die Shard-Größe 50 GB überschreitet. |
|
es.num.replicas |
1 |
Gibt die Anzahl der Reproduktions-Shards an, die jeder primäre Shard haben sollte. Zur Berücksichtigung von Failover und Hochverfügbarkeit werden mindestens Zwei-Knoten-Cluster empfohlen. |