Debe instalar Elasticsearch y los módulos auxiliares (plug-ins) necesarios en cada nodo del clúster de Elasticsearch.
Para instalar y configurar Elasticsearch:
Instale la versión de JDK compatible con Elasticsearch.
Descargue la versión certificada de RPM de Elasticsearch. Para obtener información sobre la versión certificada de Elasticsearch y la URL de descarga, consulte la página de Información técnica de Sentinel.
Instale Elasticsearch:
rpm -i elasticsearch-<version>.rpm
Realice las tareas mencionadas en pantalla en las instrucciones posteriores a la instalación de RPM.
Asegúrese de que el usuario de Elasticsearch tenga acceso a Java.
Configure el archivo /etc/elasticsearch/elasticsearch.yml mediante la actualización o adición de la siguiente información:
|
Propiedad y valor |
Notas |
|---|---|
|
cluster.name: <Elasticsearch _cluster_name> |
El nombre del clúster que especifique debe ser el mismo para todos los nodos. |
|
node.name: <node_name> |
El nombre del nodo debe ser exclusivo para cada nodo. |
|
network.host: _<networkInterface>:ipv4_ |
|
|
discovery.zen.ping.unicast.hosts: [<nombre completo del nodo de Elasticsearch del servidor de Sentinel>,<nombre completo del nodo1 de Elasticsearch>, <nombre completo del nodo2 de Elasticsearch>, etc.] |
|
|
thread_pool.bulk.queue_size: 300 |
|
|
thread_pool.search.queue_size: 10000 |
Una vez que el tamaño de la cola de búsqueda alcance el límite, Elasticsearch descartará cualquier solicitud de búsqueda que haya pendiente en la cola. Puede aumentar el tamaño de la cola de la búsqueda en función del siguiente cálculo:threadpool.search.queue_size = Número medio de consultas de widget por usuario por consola x número de particiones (por índice de día) x número de días (duración de la búsqueda) |
|
index.codec: best_compression |
|
|
path.data: ["/<es1>", "/<es2>"] |
Distribuya los datos en varias ubicaciones o discos independientes para reducir la latencia de E/S del disco. Configure varias vías para almacenar los datos de Elasticsearch. Por ejemplo /es1, /es2 y así sucesivamente. Para obtener un mejor rendimiento y facilidad de gestión, monte cada vía en un disco físico independiente (JBOD). |
Actualice el tamaño de pila de Elasticsearch por defecto en el archivo /etc/elasticsearch/jvm.options.
El tamaño de la pila debe ser el 50% de la memoria del servidor. Por ejemplo, en un nodo de Elasticsearch de 24 GB, asigne 12 GB como tamaño de pila para un rendimiento óptimo.
Repita los pasos indicados anteriormente en cada nodo del clúster de Elasticsearch.
En el nodo de Elasticsearch del servidor de Sentinel, configue/etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml, como se indica a continuación:
Asegúrese de que los valores de cluster.name y discovery.zen.ping.unicast.hosts del archivo elasticsearch.yml sean iguales a los del archivo elasticsearch.yml del nodo de Elasticsearch externo.
Especifique la dirección IP del host local seguida por la dirección IP del nodo de Elasticsearch local en la propiedad network.host, como se indica a continuación:
network.host: ["127.0.0.1","<dirección IP del nodo de Elasticsearch de Sentinel>"]
(Condicional) En Sentinel con almacenamiento tradicional, añada las direcciones IP de los nodos de Elasticsearch externos a la propiedad ServerList del archivo /etc/opt/novell/sentinel/config/elasticsearch-index.properties.
Por ejemplo: ServerList=<IP1 de Elasticsearch >:<Puerto>,<IP2 de Elasticsearch >:<Puerto>
Reinicie Sentinel:
rcsentinel restart
Reinicie todos los nodos de Elasticsearch:
/etc/init.d/elasticsearch start
Para obtener un rendimiento y estabilidad óptimos del servidor de Sentinel, configure el nodo de Elasticsearch en el servidor de Sentinel como un nodo específico apto como nodo principal para que todos los datos de visualización del evento se indexen en los nodos de Elasticsearch externos:
Entre en el servidor de Sentinel como el usuario novell.
Asegúrese de que todos los datos de alerta existentes se hayan transferido a nodos de Elasticsearch externos.
Abra el archivo /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml y añada la siguiente información:
node.master: true node.data: false node.ingest: false search.remote.connect: false
Reinicie Elasticsearch:
rcsentinel stopSIdb
rcsentinel startSIdb
Pase a la Protección de datos en Elasticsearch.