12.2 Installazione e configurazione di Elasticsearch

Installare Elasticsearch e i plug-in necessari in ciascun nodo del cluster Elasticsearch.

Per installare e configurare Elasticsearch:

  1. Installare la versione di JDK supportata da Elasticsearch.

  2. Effettuare il download della versione certificata dell'RPM di Elasticsearch. Per ulteriori informazioni sulla versione vertificata di Elasticsearch e l'URL di download, vedere la pagina delle informazioni tecniche su Sentinel.

  3. Installare Elasticsearch:

    rpm -i elasticsearch-<versione>.rpm

  4. Eseguire i task specificati nelle istruzioni successive all'installazione di RPM.

  5. Accertarsi che l'utente Elasticsearch abbia accesso a Java.

  6. Configurare il file /etc/elasticsearch/elasticsearch.yml aggiornando o aggiungendo le seguenti informazioni:

    Proprietà e valore

    Note

    cluster.name: <nome_cluster_Elasticsearch>

    Il nome del cluster specificato deve essere lo stesso per tutti i nodi.

    node.name: <nome_nodo>

    Il nome di ciascun nodo deve essere univoco.

    network.host: _<interfacciaRete>:ipv4_

     

    discovery.zen.ping.unicast.hosts: [< FQDN del nodo Elasticsearch nel server Sentinel >, <FQDN del nodo 1 Elasticsearch>, <FQDN del nodo 2 Elasticsearch> e così via]

     

    thread_pool.bulk.queue_size: 300

     

    thread_pool.search.queue_size: 10000

    Quando la coda di ricerca raggiunge il limite massimo, Elasticsearch scarta eventuali richieste di ricerca in sospeso presenti nella coda.

    È possibile aumentare le dimensioni della coda di ricerca in base al calcolo seguente: threadpool.search.queue_size = numero medio di interrogazioni del widget per utente di un dashboard x numero di partizioni (indice giornaliero) x numero di giorni (durata della ricerca).

    index.codec: best_compression 

     

    path.data: ["/<es1>", "/<es2>"]

    Distribuire i dati su più dischi o ubicazioni indipendenti per ridurre la latenza I/O del disco.

    Configurare più percorsi per la memorizzazione dei dati di Elasticsearch, ad esempio /es1, /es2 e così via.

    Per ottimizzare le prestazioni e la gestibilità, montare ciascun percorso in un disco fisico separato (JBOD).

  7. Aggiornare la dimensione di default dell'heap Elasticsearch nel file /etc/elasticsearch/jvm.options.

    La dimensione dell'heap deve essere pari al 50% della memoria del server. Ad esempio, in un nodo Elasticsearch di 24 GB, allocare 12 GB alla dimensione dell'heap per ottenere prestazioni ottimali.

  8. Ripetere tutti i passaggi precedenti in ciascun nodo del cluster di Elasticsearch.

  9. Nel nodo Elasticsearch del server Sentinel, configurare /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml come indicato di seguito:

    1. Verificare che i valori di cluster.name e discovery.zen.ping.unicast.hosts nel file elasticsearch.yml siano gli stessi del file elasticsearch.yml nel nodo Elasticsearch esterno.

    2. Specificare l'indirizzo IP dell'host locale seguito dall'indirizzo IP del nodo Elasticsearch locale nella proprietà network.host come descritto di seguito:

      network.host: ["127.0.0.1","<indirizzo IP del nodo Elasticsearch in Sentinel>"]

  10. (Condizionale) Per Sentinel con la memorizzazione tradizionale, aggiungere gli indirizzi dei nodi Elasticsearch esterni alla proprietà ServerList nel file /etc/opt/novell/sentinel/config/elasticsearch-index.properties.

    Ad esempio: ServerList=<IP 1 di Elasticsearch>:<Porta>,<IP 2 di Elasticsearch>:<Porta>

  11. Riavviare Sentinel:

    rcsentinel restart

  12. Riavviare tutti i nodi Elasticsearch:

    /etc/init.d/elasticsearch start

  13. Per ottimizzare le prestazioni e la stabilità del server Sentinel, configurare il nodo Elasticsearch nel server Sentinel come nodo dedicato idoneo per il master in modo che tutti i dati di visualizzazione degli eventi vengano indicizzati in nodi Elasticsearch esterni:

    1. Eseguire il login al server Sentinel come utente novell.

    2. Assicurarsi che tutti i dati esistenti degli avvisi siano stati spostati in nodi Elasticsearch esterni.

    3. Aprire il file /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml e aggiungere le informazioni seguenti:

      node.master: true 
node.data: false 
node.ingest: false 
search.remote.connect: false

    4. Riavviare Elasticsearch:

      rcsentinel stopSIdb

      rcsentinel startSIdb

  14. Procedere con la Sicurezza dei dati in Elasticsearch.