In Sentinel viene eseguita automaticamente la configurazione delle impostazioni di Elasticsearch come riportato nella tabella seguente. È possibile personalizzare le impostazioni di Elasticsearch secondo necessità.
Per personalizzare le impostazioni di default:
Per la memorizzazione tradizionale: Aprire il file /etc/opt/novell/sentinel/config/elasticsearch-index.properties e aggiornare le proprietà elencate nella tabella secondo necessità.
Per la memorizzazione scalabile: Nella home page di SSDM, fare clic su Memorizzazione > Storage scalabile > Proprietà avanzate > Elasticsearch.
Tabella 12-1 Proprietà di Elasticsearch
|
Proprietà |
Valore di default |
Note |
|---|---|---|
|
elasticsearch.Events.lucenefilter (facoltativo) |
|
Specificare un filtro per inviare solo eventi specifici a Elasticsearch per l'indicizzazione. Ad esempio: se si specifica il valore sev:[3-5], vengono inviati a Elasticsearch solo gli eventi con valore di gravità compreso tra 3 e 5. |
|
index.fields |
id,dt,rv171,msg,ei,evt,xdastaxname,xdasoutcomename,sev,vul,rv32,rv39,rv159,dhn,dip,rv98,dp,fn,rv199,dun,tufname,rv84,rv158,shn,sip,rv76,sun,iufname,sp,iudep,rv198,rv62,st,tid,srcgeo,destgeo,obsgeo,rv145,estz,estzmonth,estzdiy,estzdim,estzdiw,estzhour,estzmin,rv24,tudep,pn,xdasclass,xdasid,xdasreg,xdasprov,iuident,tuident |
Indica i campi evento che si desidera indicizzare con Elasticsearch. |
|
es.num.shards |
5 |
Indica il numero di partizioni primarie per indice. È possibile aumentare questo valore di default quando le dimensioni della partizione sono superiori a 50 GB. |
|
es.num.replicas |
1 |
Indica il numero di partizioni di replica che ciascuna partizione primaria deve avere. Si consiglia di utilizzare un cluster con un minimo di 2 nodi considerando il failover e l'alta disponibilità. |