Você deve instalar o Elasticsearch e os plug-ins necessários em cada nó do cluster do Elasticsearch.
Para instalar e configurar o Elasticsearch:
Instale a versão do JDK suportada pelo Elasticsearch.
Faça download da versão certificada do Elasticsearch RPM. Para obter informações sobre a versão certificada do Elasticsearch e o URL de download, consulte a página Technical Information for Sentinel (Informações técnicas do Sentinel).
Instale o Elasticsearch:
rpm -i elasticsearch-<versão>.rpm
Conclua as tarefas conforme mencionado na tela nas instruções pós-instalação do RPM.
Verifique se o usuário do Elasticsearch tem acesso ao Java.
Configure o arquivo /etc/elasticsearch/elasticsearch.yml atualizando ou adicionando a seguinte informação:
Propriedade e valor |
Notas |
---|---|
cluster.name: <Elasticsearch _nome_do_cluster> |
O nome do cluster que você especifica deve ser o mesmo para todos os nós. |
node.name: <nome_do_nó> |
Cada nó deve ter um nome exclusivo. |
network.host: _<networkInterface>:ipv4_ |
|
discovery.zen.ping.unicast.hosts: [<FQDN do nó elasticsearch no servidor do Sentinel>,<FQDN do nó1 do elasticsearch>, <FQDN do nó2 do elasticsearch> e assim por diante] |
|
thread_pool.bulk.queue_size: 300 |
|
thread_pool.search.queue_size: 10000 |
Uma vez que o tamanho da fila de pesquisa atinge seu limite, o Elasticsearch descarta todos os pedidos de pesquisa pendentes na fila. É possível aumentar o tamanho da fila de pesquisa com base no cálculo abaixo: threadpool.search.queue_size = Número médio de consultas de barra de rolagem por usuário para um painel de controle X número de fragmentos (por índice de dia) X número de dias (duração da pesquisa) |
index.codec: best_compression |
|
path.data: ["/<es1>", "/<es2>"] |
Distribua dados em vários locais ou discos independentes para reduzir a latência de E/S de disco. Configure vários caminhos para armazenar dados do Elasticsearch. Por exemplo /es1, /es2 etc. Para obter melhor desempenho e gerenciabilidade, monte cada caminho em um disco físico separado (JBOD). |
Atualize o tamanho do heap do Elasticsearch padrão no arquivo /etc/elasticsearch/jvm.options.
O tamanho do heap deve ser 50% da memória do servidor. Por exemplo, em um nó do Elasticsearch de 24 GB, aloque 12 GB como o tamanho do heap para obter o desempenho ideal.
Repita todas as etapas acima em cada nó do cluster do Elasticsearch.
No nó Elasticsearch do servidor Sentinel, configure o /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml conforme o seguinte:
Verifique se os valores de cluster.name e discovery.zen.ping.unicast.hosts no arquivo elasticsearch.yml são os mesmos que no arquivo elasticsearch.yml no nó Elasticsearch externo.
Especifique o endereço IP do host local seguido pelo endereço IP do nó local do Elasticsearch na propriedade network.host conforme segue:
network.host: ["127.0.0.1","<Endereço IP do nó do Elasticsearch no Sentinel>"]
(Condicional) Para o Sentinel com armazenamento tradicional, adicione os endereços IP dos nós do Elasticsearch à propriedade ServerList no arquivo /etc/opt/novell/sentinel/config/elasticsearch-index.properties.
Por exemplo: ServerList=<IP1 do Elasticsearch>:<Porta>,<IP2 do Elasticsearch>:<Porta>
Reinicie o Sentinel:
rcsentinel restart
Reinicie cada nó do Elasticsearch:
/etc/init.d/elasticsearch start
Para desempenho e estabilidade ideais do servidor do Sentinel, configure o nó do Elasticsearch no servidor do Sentinel como um nó elegível para master dedicado para que todos os dados de visualização de eventos sejam indexados em nós externos do Elasticsearch:
Efetue login no servidor do Sentinel como usuário novell.
Verifique se todos os dados de alerta existentes foram movidos para nós externos do Elasticsearch.
Abra o arquivo /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml e adicione as seguintes informações:
node.master: true node.data: false node.ingest: false search.remote.connect: false
Reinicie o Elasticsearch:
rcsentinel stopSIdb
rcsentinel startSIdb
Avance para a Protegendo dados no Elasticsearch.