O Sentinel configura automaticamente as configurações do Elasticsearch descritas na tabela abaixo. É possível personalizar as configurações do Elasticsearch conforme necessário.
Para personalizar as configurações padrão:
Para armazenamento tradicional: Abra o arquivo /etc/opt/novell/sentinel/config/elasticsearch-index.properties e atualize as propriedades listadas na tabela conforme necessário.
Para armazenamento escalável: Na home page do SSDM, clique em Armazenamento > Armazenamento Escalável > Propriedades Avançadas > Elasticsearch.
Tabela 12-1 Propriedades do Elasticsearch
|
Propriedade |
Valor Padrão |
Notas |
|---|---|---|
|
elasticsearch.events.lucenefilter (opcional) |
|
Especifique um filtro para enviar apenas eventos específicos para o Elasticsearch para indexação. Por exemplo: Se você especificar o valor como sev:[3-5], somente os eventos com valores de gravidade entre 3 e 5 serão enviados para o Elasticsearch. |
|
index.fields |
id,dt,rv171,msg,ei,evt,xdastaxname,xdasoutcomename,sev,vul,rv32,rv39,rv159,dhn,dip,rv98,dp,fn,rv199,dun,tufname,rv84,rv158,shn,sip,rv76,sun,iufname,sp,iudep,rv198,rv62,st,tid,srcgeo,destgeo,obsgeo,rv145,estz,estzmonth,estzdiy,estzdim,estzdiw,estzhour,estzmin,rv24,tudep,pn,xdasclass,xdasid,xdasreg,xdasprov,iuident,tuident |
Indica os campos de evento que você deseja que o Elasticsearch indexe. |
|
es.num.shards |
5 |
Indica o número de fragmentos primários por índice. Você poderá aumentar esse valor padrão quando o tamanho do fragmento ultrapassar 50 GB. |
|
es.num.replicas |
1 |
Indica o número de shards de réplica que cada shard primário deve ter. É recomendado um cluster de pelo menos 2 nós considerando failover e alta disponibilidade. |