Sentinel configure automatiquement les paramètres Elasticsearch décrits dans le tableau ci-dessous. Vous pouvez personnaliser les paramètres Elasticsearch selon vos besoins.
Pour personnaliser les paramètres par défaut :
Pour le stockage traditionnel : Ouvrez le fichier /etc/opt/novell/sentinel/config/elasticsearch-index.properties et mettez jour les propriétés figurant dans le tableau, le cas échéant.
Pour un stockage évolutif : Dans la page d'accueil SSDM, cliquez sur Storage (Stockage) > Scalable Storage (Stockage évolutif) > Advanced Properties (Propriétés avancées) > Elasticsearch.
Tableau 12-1 Propriétés Elasticsearch
|
Propriété |
Valeur par défaut |
Remarques |
|---|---|---|
|
elasticsearch.Events.lucenefilter (facultatif) |
|
Spécifiez un filtre pour envoyer uniquement des événements spécifiques à Elasticsearch pour indexation. Par exemple : si vous spécifiez la valeur sev:[3-5], uniquement les événements avec une valeur de gravité comprise entre 3 et 5 sont envoyés à Elasticsearch. |
|
index.fields |
id,dt,rv171,msg,ei,evt,xdastaxname,xdasoutcomename,sev,vul,rv32,rv39,rv159,dhn,dip,rv98,dp,fn,rv199,dun,tufname,rv84,rv158,shn,sip,rv76,sun,iufname,sp,iudep,rv198,rv62,st,tid,srcgeo,destgeo,obsgeo,rv145,estz,estzmonth,estzdiy,estzdim,estzdiw,estzhour,estzmin,rv24,tudep,pn,xdasclass,xdasid,xdasreg,xdasprov,iuident,tuident |
Indique les champs d'événement que vous voulez qu'Elasticsearch indexe. |
|
es.num.shards |
5 |
Indique le nombre de fragments primaires par index. Vous pouvez augmenter cette valeur par défaut lorsque la taille de fragment dépasse 50 Go. |
|
es.num.replicas |
1 |
Indique le nombre de fragments de réplique que chaque fragment primaire doit comporter. Un minimum de grappe à 2 nœuds est recommandé en prenant en compte la reprise après échec et la haute disponibilité. |