検索エンジン管理

Elasticsearchは、分散型のRESTfulな検索および分析エンジンです。Log360で構成すると、追加されたノード間でデータが分散されるため、ディスクスペースが最適化され、Log360のパフォーマンスも向上します。

• ノードに対するアクション
• 前提条件
• Elasticsearchの設定
• Log360でのElasticsearchの構成

ノードに対するアクション

• ノードの追加：データがノード間で分散、および保存されるため、ログストレージの分散に役立ちます。
• ノードの開始：追加されたノードでElasticsearchサービスが開始され、ノードはLog360サーバーに接続します。
• ノードの停止：マシンで実行されているElasticsearchサービスは停止され、ノードが接続されていない場合、ノードに存在するデータにアクセスできなくなります。
• ノードの削除: データがノードから削除され、ノードが削除されます。

前提条件

1.ファイルディスクリプタを増やす

Elasticsearchを実行しているユーザーのオープンファイルディスクリプタの数の制限を65,536以上に増やすようにしてください。.zip と .tar.gz パッケージの場合は、Elasticsearch を起動する前に root として ulimit -n 65536 を設定するか、/etc/security/limits.conf で nofile を 65536 に設定してください。

注意：LinuxとmacOSにのみ適用されます。

2.十分な仮想メモリを確保する

Elasticsearchは、デフォルトでmmapfsディレクトリを使用してインデックスを保存します。mmapカウントのデフォルトのオペレーティングシステム制限は低すぎる可能性があり、メモリ不足の例外が発生する可能性があります。

Linuxでrootとして次のコマンドを実行することにより、制限を増やすことができます：sysctl -w vm.max_map_count=262144

3.スワッピングを無効にする

通常、Elasticsearchはボックスで実行される唯一のサービスであり、そのメモリ使用量はJVMオプションによって制御されます。スワップを有効にする必要はありません。

Linuxシステムでは、次のコマンドを実行してスワップを一時的に無効にできます：sudoswapoff -a

Windowsでは、[システムのプロパティ]> [詳細設定]> [パフォーマンス]> [詳細設定]> [仮想メモリ]に移動して、ページングファイルを完全に無効にすることで同等の機能を実現できます。

4.十分なスレッドを確保する

Elasticsearchは、さまざまな種類の操作に多くのスレッドプールを使用します。必要なときにいつでも新しいスレッドを作成できることが重要です。Elasticsearchユーザーが作成できるスレッドの数が少なくとも4096であることを確認してください。

これは Elasticsearch を起動する前に ulimit -u 4096 を root に設定するか、/etc/security/limits.conf で nprocto 4096 を設定することで行うことができます。

5.JVM DNSキャッシュ設定

Elasticsearchは、セキュリティマネージャーを配置して実行されます。セキュリティマネージャを配置すると、JVMはデフォルトで正のホスト名解決を無期限にキャッシュします。DNS解決が時間とともに変化する環境でElasticsearchノードがDNSに依存している場合は、デフォルトのJVM動作を変更することをお勧めします。これは、Java セキュリティポリシーに networkaddress.cache.ttl=<timeout> を追加することで変更できます。

6.ポートの可用性

Elasticsearchを実行するマシンでポート9322が使用可能であることを確認してください。

7.「<Installation Dir>/EventLog Analyzer/ES/repo」の共有

<Installation Dir>/EventLog Analyzer/ES/repoフォルダがLog360サーバーのサービスアカウントと共有されていることを確認してください。このフォルダは、Elasticserchからスナップショットを作成してアーカイブを保存するために使用されます。Log360サーバーがADにない場合は、オープン共有になります。そうでない場合は、ユーザーがフォルダーを共有する権限を持っていることを確認し、以下の手順に従います。

1.<Installation Dir>/EventLog Analyzer/ES/repo フォルダを Log360 サーバーと手動で共有します。
2.<Installation Dir>/EventLog Analyzer/ES/repoディレクトリの共有パスをコピーします。
3.<Installation Dir>/EventLog Analyzer/ES/config/dae.propertiesファイルに移動し、コピーしたパスをnode.repo.sharedlocationの値として指定します。
4.EventLog Analyzerのサーバーを再起動します。

Elasticsearchの設定

デフォルトでは、自己署名証明書Elasticsearchのセキュリティ、つまり認証と暗号化を使用します。セキュリティのために独自の証明書を使用する場合は、以下の手順に従ってください。

• まず、PEM形式のクライアント、ノード、およびルート証明書があることを確認します。
• 証明書とそれに対応するキーの名前を次のように変更します。
  • クライアント証明書を client.pem に、そのキーを client.key に設定します。
  • ノード証明書を localnode.pem に、そのキーを localnode.key に設定します。
  • ルート証明書は root_ca.pem に、そのキーは root_ca.key に設定します。
• 次に、/ES/configに移動して、dae.propertiesファイルを開きます。
• use_custom_certificatesパラメータの値をtrueに変更します。
• /ES/config/certificatesで、以下のファイルが存在するかを確認してください。それらが存在する場合は、それらを削除します。
• client.key
• client.pem
• localnode.key
• localnode.pem
• root_ca.key
• root_ca.pem
• そして、証明書を <Log360_Home>/ES/config/certificates にコピーします。
• 次に<Log360_Home>/ES/binに移動して、verifyCertificates.batファイルを実行します。

既存のノードの証明書を設定

以下の手順に従って、既存のノードの証明書を置き換えます。

• マシンに移動し、タスクマネージャー > サービスを開いてelasticsearchサービスを停止します。

• 証明書を<INSTALLAITON DIR>\ES\config\certificatesに移動します

• <INSTALLAITON DIR>\ES\configに移動し、elasticsearch.ymlを開き、以下の行をnode.dnとadmin_dnのそれぞれの詳細に置き換えてください。

  CN=*.node,OU=none,O=none,L=none,ST=US,C=US

• サービスを再起動します。

Log360でのElasticsearchの構成

Log360でElasticsearchを構成するには、以下の手順に従います。

1. Log360にログインします。

2. [管理]タブ> [管理]> [検索エンジン管理]に移動します。

3. [サーバーを追加]をクリックします。

4. [サーバーを追加]ドロップボックスに、サーバーの詳細とインストールディレクトリへのパス、およびTCPポート（オプション）を入力します。

5. [保存]をクリックします。