搜索引擎管理

ElasticSearch是一个分布式的RESTful搜索和分析引擎。在Log360中配置时，它会在添加的节点之间分发数据，从而优化磁盘空间并提高Log360的性能。

• 节点中的动作
• 前提条件
• 设置Elasticsearch
• 在Log360中配置Elasticsearch

节点中的动作

• 添加节点: 有助于分布日志存储，因为数据将在节点之间拆分和存储。
• 启动节点: 在添加的节点中启动Elasticsearch服务，然后该节点连接到Log360服务器。
• 停止节点: 机器上运行的Elasticsearch服务停止，当节点未连接时，将无法访问节点中存在的数据。
• 删除节点: 将从节点中删除数据，并删除该节点。

前提条件

1. 增加文件描述符

确保将运行Elasticsearch的用户的打开文件描述符数限制提高到65,536或更高。对于.zip和.tar.gz包，在启动Elasticsearch之前将ulimit-n 65536设置为根，或者在/etc/security/limits.conf中将nofile设置为65536。

注意: 这仅适用于Linux和MacOS。

2. 确保有足够的虚拟内存

ElasticSearch默认使用mmapfs目录来存储其索引。操作系统对mmap计数的默认限制可能太低，这可能会导致内存不足异常。

您可以在Linux中以root身份运行以下命令来增加限制: sysctl -w vm.max_map_count=262144

3. 禁用交换

通常，Elasticsearch是在机器上运行的唯一服务，其内存使用由JVM选项控制。应该不需要启用交换。

在Linux系统上，可以通过运行以下命令临时禁用交换: sudo swapoff -a

在Windows上，可以通过点击系统属性 > 高级 > 性能 > 高级 > 虚拟内存来完全禁用分页文件。

4. 确保有足够的线程

ElasticSearch将许多线程池用于不同类型的操作。重要的是，它可以在需要的时候创建新的线程。确保Elasticsearch用户可以创建的线程数至少为4096。

这可以通过在启动Elasticsearch之前将ulimit-u4096设置为root，或者在/etc/security/limits.conf中将nproc值设置为4096来实现。

5. JVM DNS缓存设置

ElasticSearch在安全管理器到位的情况下运行。安全管理器就位后，JVM默认无限期缓存正主机名解析。如果您的Elasticsearch节点在DNS解析随时间变化的环境中依赖DNS，那么您可能需要修改默认的JVM行为。这可以通过向Java安全策略添加networkaddress s.cache.ttl=<timeout>来修改。

6. 端口可用性

确保将运行Elasticsearch的计算机上的端口9322可用。

7. <Installation Dir>/EventLog Analyzer/ES/repo共享

确保文件夹<Installation Dir>/EventLog Analyzer/es/repo与Log360服务器的服务帐户共享。此文件夹将用于从Elasticserch创建快照以保存存档。如果Log360服务器不在AD中，则它将是打开的共享，或者确保用户具有共享该文件夹的权限，然后执行以下步骤。

1. 手动共享文件夹<Installation Dir>/EventLog Analyzer/es/repo给Log360服务器。
2. 复制<Installation Dir>/EventLog Analyzer/es/repo目录的共享路径。
3. 编辑<install Dir>/EventLog Analyzer/es/config/dae.properties文件，并将复制的路径指定为node.repo.sharedlocation的值。
4. 重启EventLog Analyzer服务器。

设置Elasticsearch

默认情况下，使用自签名证书Elasticsearch安全性，即身份验证和加密。如果要使用您自己的证书进行安全保护，请执行以下步骤。

• 首先，确保您拥有PEM格式的客户端、节点和根证书。
• 重命名证书及其对应的密钥，如下所示。
  • 指向client.pem的客户端证书及其指向client.key的密钥
  • 指向localnode.pem的节点证书及其指向localnode.key的密钥
  • Root_ca.pem的根证书及其root_ca.key的密钥
• 现在，进入/es/config并打开dae.properties文件。
• 将参数use_custom_certificates的值更改为true。
• 在/ES/config/certificates中，检查以下文件是否存在。如果它们确实存在，请将其删除。
• client.key
• client.pem
• localnode.key
• localnode.pem
• root_ca.key
• root_ca.pem
• 然后，将您的证书复制到<Log360_Home>/ES/config/certificates。
• 现在，进入<Log360_Home>/ES/bin并运行verifyCertificates.bat文件。
• 如果您收到一条消息，提示证书验证已完成，请启动服务器。如果您没有收到此消息，请联系mes@zohocorp.com.cn支持。

为现有节点设置证书

按照以下步骤替换现有节点中的证书:

• 进入机器，通过任务管理器>服务停止elasticsarch服务。

• 将证书移动到<INSTALLAITON DIR>\ES\config\certificates。

• 进入 <INSTALLAITON DIR>\ES\config文件夹，打开elasticsearch.yml文件，将以下行替换为nodes.dn和admin_dn中各自的详细信息

  CN=*.node,OU=none,O=none,L=none,ST=US,C=US

• 重启服务。

在Log360中配置Elasticsearch

请遵循以下步骤，在Log360中配置Elasticsearch。

1. 登录到Log360。

2. 点击管理 > 管理员 > 搜索引擎管理。

3. 点击添加服务器。

4. 在添加服务器下拉框中，输入服务器详细信息和安装目录的路径以及TCP端口(可选)。

5. 点击保存。