Подразделения Elasticsearch
DeviceLock Discovery дает возможность эффективно обнаруживать интересующие документы в Elasticsearch - распределенной программной системе, обеспечивающей индексирование и поиск различных типов данных в реальном времени. Сервер Discovery запрашивает поиск документов по заданным параметрам, а затем применяет правила и действия обнаружения к полученным от Elastcicsearch документам. На соответствие правилам проверяются данные полей документа, определенных настройками фильтра (см.
Диалоговое окно управления фильтром для Elasticsearch). Правило срабатывает, если ему соответствуют данные хотя бы одного такого поля.
Внимание: •DeviceLock Discovery обеспечивает обнаружение документов в Elasticsearch версии 6.8.12 или более новой. •Для обнаружения документов в Elasticsearch требуется по одной лицензии DeviceLock Discovery на каждый индекс Elasticsearch, в котором необходимо выполнить поиск. •Агент DeviceLock Discovery на узлах Elasticsearch не устанавливается. Обнаружение выполняется без использования агента. •Действия обнаружения в отношении Elasticsearch ограничиваются протоколированием событий и отправкой оповещений. Сервер Discovery не может изменять и удалять документы в Elasticsearch. |
Для работы с Elasticsearch в задаче обнаружения необходимо использовать подразделение специального типа: при его создании выберите пункт Узлы Elasticsearсh в списке Тип подразделения. Для настройки подразделений данного типа используются следующие параметры:
•Серверы - Настраиваемый список компьютеров, на которых работают подлежащие обнаружению узлы Elasticsearch. Нажмите кнопку Редактировать рядом с полем Серверы. В появившемся диалоговом окне можно просматривать текущий список, добавлять имена компьютеров в список и удалять их из списка.
Имена компьютеров, на которых работают требуемые узлы Elasticsearch, перечисляются в правой части диалогового окна. Для добавления компьютеров в список, введите их имена или IP-адреса в левой части окна и нажмите кнопку
. В качестве имени компьютера можно ввести имя хоста или полностью определенное имя домена (FQDN). После ввода каждого имени нажимайте ENTER. Для удаления компьютеров из списка выберите их имена в левой части окна и нажмите кнопку
.
При вводе имени компьютера можно указать номер сетевого порта, используемого Elasticsearch, в формате имя:порт. Если порт не указан, задача обнаружения будет сканировать все порты, пока не обнаружит Elasticsearch. Чтобы ускорить сканирование портов, можно установить флажок Умный поиск портов. Если этот флажок установлен, задача обнаружения будет сканировать только те порты, которые обычно используются серверами Elasticsearch. Поскольку поиск порта может занимать много времени, желательно явно указывать номер порта, используемого Elasticsearch.
•Установить параметры доступа - Нажмите эту кнопку, чтобы указать имя и пароль учетной записи с достаточными правами для доступа к узлам Elasticsearch на серверах, входящих в данное подразделение. Имя и пароль необходимо указать, если Elasticsearch требует авторизованного доступа. Если имя и пароль учетной записи не указаны, сервер Discovery использует анонимный доступ к Elasticsearch.
Примечание: При использовании базы данных другого сервера Discovery потребуется заново ввести имя и пароль учетной записи. Поскольку эти параметры зашифрованы защищенным ключом, хранящемся на данном сервере Discovery, они не могут быть расшифрованы другим сервером, так что имя и пароль необходимо ввести заново. |
•Включающие фильтры - Условия включения индексов и документов в процесс обнаружения. Поиск ведется только по индексам и документам, которые соответствуют хотя бы одному из таких фильтров. Кнопки под этим полем позволяют добавлять, редактировать и удалять включающие фильтры. При добавлении и редактировании фильтра используется
Диалоговое окно управления фильтром для Elasticsearch.
•Исключающие фильтры - Условия исключения индексов и документов из процесса обнаружения. Поиск не ведется по индексам и документам, которые соответствуют любому из таких фильтров. Кнопки под этим полем позволяют добавлять, редактировать и удалять исключающие фильтры. При добавлении и редактировании фильтра используется
Диалоговое окно управления фильтром для Elasticsearch.
•Запрашивать <число> документов - Установите этот флажок, чтобы задать максимальное количество документов, запрашиваемых у Elasticsearch. В процессе обнаружения Elasticsearch возвратит не более указанного количества документов, которые соответствуют заданным фильтрам. Снимите этот флажок, если требуется, чтобы Elasticsearch возвращал все соответствующие фильтрам документы.
•Сортировка - Порядок сортировки документов, возвращаемых Elasticsearch. Снимите флажок Сортировать, если не важно, в каком порядке поступают документы от Elasticsearch (сортировка по умолчанию). Установите этот флажок, чтобы документы поступали в порядке возрастания или убывания значений некоторого поля документа. Укажите имя этого поля в параметре По полю и выберите нужный порядок сортировки (возрастание или убывание).
Примечание: Одно и то же поле можно индексировать по-разному для разных целей (так называемое поле multi-field). Например, поле типа string может описываться в индексе как поле типа text для полнотекстового поиска и как поле типа keyword для сортировки и агрегирования. В таком случае поле для сортировки желательно указывать в виде имя_поля.keyword. |
Для каждого фильтра отображаются следующие условия:
•Индекс - Список имен индексов. Фильтру соответствуют документы любого из перечисленных индексов.
В именах индексов могут использоваться знаки подстановки: звездочка (*) вместо произвольной последовательности символов, вопросительный знак (?) вместо любого одиночного символа. Например, точка со звездочкой (.*) обозначает любой индекс, имя которого начинается с точки.
Условие <Все> означает, что фильтру соответствуют документы из любого индекса.
•Поле : Значение / Запрос - Список пар “поле-значение” или поисковый запрос. Здесь “Поле” - это имя поля в документах Elasticsearch, а “Значение” - это искомое значение указанного поля. “Запрос” - это строка запроса в соответствии с синтаксисом поисковых запросов Elasticsearch.
Если задан список пар “поле-значение”, фильтру соответствуют документы, у которых указанные поля имеют указанные значения. Если задана строка запроса, фильтру соответствуют документы, возвращаемые соответствующим поисковым запросом.
Отметка <Все значения> в паре “поле-значение” указывает, что фильтру соответствуют документы с любым значением данного поля.
Отметка <Все> означает, что фильтру соответствуют любые документы из указанных индексов.
Имена индексов, начинающиеся с точки, обычно обозначают системные индексы (например, .kibana). Поскольку такие индексы содержат параметры конфигурации и другие системные данные, желательно исключить их из процесса обнаружения. Поэтому для исключающего фильтра по умолчанию установлены следующие значения параметров: Индекс = .*; Поле : Значение / Запрос = Все, что исключает все документы во всех индексах, имена которых начинаются с точки.