検索エンジン管理

Elasticsearchは、分散型のRESTful検索、分析エンジンです。Log360で設定すると、追加したノード間でデータを分散し、ディスク容量を最適化し、Log360のパフォーマンスを向上できます。

検索エンジンの設定

Elasticsearchの自動再起動を無効化または有効化する方法

• 自動再起動が有効化されている場合、Log360を起動すると子ノードが再起動し、子ノードがLog360のクラスターに参加できるようになります。
• 自動再起動は、EventLog AnalyzerがLog360と連携している場合にのみ使用できます。本機能はデフォルトで有効化されています。必要に応じて機能を無効化できます。

自動再起動を無効化/有効化する手順

1. [管理]タブ → [管理] → [検索エンジン管理]に移動し、[設定]をクリックします。
   
   
2. [構成された製品のノードの自動再起動を有効にする]からチェックを外して、[保存]をクリックします。
   
3. [保存]をクリックすると、自動再起動は無効化されます。自動再起動を有効化する場合は、同様の手順を実施してください。
   

ノードに対するアクション

• ノードの追加：データがノード間で分散されて保存されるため、ストレージの分散に役立ちます。
• ノードの開始：追加したノードでElasticsearchサービスが開始し、ノードがLog360サーバーに接続します。
• ノードの停止：マシンで実行されているElasticsearchサービスが停止し、ノードが接続されていない場合は、ノードに存在するデータにアクセスできなくなります。
• ノードの削除：データがノードから削除され、ノードが削除されます。

前提条件

1.ファイルディスクリプタを増やす

Elasticsearchを実行しているユーザーのオープンファイルディスクリプタの数の制限を65,536以上に増やしてください。.zipと.tar.gzパッケージの場合は、Elasticsearchを起動する前にrootとして「ulimit -n 65536」を設定するか、「/etc/security/limits.conf」で「nofile」を「65536」に設定してください。

2.十分な仮想メモリを確保する

Elasticsearchは、デフォルトでmmapfsディレクトリを使用してインデックスを保存します。オペレーティングシステムのデフォルトのmmapカウントの制限が低すぎる可能性があり、メモリ不足の例外が発生する可能性があります。

Linuxでrootとして以下のコマンドを実行することにより、制限を増やすことができます。 sysctl -w vm.max_map_count=262144

3.スワッピングを無効にする

通常、Elasticsearchはマシン上で実行される唯一のサービスであり、メモリ使用量はJVMオプションによって制御されます。スワップを有効にする必要はありません。

Linuxシステムでは、以下のコマンドを実行してスワップを一時的に無効にできます。 sudo swapoff -a

Windowsでは、[システムのプロパティ] → [詳細設定] → [パフォーマンス] → [詳細設定] → [仮想メモリ]に移動して、ページングファイルを完全に無効にすることで同等の結果を得ることができます。

4.十分なスレッドを確保する

Elasticsearchは、さまざまな種類の操作に多くのスレッドプールを使用します。必要に応じていつでも新しいスレッドを作成できることが重要です。Elasticsearchユーザーが作成できるスレッドの数が少なくとも4096であることを確認してください。

Elasticsearchを起動する前にrootとして「ulimit -u 4096」を設定するか、「/etc/security/limits.conf」で「nproc」を「4096」に設定することで実行できます。

5.JVM DNSキャッシュ設定

Elasticsearchは、セキュリティマネージャーを導入した状態で実行されます。セキュリティマネージャが導入されている場合、JVMはデフォルトでホスト名の名前解決を無期限でキャッシュします。DNS情報が時間とともに変化する環境でElasticsearchノードがDNSに依存している場合は、デフォルトのJVM動作を変更する必要があります。Javaセキュリティポリシーに「networkaddress.cache.ttl=<timeout>」を追加することで変更できます。

6.ポートの可用性

Elasticsearchを実行するマシンで「ポート9322」が使用可能であることを確認してください。

7. <インストールディレクトリ>/EventLog Analyzer/ES/repoの共有

「<インストールディレクトリ>/EventLog Analyzer/ES/repo」フォルダーがLog360サーバーのサービスアカウントと共有されていることを確認してください。このフォルダーは、Elasticsearchからスナップショットを作成してアーカイブを保存するために使用されます。Log360サーバーがADに所属していない場合は、オープン共有になります。そうでない場合は、ユーザーがフォルダーを共有する権限を持っていることを確認し、以下の手順を実施します。

1. 「<インストールディレクトリ>/EventLog Analyzer/ES/repo」フォルダーをLog360サーバーと手動で共有します。
2. 「<インストールディレクトリ>/EventLog Analyzer/ES/repo」ディレクトリの共有パスをコピーします。
3. 「<インストールディレクトリ>/EventLog Analyzer/ES/config/dae.properties」ファイルに移動し、コピーしたパスを「node.repo.sharedlocation」の値として指定します。
4. EventLog Analyzerサーバーを再起動します。

Elasticsearchの設定

デフォルトでは、Elasticsearchのセキュリティ（認証と暗号化）は自己署名証明書を使用します。セキュリティのために独自の証明書を使用する場合は、以下の手順を実施してください。

1. PEM形式のクライアント、ノード、およびルート証明書があることを確認します。
2. 証明書と対応するキーの名前を以下のように変更します。
   • クライアント証明書を「client.pem」に、キーを「client.key」に設定します。
   • ノード証明書を「localnode.pem」に、キーを「localnode.key」に設定します。
   • ルート証明書は「root_ca.pem」に、キーを「root_ca.key」に設定します。
3. 「/ES/config」に移動して、「dae.properties」ファイルを開きます。
4. 「use_custom_certificates」パラメーターの値を「true」に変更します。
5. 「/ES/config/certificates」で、以下のファイルが存在するかを確認します。存在する場合は、削除します。
• client.key
• client.pem
• localnode.key
• localnode.pem
• root_ca.key
• root_ca.pem
6. 証明書を「<Log360_インストールディレクトリ>/ES/config/certificates」にコピーします。
7. 「<Log360_インストールディレクトリ>/ES/bin」に移動して、「verifyCertificates.bat」を実行します。
8. 「証明書の検証が完了しました（Certificate Validation Done）」というメッセージが表示された場合は、サーバーを起動してください。メッセージが表示されない場合は、弊社サポートまでお問い合わせください。

既存ノードの証明書を設定

既存ノードの証明書を置き換えるには、以下の手順を実施します。

1. マシンに移動し、[タスクマネージャー] → [サービス]を開いて、elasticsearchサービスを停止します。
2. 証明書を「<インストールディレクトリ>\ES\config\certificates」に移動します。
3. 「<インストールディレクトリ>\ES\config」に移動し、「elasticsearch.yml」を開き、以下の行を「node.dn」と「admin_dn」のそれぞれの詳細に置き換えます。

CN=*.node,OU=none,O=none,L=none,ST=US,C=US

4. サービスを再起動します。

Log360でElasticsearchを設定

Log360でElasticsearchを設定するには、以下の手順を実施します。

1. Log360にログインします。
2. [管理]タブ → [管理] → [検索エンジン管理]に移動します。
3. [+サーバーを追加]をクリックします。
4. サーバーの詳細とインストールディレクトリのパス、TCPポート（オプション）を入力します。
5. [保存]をクリックします。