Elasticsearch(ES)のアーカイブ

Log360 UEBAのESアーカイブ機能を使用すると、過去に検出された異常を圧縮されたインデックスファイルにアーカイブできます。ユーザーは、どの期間を過去の異常とみなすかを設定できます。アーカイブの設定機能には、Log360 UEBAが実行されているサーバー上でrawConfig.doを実行することでアクセスできます。

elastic-search-archiving.png

古いアーカイブされたデータを取得する必要がある場合、Log360 UEBAはデータをアーカイブ解除し、結果を表示します。

これにより、ストレージ管理が改善され、エンドユーザーのパフォーマンスが向上します。

アーカイブパスを変更する手順

  1. <Log360UEBA_インストールディレクトリ>\confにあるwrapper.confファイルを開きます。
  2. 以下の画像のように、wrapper.java.additional.21=-Des_archive_pathの行を編集します。
  3. デフォルトの「./../ES/archive」を置き換えて新しいアーカイブパスを指定します。
    elastic-search-archiving-steps.png