Elasticsearch送信先の作成

Elasticsearchを使用すると、ほぼすべてのタイプの構造化および非構造化データソースから、リアルタイムで検索、分析、実行可能な洞察を得ることができます。Connectを使用すると、TaniumはElasticsearchに直接データを書き込むことができます。

一般的な接続情報を指定する

  1. Connectのホームページで、[Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。
  2. 接続の名前と説明を入力します。
  3. スケジュールに従って実行するように接続を有効にします。
    [Enable (有効化)]を選択します。残りの接続を設定するときにスケジュールを設定できます。スケジュールが有効になっていない場合は、手動で実行するときにのみ接続が実行されます。
  4. (オプション)ロギングレベルを設定します。
    デフォルトでは、ログは[Information (情報)]に設定されています。ログレベルを[Trace (トレース)]、または接続をデバッグしている場合は[Debug (デバッグ)]に設定します。ロギングの量を減らすために、ログレベルを[Warning (警告)][Error (エラー)]、または[Fatal (致命的)]に設定できます。

接続元を構成する

接続元は、送信先に送信するデータを決定します。このデータは通常、保存されたQuestion、Questionログ、システムステータス、イベントなどのTaniumの情報です。設定は、選択した接続元によって異なります。

Elasticsearchデータに対してネストされたJSONを使用する場合、ソースの高度な設定で[Flatten Results (平坦化結果)]設定をオフにしてください。データを平坦化したままにしておくと、すべての行が入った1つのJSON項目が返されます。

Elasticsearchの送信先を構成する

  1. 送信先に名前を付けます。
    一意名を指定して構成情報を新しい送信先として保存することも、既存のElasticsearchの送信先を選択することもできます。

  2. Elasticsearch APIにアクセスするためのURLを定義します。
    URLは次の形式です。
    <プロトコル>://<elasticSearchHost>:<elasticSearchPort>/<インデックス>/<タイプ>/_bulk
    ここで、

    プロトコル

    Elasticsearchサーバにアクセスするためのプロトコルを指定します。(httpまたはhttps)

    elasticSearchHost

    Elasticsearchサーバの完全修飾ドメイン名(FQDN)またはIPを指定します。

    elasticSearchPort

    Elasticsearchサーバが待機しているポートを指定します。(デフォルト: 9200)

    インデックス

    このAPI要求の一意の識別子を指定します。この識別子の一般的な形式は次のとおりです: {name}-{0:yyyy.MM.dd}。この日付形式では、毎日異なるインデックスが作成されます。

    タイプ

    データソースタイプを識別するデータラベルを指定します。たとえば、TaniumにはTaniumを使用し、syslogデータにはsyslogを使用できます。


  3. Elasticsearchにデータを送信する前に一括するメッセージの数を[Batch Size (バッチサイズ)]で指定します。
  4. Tanium Module Server用にプロキシが設定されている場合は、[Use Tanium Module Server Proxy Setting (Tanium Module Serverのプロキシ設定を使用)]を選択します。これを選択すると、プロキシはURLで指定されているElasticsearchインスタンスにアウトバウンド接続を行います。

フィルタを構成する

(オプション)フィルタを使用して、送信先に送信される前に接続元から取得しているデータを変更できます。

設定可能なフィルタの種類の詳細については、参照: フィルタオプションを参照してください。

Elasticsearch用にデータをフォーマットする

Elasticsearchでインデックスとして使用する列を選択します。保存されたQuestionが送信元で選択されている場合は、[Advanced Settings (高度な設定)]を展開して、[Group columns by sensor (センサーによる列のグループ化)]を選択して単純な値の種類ではなくオブジェクトの配列として結果を返すことができます。このオプションで列をカスタマイズすることはできません。

各列の[Destination (送信先)]名と[Value Type (値のタイプ)]を変更して、列を文字列、数値、または日付/時刻の値にすることができます。値として[Numeric (数値)]を選択した場合、データを数値に強制変換できない場合に使用されるデフォルト値を指定できます。 任意の負の数または正の数を指定できます。値として[DateTime (日付/時刻)]を選択した場合は、その列に使用する日付/時刻形式を指定します。

接続をスケジュールする

接続は、1時間、1日、1週間、または1か月に複数回など、設定可能な時間間隔で実行できます。

スケジュールを更新する: 

  • [Generate Cron (Cronを生成)]タブを使用して、いくつかの共通の時間間隔に基づいてスケジュールを作成します。このタブは、Cron式を生成します。
  • Cron式を直接表示または編集するには、[Edit Cron Expression (Cron式の編集)]タブをクリックします。

接続を保存して検証する

  1. [Create Connection (接続の作成)] > [Create (作成)]の順にクリックします。接続が作成されると、新しい接続が接続ページのリストに表示されます。
  2. 接続の実行時の詳細を表示するには、接続の名前をクリックします。表示される接続の詳細ページで、[Runs (実行)]タブをクリックします。
  3. 個々の実行ログを表示するには、[Runs (実行)]テーブルで[Status (ステータス)]列のリンクをクリックします。

最終更新:2019/06/0418:43| フィードバック

Powered by Translations.com GlobalLink OneLink Software