Der Beitrag gibt Ihnen eine Schritt-für-Schritt-Anleitung zum Anlegen eines neuen Index Servers für Ihr SIEM an die Hand. Konfigurieren Sie wie folgt angegeben, um die Indexierung und Skalierung Ihrer Daten zu optimieren.
- Richten Sie einen neuen Indexserver ein
Folgen Sie der Anleitung in unserer Dokumentation, um Ihrem SIEM einen neuen Indexserver hinzuzufügen. Führen Sie alle benötigten Schritte durch. - Neuen Indexserver in der Loggernaut Konfiguration hinzufügen
- Öffnen Sie die Loggernaut Konfigurationsdatei
nano /opt/enginsight/loggernaut/config.json. Fügen Sie anschließend den neuen Indexserver in der Konfiguration unterindeceeswie folgt hinzu:
- Öffnen Sie die Loggernaut Konfigurationsdatei
{
"api": {...},
"siem": {
"indecees": [
"<IPIhresIndexservers>:<PortIhresIndexservers>",
],
}
}
b. Falls Sie möchten, dass der Indexserver automatisch verwendet werden soll, um neue Shards für bestehende Collections zu erstellen, aktivieren Sie außerdem bitte die automatische Skallierung, indem Sie ‘‘autoscale:true“, setzen.
{
"api": {...},
"siem": {
"indecees": [
"<IPIhresIndexservers>:<PortIhresIndexservers>",
],
},
"autoscale": true
}
3. Loggernaut neustarten
Starten Sie den Loggernaut mit dem folgenden Befehl neu:
sudo systemctl restart loggernaut
4. Überprüfung
Prüfen Sie nach Neustart des Loggernauts, ob der Indexserver wie gewollt funktioniert und die Datenverarbeitung wie gewünscht verläuft. Prüfen Sie hierfür die Prozessor Anzeigen unter SIEM -> Loggernaut:.png?width=598&height=522&name=image%20(7).png)
Nachdem Sie den Indexserver erfolgreich installiert und konfiguriert haben steht er Ihrem SIEM-System nun zur Verfügung. Für den Fall, dass Sie die Autoskalierung aktiviert haben, werden Ihnen außerdem automatisch neue Shards auf dem Server angelegt, was Systemleistung wie auch Skalierbarkeit Ihres SIEMs merklich optimiert.