搜索引擎管理

ElasticSearch是一个分布式的RESTful搜索和分析引擎。在Log360中配置时,它会在添加的节点之间分发数据,从而优化磁盘空间并提高Log360的性能。

节点中的动作

前提条件

 

1. 增加文件描述符

确保将运行Elasticsearch的用户的打开文件描述符数限制提高到65,536或更高。对于.zip和.tar.gz包,在启动Elasticsearch之前将ulimit-n 65536设置为根,或者在/etc/security/limits.conf中将nofile设置为65536。

注意: 这仅适用于Linux和MacOS。

2. 确保有足够的虚拟内存

ElasticSearch默认使用mmapfs目录来存储其索引。操作系统对mmap计数的默认限制可能太低,这可能会导致内存不足异常。

您可以在Linux中以root身份运行以下命令来增加限制: sysctl -w vm.max_map_count=262144

3. 禁用交换

通常,Elasticsearch是在机器上运行的唯一服务,其内存使用由JVM选项控制。应该不需要启用交换。

在Linux系统上,可以通过运行以下命令临时禁用交换: sudo swapoff -a

在Windows上,可以通过点击系统属性 > 高级 > 性能 > 高级 > 虚拟内存来完全禁用分页文件。

4. 确保有足够的线程

ElasticSearch将许多线程池用于不同类型的操作。重要的是,它可以在需要的时候创建新的线程。确保Elasticsearch用户可以创建的线程数至少为4096。

这可以通过在启动Elasticsearch之前将ulimit-u4096设置为root,或者在/etc/security/limits.conf中将nproc值设置为4096来实现。

5. JVM DNS缓存设置

ElasticSearch在安全管理器到位的情况下运行。安全管理器就位后,JVM默认无限期缓存正主机名解析。如果您的Elasticsearch节点在DNS解析随时间变化的环境中依赖DNS,那么您可能需要修改默认的JVM行为。这可以通过向Java安全策略添加networkaddress s.cache.ttl=<timeout>来修改。

6. 端口可用性

确保将运行Elasticsearch的计算机上的端口9322可用。

7. <Installation Dir>/EventLog Analyzer/ES/repo共享

确保文件夹<Installation Dir>/EventLog Analyzer/es/repo与Log360服务器的服务帐户共享。此文件夹将用于从Elasticserch创建快照以保存存档。如果Log360服务器不在AD中,则它将是打开的共享,或者确保用户具有共享该文件夹的权限,然后执行以下步骤。

1. 手动共享文件夹<Installation Dir>/EventLog Analyzer/es/repo给Log360服务器。
2. 复制<Installation Dir>/EventLog Analyzer/es/repo目录的共享路径。
3. 编辑<install Dir>/EventLog Analyzer/es/config/dae.properties文件,并将复制的路径指定为node.repo.sharedlocation的值。
4. 重启EventLog Analyzer服务器。

设置Elasticsearch

默认情况下,使用自签名证书Elasticsearch安全性,即身份验证和加密。如果要使用您自己的证书进行安全保护,请执行以下步骤。

为现有节点设置证书

按照以下步骤替换现有节点中的证书:

在Log360中配置Elasticsearch

请遵循以下步骤,在Log360中配置Elasticsearch。

  1. 登录到Log360。

  2. 点击管理 > 管理员 > 搜索引擎管理

  3. 点击添加服务器

  4. 在添加服务器下拉框中,输入服务器详细信息和安装目录的路径以及TCP端口(可选)。

  5. 点击保存。