Security-Monitoring und -Logging mit Open Source (2)

Nachdem Sie Graylog eingerichtet haben, folgt die Komponente "ElasticSearch". Für die VM "es-master" führen Sie die folgenden Änderungen in der Konfigurationsdatei »/etc/elastic-search/elasticsearch.yml« durch:

- cluster.name: graylog-production: Eindeutige Bezeichnung des Clusters für Komponente "ElasticSearch".

- node.name: es-master: Eindeutige Bezeichnung des Nodes im Cluster der Komponente "ElasticSearch".

- node.master: true: Der Node fungiert als Master im Cluster von "ElasticSearch".

- node.data: true: Der Node (Komponente "ElasticSearch") speichert Daten.

- index.number_of_shards: 2: Siehe "elasticsearch_shards" in Konfiguration Graylog-Server.

- index.number_of_replicas: 1: Siehe "elasticsearch_replicas" in Konfiguration Graylog-Server.

- discovery.zen.ping.multicast.enabled: false: Deaktivieren der Funktion "multicast discovery", um keine Multicast-Anfragen zur Ermittlung von Nodes im Cluster zu senden.

- discovery.zen.ping.unicast.hosts: ["es-master:9300", "es-node1:9300"]: Eine Liste von Nodes, die das Cluster "graylog-production" bilden. Die Bezeichnungen sind durch entsprechende IP-Adressen der Systeme zu ersetzen oder in »/etc/hosts« entsprechend festzulegen.

Auch hierfür finden Sie die vollständige und detaillierte Beschreibung der einzelnen Konfigurationsparameter in der zugehörigen Dokumentation unter [1].

Anschließend führen Sie für die VM "es-node1" die folgenden Änderungen in der Konfigurationsdatei »/etc/elasticsearch/elasticsearch.yml« durch. Außer den genannten Konfigurationsparametern setzen Sie die übrigen analog zu den Werten für die Konfiguration der VM "es-master":

- node.name: es-node1: Eindeutige Bezeichnung des Nodes im Cluster der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.