Elastic Agent 策略编辑

策略是输入和设置的集合,用于定义 Elastic Agent 收集的数据。每个 Elastic Agent 只能注册到一个策略中。

Elastic Agent 策略中包含一组单独的集成策略。这些集成策略定义了每个输入类型的设置。集成中可用的设置取决于所用集成的版本。

Fleet 以两种方式使用 Elastic Agent 策略

  • 策略存储在纯文本 YAML 文件中,并发送到每个 Elastic Agent 以配置其输入。
  • 策略在 Fleet UI 中提供 Elastic Agent 配置的可视化表示。

策略优势编辑

Elastic Agent 策略具有许多优势,使您能够

  • 对针对特定主机集的输入进行逻辑分组。
  • 通过在推出更改之前快速测试更改,在大型部署中保持灵活性。
  • 提供一种方法来对基础设施景观中的更大范围进行分组和管理。

例如,根据操作系统类型创建策略可能很有意义:Windows、macOS 和 Linux 主机。或者,根据主机的功能分组进行组织:IT 邮件服务器、Linux 服务器、用户工作站等。或者,根据用户类别进行组织:工程部门、市场营销部门等。

策略类型编辑

在大多数用例中,Fleet 提供 Elastic Agent 的完整集中管理。但是,某些用例(例如在 Kubernetes 中运行或使用 Elastic Cloud 上的托管 Elasticsearch 服务)需要在 Fleet 之外管理 Elastic Agent 基础设施。考虑到这一点,Elastic Agent 策略有两种类型

  • 常规策略:默认用例,其中 Fleet 为 Elastic Agent 提供完整的集中管理。用户可以通过添加、删除或升级 Elastic Agent 来管理 Elastic Agent 基础设施。用户还可以通过更新 Elastic Agent 策略来管理 Elastic Agent 配置。
  • 托管策略其他内容提供 Elastic Agent 集中管理的策略。例如,在 Kubernetes 中,添加、删除和升级 Elastic Agent 应直接在 Kubernetes 中配置。允许 Fleet 用户管理 Elastic Agent 会与任何 Kubernetes 配置冲突。

    在使用 Elastic Cloud 上的托管 Elasticsearch 服务时,托管策略也适用。Elastic Cloud 负责托管 Elastic Agent 并将其分配到策略。通过 Elastic Cloud 控制台,创建和管理 Elastic 部署的平台运营商可以添加、升级和删除 Elastic Agent。

托管策略在 Fleet UI 中显示一个锁定图标,并且操作受到限制。下表说明了可用于不同策略类型的 Fleet 用户操作

创建策略编辑

要管理您的 Elastic Agent 及其收集的数据,请创建一个新策略

在 Fleet 中,打开 代理策略 选项卡,然后单击 创建代理策略。. 为您的策略命名。所有其他字段都是可选的,可以在以后修改。默认情况下,每个策略都启用系统集成,该集成收集系统信息和指标。

+

Fleet in Kibana

+ . 创建代理策略:* 要使用 UI,请单击 创建代理策略。* 要使用 Fleet API,请单击 预览 API 请求 并运行该请求。

另请参阅 无需使用 UI 创建代理策略.

将集成添加到策略编辑

策略由一个或多个集成组成。要将新集成添加到策略

  1. 在 Fleet 中,单击 代理策略。单击要添加集成的策略的名称。
  2. 单击 添加集成.
  3. 搜索并选择一个集成。您可以选择一个类别来缩小搜索范围。
  4. 单击 添加 <集成>.
  5. 命名集成并添加任何必需的配置变量。

    集成策略名称在所有代理策略中必须全局唯一。

  6. 将集成策略保存为更大的 Elastic Agent 策略的一部分

    • 要使用 UI,请单击 保存并继续.
    • 要使用 Fleet API,请单击 预览 API 请求 并运行该请求。

Fleet 将此新策略分发到注册到 Elastic Agent 策略的所有 Elastic Agent。

策略应用完成后,所选集成将在主机上运行并与 Elastic Agent 通信。

应用策略编辑

您可以将策略应用于一个或多个 Elastic Agent。要应用策略

  1. 在 Fleet 中,单击 代理.
  2. 选择要分配到新策略的 Elastic Agent。

    选择一个或多个 Elastic Agent 后,在“操作”菜单下单击 分配到新策略.

    Assign to new policy dropdown

    无法选择多个代理?确认您的订阅级别是否支持在 Fleet 中选择性地重新分配代理策略。有关更多信息,请参阅 Elastic Stack 订阅.

  3. 从下拉列表中选择 Elastic Agent 策略,然后单击 分配策略.

Elastic Agent 状态指示器和 Elastic Agent 日志指示正在应用策略。策略更改可能需要几分钟才能完成,然后 Elastic Agent 状态才会更新为“正常”。

编辑或删除集成策略编辑

集成可以轻松地重新配置或删除。要编辑或删除集成策略

  1. 在 Fleet 中,单击 代理策略。单击要编辑或删除的策略的名称。
  2. 搜索或滚动到特定集成。打开 操作 菜单,然后选择 编辑集成删除集成.

    编辑或删除集成是永久性的,无法撤消。如果您犯了错误,可以随时重新配置或重新添加集成。

任何保存的更改都会立即分发并应用于注册到给定策略的所有 Elastic Agent。

要更新集成策略中的任何秘密值,请参阅 策略秘密值.

复制策略编辑

策略定义存储在纯文本 YAML 文件中,可以下载或复制到另一个策略

  1. 在 Fleet 中,单击 代理策略。单击要复制或下载的策略的名称。
  2. 要复制策略,请单击 操作 → 复制策略。命名新策略,并提供说明。确切的策略定义将复制到新策略。

    或者,通过单击 操作 → 查看策略 来查看和下载策略定义。

编辑或删除策略编辑

您可以根据需要更改高级配置,例如策略的名称、说明、默认命名空间和代理监控状态

  1. 在 Fleet 中,单击 代理策略。单击要编辑或删除的策略的名称。
  2. 单击 设置 选项卡,进行更改,然后单击 保存更改

    或者,单击 删除策略 以删除策略。现有数据不会被删除。在删除策略之前,必须取消注册分配到该策略的任何代理或将其分配到其他策略。

更改策略的输出编辑

假设您的 Elastic Stack 订阅级别 支持每个策略的输出,您可以更改策略的输出以将数据发送到不同的输出。

  1. 在 Fleet 中,单击 设置 并查看可用输出的列表。如有必要,请单击 添加输出 以添加具有所需设置的新输出。有关更多信息,请参阅 输出设置.
  2. 单击 代理策略。单击要更改的策略的名称,然后单击 设置.
  3. 设置 集成输出 和(可选)代理监控输出 以使用不同的输出,例如 Logstash。您可能需要向下滚动才能看到这些选项。

    无法选择其他输出?确认您的订阅级别是否支持 Fleet 中的每个策略的输出。

    Screen capture showing the Logstash output policy selected in an agent policy
  4. 保存您的更改。

注册到代理策略的任何 Elastic Agent 将开始将数据发送到指定的输出。

将 Fleet Server 添加到策略编辑

如果您想将多个代理连接到特定的本地 Fleet Server,可以将该 Fleet Server 添加到策略。

Screen capture showing how to add a Fleet Server to a policy when creating or updating the policy.

保存策略后,分配到该策略的所有代理都将配置为使用新的 Fleet Server 作为控制器。

确保分配到此策略的 Elastic Agent 都具有与您添加的 Fleet Server 的连接。缺乏连接将阻止 Elastic Agent 与 Fleet Server 检查并接收策略更新,但代理仍会将数据转发到集群。

策略密钥值编辑

创建集成策略时,通常需要提供敏感信息,例如 API 密钥或密码。为了帮助确保数据不会被不当访问,集成策略中使用的任何密钥值都与其他策略详细信息分开存储。

此外,在 Fleet 中保存密钥值后,该值在 Fleet UI 和代理策略定义中都会被隐藏。查看代理策略时(操作 → 查看策略),环境变量将显示在任何密钥值的位置,例如 ${SECRET_0}

为了将敏感值秘密存储在 Fleet 中,所有配置的 Fleet 服务器必须是 8.10.0 或更高版本。

虽然存储在 Fleet 中的密钥值是隐藏的,但它们可以更新。要更新集成策略中的密钥值

  1. 在 Fleet 中,单击 代理策略。选择要编辑的策略的名称。
  2. 搜索或滚动到特定集成。打开 操作 菜单并选择 编辑集成。任何秘密信息都被标记为隐藏。
  3. 单击链接以将密钥值替换为新的密钥值。

    Screen capture showing a hidden secret value as part of an integration policy
  4. 单击 保存集成。原始密钥值将被策略中的新值覆盖。

策略扩展建议编辑

单个 Fleet 实例最多支持 500 个 Elastic Agent 策略。如果配置了更多策略,UI 性能可能会受到影响。