远程 Elasticsearch 输出
编辑远程 Elasticsearch 输出
编辑从 8.12.0 版本开始,您可以将 Elastic Agent 数据发送到远程 Elasticsearch 集群。这对于您希望将数据与使用 Fleet 管理代理的部署保持分离和独立的情况特别有用。
远程 Elasticsearch 集群支持与您的主 Elasticsearch 集群相同的 输出设置。
当前不支持将远程 Elasticsearch 输出与启用了流量过滤器的目标集群一起使用。
要为您的 Elastic Agent 数据配置远程 Elasticsearch 集群:
- 在 Fleet 中,打开 设置 选项卡。
- 在 输出 部分,选择 添加输出。
- 在 添加新输出 弹出窗口中,为输出提供一个名称,然后选择 远程 Elasticsearch 作为输出类型。
-
在 主机 字段中,添加代理应使用的 URL 以访问远程 Elasticsearch 集群。
- 要查找远程主机地址,请在远程集群中打开 Kibana 并转到 管理 → Fleet → 设置。
- 复制默认输出的 主机 值。
- 回到您的主集群,将复制的值粘贴到输出 主机 字段中。
-
创建一个服务令牌以访问远程集群。
- 在 服务令牌 字段下方,复制 API 请求。
- 在远程集群中,打开 Kibana 菜单并转到 管理 → Dev Tools。
- 运行 API 请求。
- 复制生成的令牌的值。
-
回到您的主集群,将复制的值粘贴到输出 服务令牌 字段中。
为了防止未经授权的访问,Elasticsearch 服务令牌将存储为密钥值。虽然建议使用密钥存储,但您可以选择覆盖此设置,并将密码以纯文本形式存储在代理策略定义中。密钥存储需要 Fleet Server 版本 8.12 或更高版本。此设置也可以存储为密钥值或以纯文本形式存储用于预配置的输出。有关详细信息,请参阅 Kibana 指南中的预配置设置。
- 选择远程输出是否应为代理集成或代理监视数据的默认输出。设置后,如果代理策略中未设置其他输出,则 Elastic Agent 将使用此输出发送数据。
- 选择您希望的性能调整设置,以便为吞吐量、规模或延迟优化 Elastic Agent,或保留默认的
balanced设置。 - 为输出添加您希望的任何高级 YAML 配置设置。
- 点击 保存并应用设置。
创建输出后,您可以更新 Elastic Agent 策略以使用新的远程 Elasticsearch 集群
- 在 Fleet 中,打开 代理策略 选项卡。
- 点击要编辑的代理策略,然后点击 设置。
- 要发送集成数据,请将 集成的输出 选项设置为使用您在前面步骤中配置的输出。
- 要发送 Elastic Agent 监视数据,请将 代理监视的输出 选项设置为使用您在前面步骤中配置的输出。
- 点击 保存更改。
远程 Elasticsearch 集群现已配置完成。
在使用远程 Elasticsearch 输出之前的最后一步是,确保对于任何已添加到您的 Elastic Agent 策略的集成,集成资产已安装在远程 Elasticsearch 集群上。有关步骤,请参阅安装和卸载 Elastic Agent 集成资产。