UEBA0平台集群配置手册pdUEBA0平台集群配置手册

上海芝赛旗软件有限公司

Shanghait-SearchSaftiuareCD..Ltd

i-SEHF?CH

UEBA6.0平台集群配置手册

UserandEntityBehaviorAnalytics

©Copyright2015i-searchCo.Ltd.

注：1.搭建环境之前关闭所有服务器的防火墙

servicecrondstop

serviceiptablcsstop

2.系统搭建之前，先同步系统时间

1.HA配置

•拷贝文件

heartbeat-2.1.3.到安装主机

•解压安装

tar-zxvfheartbeat-2.1.3.|

lic;irlbcal-2.1

安装过程中如果出现如下提示，可通过下面两种方法解决:

1、请删除对应grouped的用户组或相同userid的用户，然后重新安装。

2、通过修改脚本中HEATBEAT_LSKR_GROUP_ID变量修改成为未被占用的id

必须确保搭载ha两台机器上HEATBEATUSERGROUPID变量完全相同

•搭建ssh信任关系（非必须配置）

a）准备主机设备A,Bo

b）登录上主机B后，执行命令ssh-keygen

c）拷贝主机B/root/.ssh/id_到主机A/root/id_上。

d）登录主机A,把B拷贝过来的id_追加I至iJ/root/.ssh/authorized_keys中。

echo/root/id—»/root/.ssh/authorizedke

e）主机B重复操作

•配置主机名，以及hosts（可以默认）

vi/etc/sysconfig/nctwork

NETWORKING=yes

HOSTNAME=node235【主机名、各台机瞄不能重名】

vi/etc/hosts

localhost

将hosts拷贝到两台机器的/etc文件夹中

•配置ha.cf

viusr/local/hcartbeat/etc/ha.d/ha.cf

nodenode235#主机hostname

nodenode236#备机hostname

logfacilitylocalO

ucastethl#主机填写备机ip,备机填写主机ip,如果填写错误会影响主备

机浮动ip的切换

keepalive2

warntime10

deadtime20

initdead50

udpport694

auto_failbackoff

ping00#浮动ip的网关的ip地址

respawnroot/usr/local/heartbeat/lib64/heartbeat/ipfail

apiauthipfailgid=rootuid=root

[rootenode235#cat/usr/local/heartbeat/etc/ha.d/ha.cf

nodenode235

nodenode236

IdgfacilTtyTLocalO

Ucastethl

keepalive2

warntime10

deadtime20

initdead50

udpport694

auto_failbackoff

ping00

respawnrootZusr/local/heartbeat/lib64/heartbeat/ipfail

apiauthipfailgid=rootuid=root

•配置haresources（主、备机配置相同）

vi/usr/local/heartbeat/etc/ha.d/haresources

node23512#格式为"主机hostname浮动ip"

[root@node235cat/usr/local/heartbeat/etc/ha.d/hareaources

node23512

•配置authkeys（主、备机相同配置）

|vi/usr/local/heartbeat/etc/ha.d/authkeysE固定配置不需要更改（主备机相同配置）

auth1

1crc

[root@node235~]#cat/usr/local/heartbeat/etc/ha.d/authkeys

auth1

1crc

chmod600/usr/local/heartbeat/etc/ha.d/authkeyJ

•添加启动项

:hkconfig—addheartbeat

验证方法命令

chkconfig--listIgrepheartbeat

[root@node235~]♦chkconfig-listIgrepheartbeat

heartbeat0：关闭1：关闭2:启用3:启用4:启用5:启用6:关闭

•重启设备

重启完成后，查看两台机器ip,是否多一个网卡eth0:0,ip为浮动ip。

RXDytes:（1】匕Mib）nrDyte3TTTzUcTrT9（T35T5HiB）

Interrupts20Memory:dfa00000-dfa20000

eth0:0Linkencap:EthernetHWaddr0C:C4:7A:42:E3:FD

inetaddr:192,168.0.212Bcast:192,168.255.255Mask:

UPBROADCASTRUNNINGMULTICASTMTU:1500Metric:!

Interrupt:20Men>ory:dfa00000-<ifa20000

•测试，关闭主机heartbeat服务，浮动ip是否切爽到备机

•卸载HA

「m-「III、「QcalhcailhcHI'K'hn.d

「ni-Hiz；l(心ilhwlhcMclchnd，h;i心

in】-r「u、r；l(心ilhcnrlhcNclchn.dnu出kc\

'

rmrl-inrIoc;ill)i；iillk'；ii\;irlibh、'i：".il'i'；il-川、普.♦

#chkconfigheartbeatoff

#rm-rf/usr/local/heartbeat/etc/ha.d/ha.cf

5irm-rfz^sr/lccalz^eartbeat/etc./ha.d.zharesources

:器才11rl-rf/u3r/tocal/heartbeat/ecc/ha.d/auchXe：3

MM^W"-i：pm:：：二二二七二二二上三士—ilit.r.ru;;i3

nu-「“、「luiil"',■，♦■■♦■■■■,■■■■♦■♦■■♦•

rm-rielcIIIIIAIIIC;IrIx\II

2.Mysql双机配置

*注：搭建双机环境之前root用户关闭所有服务器的防火墙

servicecrondstop

serviceiptablesstop

*此双机配置中的运行用户：isearch

*此双机配置中所有操作均在isearch用户下执行(su-isearch)

*安装根目录：ISA」NSTALL_HOME

mysql安装目录：$ISA」NSTALL_HOME/mysql

*主见：

备双：

2.1创建双机同步用户

主各机登录数据库

$ISA」NSTALL_HOME/mysql/bin/mysql-hl-uisa-pisalqaz2wsx-PI3306

主机执行:

g^nUwlicatior^lav^)rPVMc^isa^@^^^^DENTIFIE^BVisalqaz2ws?d

111SilPR1XI1

备机2.222执行:

granU2plicatioi^lav^)iVjvHc^isa^@^^^^^DENTIFIE^B^is^qaz2wsxj

2.2停止mysqI服务

主各机执行：

BlSA」NSTALL_HOME/bin/st。]

2.3停止crond服务

主备机执行:

crontab（注释第一行）

#*/5****/test/isa/bin/servicewatchdog.shl>/dev/null2>&1

B/5****/test/isa/bin/icapturewatcher.shl>/dev/null2>A1

5923***/test/isa/bin/LicenseincreaseDay.shl>/dev/null2>&1

*/5****/test/isa/bin/restart_tomcat.shl>/dev/nul12>A1

5923***rm-rf/test/isa/webapp/app/cda/temp/pixels/*l>/dev/null2>41

2.4清理一些影响同步日志信息

主冬机执行:

kd$ISA_INSTALL_HOME/mysql/dat

rm

rm-fmysql-bin*

rm-f*relay-bin*

2.5编辑配置文件my.cnf

主条机执行：

vi$ISA」NSTALL_HOME/isa/conf/mysql/f

[mysqld]

server-id=l#主机为1,备机为2

log-bin=mysql-bin

binlog-do-db=isa

binlog-ignore-db=mysql

log-slave-updates

sync_binlog=l

auto_increment_offset=1#主机为1,备机为2

auto_incrcmcnt_incrcmcnt=2

replicate-do-db=isa

replicate-ignore-db=mysql,information_schema,perfonnance_schema

2.6同步主备机isa

备机2.222执行：

rmilSIS\_l\I_11()\、ni'H

scp-r.U:$ISA」NSTALL_HOME/mysql/data/isa$ISA」NSTALL_HOME/mysql/data/

Ichown-R>IS.\I【()\“：”7-y

主条机启动mysql服务:

SISAINSTALLHOME/bin/star

主各机登录数据库:

$ISA」NSTALL_HOME/mysqiein/mysql-hl-uisa-pisalqaz2wsx-PI3306

主机执行:

CHANGEMASTERTOMASTER_HOST=2222'，MASTER_PORT=13306,MASTER_USER=

MASTERPASSWORD-'isalqaz2wsx\MASTERCONNECTRETRY二3

备机2.222执行:

CHANGEMASTERTOMASTER_HOST='',MASTER_PORT=13306,MASTERJJSER:'isa'J

MAST£^ASSWORD=^salqaz2wsx^AST£^ONNE^^nRY=30^^^^^^^^^^(

2.7验证是否成功

主张机执行:

$ISA」NSTALL_HOME/mysql/bin/mysql-hl27.().().l-uisa-pisalqaz2wsx-P13306|

mysql>showslavestatus\G；

•*•**••••**•••••••••*•*•**•i.row•*•••***•***•••**••••******

givingfor2^tertosendevent

Master_Host:04

Ma稣er_u»”：00。对端机器的ip

Master_Port:13306

connecT_Retry:30

Master_Log_File:mysql-bin.000002

Read_Master_Log_Pos:

Reiay_Log_File:isa-relay-bin.000004

Relay_Log_Pos:367

-bin.000002

Siave_lO_Running:Yes

Siave_SQL_Running:Yes两个为Yes则成功

kSpi1Cat6_Dd_DB!ISA

Replicate_lgnore_DB：mysql,information_schema,performance_schema

Replicate_Do_Table:

Repl1cate-lqnore_Table:

Replicate_wiId_Do_Tab1e:

Replicate_wild_ignore_Table:

Last_Errno:0

如果需要重新搭建，先删除目录下的文件，启动mysql服务，进入mysql执行reaetslaveall；再

进行搭建。

3.Elasticsearch配置

,配置主机名

vi/etc/sysconfie/network

NETWORKING=yes

HOSTNAME=CDA2271主机名、各台机器不能重名】

•修改文件${INSTALL_PATH}/conf/elasticsearch/文件

:,192,168・0・235(本机ip地址)

.st.hosts:

[,,192,168.0.225,,；,26,,；,35"]IP地址)

Network

#SetthebindaddresstoaspecificIP(IPv4orIPv6)：

*

network.host:,|26|本机IPi也址

#

#SetacustomportforHTTP：

#

#http.port：9200

*

#Formoreinformation,seethedocumentationat：

#<http:〃www.elastic.co/guide/en/elasticsearch/reference/current/modules-network.htm

*

#network.publish_host:192,168.0.141

#http.basic.user：-admin

#http.basic.password：adminlqaz2wsx

#................................Discovery..................................

#

#Passaninitiallistofhoststoperformdiscovery扁ennewnodeisstarted：

#Thedefaultlistofhostsis["","[：：U"1其他集群1时也址

discovery.zen.ping.unicast.hosts:l[-25","192,168.0.226-,"35']|

•各台重启elasticsearch

${lNSrALL_PAlH)/bin/restari

注意观察日志：

${INSTALL_PATH)/isa/logs/elasticsearch/

•页面访问

http:〃ip:9200/plugin/hcad/

Elasticsearch16802259:0a-

OverviewIndicesBtowierStructuredQuery[♦:AnyRequest[♦]

ClusterOverview

•kibana.sys-indcxiicba-indexucba-log-index

size:95.6ki(19lki)sin:156ki(313M)size:35Oki(700ki)m:117Hi(23SMi)

docs:63(136)docs:151(302)docs:4S(92)________docs:104,216(208332)

集群中的各台机然名<ns>€GEE

—CDAServer7354百团团回回回回©

▲node225In1囱闻团回