Chuyển đến nội dung chính
Kết nối các cluster Elasticsearch của bạn để cho phép các agent CloudThinker tìm kiếm log, phân tích dữ liệu quan sát và điều tra sự cố. Elasticsearch xác thực bằng API key được giới hạn phạm vi theo index và quyền cluster cụ thể.

Điều kiện tiên quyết

  • Một cluster Elasticsearch (7.x, 8.x), OpenSearch (1.x, 2.x), AWS OpenSearch Service, hoặc Elastic Cloud có thể truy cập từ CloudThinker.
  • Quyền admin trên Kibana (Stack Management → Security → API Keys) hoặc Elasticsearch API để tạo API key.
  • URL endpoint của cluster.

Thiết lập

1

Mở Kibana

Truy cập vào Kibana và đăng nhập với quyền admin.
2

Điều hướng đến API Keys

Vào Stack Management → Security → API Keys.
3

Tạo API key

Nhấn Create API key và nhập:
  • Name: cloudthinker-readonly
4

Thiết lập quyền

Thêm role descriptor cho quyền chỉ đọc (xem Quyền yêu cầu để biết JSON đầy đủ). Tối thiểu, cấp monitor trên cluster và read + view_index_metadata trên các index pattern bạn cần.
5

Tạo và sao chép

Nhấn Create API key và sao chép ngay key đã mã hóa — Elasticsearch sẽ không hiển thị lại key này.
6

Ghi chú endpoint của cluster

Sao chép endpoint Elasticsearch của bạn:
  • Self-hosted: https://elasticsearch.your-domain.com:9200
  • Elastic Cloud: tìm trong cài đặt deployment
  • AWS OpenSearch: domain endpoint từ AWS console
7

Thêm kết nối trong CloudThinker

Điều hướng đến Connections → Elasticsearch và nhập:
  • Cluster URL: endpoint Elasticsearch của bạn
  • API Key: key đã mã hóa bạn vừa sao chép
  • Index patterns: các pattern cần truy cập (ví dụ: logs-*)
Nhấn Connect. CloudThinker xác minh thông tin xác thực và hiển thị trạng thái Connected.
Sao chép API key ngay sau khi tạo. Elasticsearch sẽ không hiển thị lại key này, và bạn sẽ cần tạo key mới nếu bị mất.

Chi tiết kết nối

TrườngMô tảVí dụ
ES_URLURL cluster Elasticsearchhttps://your-cluster.es.region.cloud.es.io:9243
ES_API_KEYAPI key được mã hóa Base64VnVhQk...
Các index pattern phổ biến để cấu hình:
PatternTrường hợp sử dụng
logs-*Log ứng dụng
filebeat-*Log thu thập qua Filebeat
metricbeat-*Metric hạ tầng
apm-*Dữ liệu hiệu suất ứng dụng
kubernetes-*Log cluster Kubernetes

Quyền yêu cầu

Tối thiểu

{
  "cluster": ["monitor"],
  "indices": [
    {
      "names": ["logs-*", "metrics-*"],
      "privileges": ["read"]
    }
  ]
}

Khuyến nghị

{
  "cluster": ["monitor", "read_ilm"],
  "indices": [
    {
      "names": ["*"],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}
Chỉ cấp quyền read trên các index pattern mà CloudThinker thực sự cần. Không bao giờ cấp quyền write hoặc cluster-admin cho API key của CloudThinker.

Khả năng của agent

Sau khi kết nối, các agent có thể:
Khả năngMô tả
Tìm kiếm logTìm kiếm log ứng dụng và hạ tầng
Phân tích lỗiTìm kiếm mẫu lỗi và bất thường
Điều tra sự cốTương quan sự kiện giữa các dịch vụ
Truy vấn metricTruy vấn dữ liệu metric đã lưu trữ

Xác minh kết nối

@oliver search Elasticsearch for application errors in the last hour

Ví dụ prompt

@oliver search logs for authentication failures in the last 24 hours
@alex find error patterns in application logs for the api-gateway service
@kai search for pod crash events in Kubernetes logs

Xử lý sự cố

  • Xác minh URL cluster chính xác và có thể truy cập từ CloudThinker.
  • Kiểm tra rằng firewall cho phép IP egress của CloudThinker.
  • Với AWS OpenSearch, bật quyền truy cập công khai hoặc cấu hình VPC endpoint.
  • Xác nhận Elasticsearch đang chạy và chấp nhận yêu cầu.
  • Xác minh API key chính xác và chưa hết hạn.
  • Xác nhận key có đủ quyền index và cluster.
  • Với AWS OpenSearch, kiểm tra IAM role hoặc access policy được cấu hình đúng.
  • Điều hướng đến Stack Management → Security → API Keys.
  • Tạo key mới với các quyền tương tự.
  • Cập nhật key trong cài đặt kết nối CloudThinker.
  • Xác minh index pattern khớp với các index tồn tại trong cluster.
  • Kiểm tra API key có quyền read trên các index đó.
  • Đảm bảo các index chứa dữ liệu trong khoảng thời gian yêu cầu.

Bảo mật

  • Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
  • Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
  • Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
  • Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
  • Xoay vòng API key — xoay API key mỗi 90 ngày; đặt ngày hết hạn khi tạo key
  • Giới hạn index — hạn chế key chỉ cho các index pattern mà CloudThinker thực sự cần thay vì cấp quyền trên *

Liên quan

Agent Oliver

Phân tích log bảo mật
https://mintcdn.com/cloudthinker/aLd-ttc-SCW-aFky/images/icons/grafana.svg?fit=max&auto=format&n=aLd-ttc-SCW-aFky&q=85&s=c1329049025cd3c3a0909b400baef7be

Kết nối Grafana

Trực quan hóa dữ liệu Elasticsearch