Điều kiện tiên quyết
- Một cluster Elasticsearch (7.x, 8.x), OpenSearch (1.x, 2.x), AWS OpenSearch Service, hoặc Elastic Cloud có thể truy cập từ CloudThinker.
- Quyền admin trên Kibana (Stack Management → Security → API Keys) hoặc Elasticsearch API để tạo API key.
- URL endpoint của cluster.
Thiết lập
Thiết lập quyền
Thêm role descriptor cho quyền chỉ đọc (xem Quyền yêu cầu để biết JSON đầy đủ). Tối thiểu, cấp
monitor trên cluster và read + view_index_metadata trên các index pattern bạn cần.Tạo và sao chép
Nhấn Create API key và sao chép ngay key đã mã hóa — Elasticsearch sẽ không hiển thị lại key này.
Ghi chú endpoint của cluster
Sao chép endpoint Elasticsearch của bạn:
- Self-hosted:
https://elasticsearch.your-domain.com:9200 - Elastic Cloud: tìm trong cài đặt deployment
- AWS OpenSearch: domain endpoint từ AWS console
Thêm kết nối trong CloudThinker
Điều hướng đến Connections → Elasticsearch và nhập:
- Cluster URL: endpoint Elasticsearch của bạn
- API Key: key đã mã hóa bạn vừa sao chép
- Index patterns: các pattern cần truy cập (ví dụ:
logs-*)
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| ES_URL | URL cluster Elasticsearch | https://your-cluster.es.region.cloud.es.io:9243 |
| ES_API_KEY | API key được mã hóa Base64 | VnVhQk... |
| Pattern | Trường hợp sử dụng |
|---|---|
logs-* | Log ứng dụng |
filebeat-* | Log thu thập qua Filebeat |
metricbeat-* | Metric hạ tầng |
apm-* | Dữ liệu hiệu suất ứng dụng |
kubernetes-* | Log cluster Kubernetes |
Quyền yêu cầu
Tối thiểu
Khuyến nghị
Khả năng của agent
Sau khi kết nối, các agent có thể:| Khả năng | Mô tả |
|---|---|
| Tìm kiếm log | Tìm kiếm log ứng dụng và hạ tầng |
| Phân tích lỗi | Tìm kiếm mẫu lỗi và bất thường |
| Điều tra sự cố | Tương quan sự kiện giữa các dịch vụ |
| Truy vấn metric | Truy vấn dữ liệu metric đã lưu trữ |
Xác minh kết nối
Ví dụ prompt
Xử lý sự cố
Kết nối bị từ chối
Kết nối bị từ chối
- Xác minh URL cluster chính xác và có thể truy cập từ CloudThinker.
- Kiểm tra rằng firewall cho phép IP egress của CloudThinker.
- Với AWS OpenSearch, bật quyền truy cập công khai hoặc cấu hình VPC endpoint.
- Xác nhận Elasticsearch đang chạy và chấp nhận yêu cầu.
Xác thực thất bại
Xác thực thất bại
- Xác minh API key chính xác và chưa hết hạn.
- Xác nhận key có đủ quyền index và cluster.
- Với AWS OpenSearch, kiểm tra IAM role hoặc access policy được cấu hình đúng.
API key hết hạn
API key hết hạn
- Điều hướng đến Stack Management → Security → API Keys.
- Tạo key mới với các quyền tương tự.
- Cập nhật key trong cài đặt kết nối CloudThinker.
Không có dữ liệu trả về
Không có dữ liệu trả về
- Xác minh index pattern khớp với các index tồn tại trong cluster.
- Kiểm tra API key có quyền
readtrên các index đó. - Đảm bảo các index chứa dữ liệu trong khoảng thời gian yêu cầu.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Xoay vòng API key — xoay API key mỗi 90 ngày; đặt ngày hết hạn khi tạo key
- Giới hạn index — hạn chế key chỉ cho các index pattern mà CloudThinker thực sự cần thay vì cấp quyền trên
*
Liên quan
Agent Oliver
Phân tích log bảo mật
Kết nối Grafana
Trực quan hóa dữ liệu Elasticsearch