Configurer un Elastic Stack externe

Par défaut, Cyberwatch embarque ses propres instances Elasticsearch et Kibana. Il est possible de les remplacer par des instances externes afin d’intégrer Cyberwatch dans un Elastic Stack existant.

Les données publiées dans Elasticsearch sont décrites dans la documentation technique des index Elasticsearch.

Cliquer sur Administration
Cliquer sur Outils externes

Dans les environnements nécessitant un niveau de sécurité renforcé, il est obligatoire de désactiver le déploiement Elasticsearch et Kibana embarqués et d’appliquer des configurations strictes pour cette application. La configuration d’un Elastic Stack externe dans l’interface d’administration ne suffit pas : les containers embarqués doivent également être explicitement désactivés.

Configuration de Kibana

Activer Kibana : Active ou désactive l’intégration Kibana
API URL : URL de l’API du serveur Kibana externe. Laisser vide pour utiliser l’instance Kibana embarquée.
URL d’accès : URL utilisée par Cyberwatch pour rediriger les utilisateurs vers Kibana. Doit être renseignée avec la même valeur que l’API URL en cas d’utilisation d’un Kibana externe.

Réglages avancés

Space : Espace Kibana dans lequel Cyberwatch publiera ses tableaux de bord. Par défaut : default.

Pour migrer les tableaux de bord Cyberwatch d’un espace à un autre, commencer par les supprimer de l’espace actuel avant de changer la configuration.

Identifiant : Identifiant utilisé pour s’authentifier auprès du serveur Kibana.
Mot de passe : Mot de passe associé à l’identifiant.
Certificat CA : Certificat de l’autorité de certification utilisé pour valider le certificat TLS du serveur Kibana. Optionnel.
Méthode de vérification TLS : Méthode de vérification du certificat TLS du serveur Kibana.
- None : Aucune vérification du certificat.
- Peer : Vérifie le certificat présenté par le serveur.

Configuration d’Elasticsearch

API URL : URL de l’API du serveur Elasticsearch externe. Laisser vide pour utiliser l’instance Elasticsearch embarquée.

Réglages avancés

Identifiant : Identifiant utilisé pour s’authentifier auprès du serveur Elasticsearch.
Mot de passe : Mot de passe associé à l’identifiant.
Certificat CA : Certificat de l’autorité de certification utilisé pour valider le certificat TLS du serveur Elasticsearch. Optionnel.
Méthode de vérification TLS : Méthode de vérification du certificat TLS du serveur Elasticsearch.
- None : Aucune vérification du certificat.
- Peer : Vérifie le certificat présenté par le serveur.

Gestion des tableaux de bord Kibana

Cyberwatch propose des tableaux de bord préconfigurés dans Kibana. Il est possible d’ajouter des tableaux de bord personnalisés en renseignant leurs identifiants uniques et un nom d’affichage.

Les tableaux de bord peuvent être réordonnés par glisser-déposer. Les tableaux de bord natifs Cyberwatch ne peuvent pas être supprimés.

Désactivation des containers embarqués

Lors de l’utilisation d’un Elastic Stack externe, les containers Elasticsearch et Kibana embarqués doivent être désactivés.

Docker Swarm et Podman

Arrêter Cyberwatch
```
sudo cyberwatch stop
```
Éditer ou créer le fichier /etc/cyberwatch/configs-enabled/99-custom.yml et régler le nombre de répliques des services Elasticsearch et Kibana à 0 :
```
services:
  elasticsearch:
    deploy:
      replicas: 0
  kibana:
    deploy:
      replicas: 0
```
Démarrer Cyberwatch
```
sudo cyberwatch start
```
Vérifier que les containers ne sont plus en cours d’exécution :
```
sudo cyberwatch status
```

Helm chart

Dans le fichier values.yml, désactiver les services Elasticsearch et Kibana :
```
elasticsearch:
  enabled: false

kibana:
  enabled: false
```

Appliquer la configuration :

helm -n cyberwatch upgrade cyberwatch oci://harbor.cyberwatch.fr/cbw-on-premise/cyberwatch-chart -f values.yml

Vérifier que les pods ne sont plus en cours d’exécution :
```
kubectl -n cyberwatch get pods
```