# Wie kann ich in Enginsight per Geosplitting SIEM-Cluster für Unterorganisationen erstellen?

Die Einrichtung von SIEM-Clustern per Geosplitting ermöglicht es einer Hauptorganisation, die das Enginsight SIEM nutzt, für jede verwaltete Unterorganisation eine eigene SIEM-Instanz zu erstellen. 

Dies beschränkt den Zugriff einer Unterorganisation auf ausschließlich diejenigen SIEM-Daten, die sie selbst betreffen und hilft dabei, durch das SIEM erzeugte Last zu verteilen. Es ist auch möglich, mehrere Unterorganisationen einer SIEM-Instanz zuzuordnen.

Nimm folgende Schritte vor, um ein SIEM-Cluster für ausgewählte Unterorganisationen einzurichten:

{% stepper %}
{% step %}
Installiere einen [neuen SIEM Management Server](https://docs.enginsight.com/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-siem/siem-management-server), einen [neuen SIEM Index Server](https://docs.enginsight.com/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-siem/siem-index-server) und die [Enginsight Komponente Loggernaut](https://docs.enginsight.com/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-siem/loggernaut) wie im Enginsight Handbuch beschrieben.

{% hint style="warning" %}
**Bitte beachte**: Jedes SIEM-Cluster benötigt einen eigenen SIEM Management Server, einen eigenen SIEM Index Server und einen eigenen Loggernaut!  
{% endhint %}
{% endstep %}

{% step %}
Logge dich auf dem **SIEM Management Server** deiner *Hauptorganisation* ein.
{% endstep %}

{% step %}
Öffne mit folgendem Befehl die **Loggernaut-Konfigurationsdatei**:

```
sudo nano /opt/enginsight/loggernaut/config.json
```

{% endstep %}

{% step %}
Navigiere zum Abschnitt `siem` und ergänze diesen um den markierten Abschnitt `alternatives`.

{% hint style="warning" %}
**Bitte beachte**: Du benötigst einen Abschnitt `alternatives` pro SIEM-Cluster.
{% endhint %}

<pre><code>{    
    "api": {...},
    "siem": {
          "basicAuth": {
                    "username": "...",
                    "password": "..."
          },
          "url": "...",
          "management": {
                    "organisation": "&#x3C;HauptorganisationsID>"

<strong>          "alternatives": [{
</strong><strong>                   "organisations": ["&#x3C;Unterorganisation1ID>", "&#x3C;Unterorganisation2ID"],
</strong><strong>                   "basicAuth": {
</strong><strong>                           "username": "&#x3C;BenutzernameNeuerSIEMManagementServer>",
</strong><strong>                           "password": "&#x3C;PasswortNeuerSIEMManagementServer>"
</strong><strong>                   },
</strong><strong>                   "url": "&#x3C;URLNeuerSIEMManagementServer>",
</strong><strong>                   "numShards": 2,
</strong><strong>                   "replicationFactor": 1,
</strong><strong>                   "management": {
</strong><strong>                            "organisation": "&#x3C;HauptorganisationsID>"
</strong><strong>                            }
</strong><strong>          }],
</strong>          ...
      }
}
</code></pre>

Ersetze die `<>` Platzhalter wie folgt:

<table><thead><tr><th width="365.29296875">Platzhalter</th><th>Beschreibung</th></tr></thead><tbody><tr><td><code>&#x3C;Unterorganisation1ID></code></td><td><p>Gib die IDs einer oder mehrerer Unterorganisationen an, die du in das entsprechende SIEM-Cluster verschieben möchtest.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Wenn du mehrere SIEM-Cluster einrichtest, ist es zwingend notwendig, dass keine Unterorganisation doppelt vorkommt, also in zwei Clustern gleichzeitig existiert!</p></div></td></tr><tr><td><code>&#x3C;BenutzernameNeuerSIEMManagementServer></code></td><td>Gib den Benutzernamen an, der während der Installation des neuen SIEM Management Servers <a href="#benutzername-und-passwort-erstellen">automatisch generiert</a> wurde.</td></tr><tr><td><code>&#x3C;PasswortNeuerSIEMManagementServer></code></td><td>Gib das Passwort an, das während der Installation des neuen SIEM Management Servers <a href="#benutzername-und-passwort-erstellen">automatisch generiert</a> wurde.</td></tr><tr><td><code>&#x3C;URLNeuerSIEMManagementServer></code></td><td>Gib die URL an, unter der der neue SIEM Management Server erreichbar ist.</td></tr><tr><td><code>&#x3C;HauptorganisationsID></code></td><td>Gib die ID deiner eigenen Hauptorganisation an.</td></tr></tbody></table>
{% endstep %}

{% step %}
Speichere die Konfigurationsdatei (Strg + o) und bestätige den Speicherprozess. Schließe die Datei (Strg + x).
{% endstep %}

{% step %}
Starte den Loggernaut mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart ngs-loggernaut
```

{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/siem/wie-kann-ich-in-enginsight-per-geosplitting-siem-cluster-fur-unterorganisationen-erstellen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.