# Wie lege ich in Enginsight einen weiteren SIEM Index Server an?

Der SIEM Index Server basiert auf [Apache Solr](https://solr.apache.org/) und ist die primäre Datenbank für das SIEM. Er indexiert Logs und macht diese einfach durchsuchbar.

Du kannst mehrere SIEM Index Server installieren, die mit einem SIEM Management Server kommunizieren. Welche Anpassungen du dafür vornehmen musst, zeigen wir dir im folgenden Artikel.

{% stepper %}
{% step %}

### Neuen SIEM Index Server einrichten

Folge der [Installationsanleitung für den SIEM Index Server](https://docs.enginsight.com/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-siem/siem-index-server) im Enginsight Handbuch, um einen neuen SIEM Index Server aufzusetzen.
{% endstep %}

{% step %}

### Loggernaut-Konfiguration anpassen

1. Logge dich auf dem **SIEM Management Server** oder auf dem dedizierten Server ein, auf dem du die Enginsight SIEM Komponente Loggernaut installiert hast.
2. Öffne mit folgendem Befehl die **Loggernaut-Konfigurationsdatei**:

```json
sudo nano /opt/enginsight/loggernaut/config.json
```

3. Navigiere zum Abschnitt `"siem"` und füge dem Parameter `"indicees"` den neuen SIEM Index Server wie folgt hinzu:

<pre><code>{
    "api": {...},
    "siem": {
        "indecees": [
<strong>            "&#x3C;IPAdresseExistierenderSIEMIndexServer>:&#x3C;PortExistierenderSIEMIndexServer>",
</strong><strong>            "&#x3C;IPAdresseNeuerSIEMIndexServer>:&#x3C;PortNeuerSIEMIndexServer>",
</strong>        ],
    }
}
</code></pre>

{% hint style="info" %}
Vergiss dabei nicht, `<IPAdresseNeuerSIEMIndexServer>` und `<PortNeuerSIEMIndexServer>` entsprechend zu ersetzen.
{% endhint %}

4. **Optional**: Falls du möchtest, dass der neue SIEM Index Server automatisch verwendet werden soll, um neue Shards für bestehende Collections zu erstellen, musst du die automatische Skalierung aktivieren.\
   \
   Setze dazu den Parameter `"autoscale"` wie folgt:

<pre><code>{
    "api": {...},
    "siem": {
        "indecees": [
            "&#x3C;IPAdresseExistierenderSIEMIndexServer>:&#x3C;PortExistierenderSIEMIndexServer>",
            "&#x3C;IPAdresseNeuerSIEMIndexServer>:&#x3C;PortNeuerSIEMIndexServer>",
        ],
    },
<strong>    "autoscale": true,
</strong>}
</code></pre>

{% hint style="info" %}
Vergiss dabei nicht, die folgenden `<>` Platzhalter entsprechend zu ersetzen:

* `<IPAdresseExistierenderSIEMIndexServer>`
* `<PortExistierenderSIEMIndexServer>`
* `<IPAdresseNeuerSIEMIndexServer>`
* `<PortNeuerSIEMIndexServer>`
  {% endhint %}

5. Speichere die Konfigurationsdatei (Strg + o) und bestätige den Speicherprozess. Schließe die Datei (Strg + x).
6. Starte den Loggernaut mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart ngs-loggernaut
```

{% endstep %}

{% step %}

### nginx-Konfiguration anpassen

1. Logge dich auf dem **SIEM Management Server** ein, falls du dies noch nicht getan hast.
2. Öffne mit folgendem Befehl die **nginx-Konfiguration**:

```
sudo nano /etc/nginx/sites-available/default
```

2. Passe die Konfiguration wie folgt an:

<pre><code>upstream backend {
   server &#x3C;IPAdresseSIEMIndexServer1>:8983;
<strong>   server &#x3C;IPAdresseSIEMIndexServer2>:&#x3C;PortSIEMIndexServer2>;
</strong></code></pre>

{% hint style="info" %}
Vergiss dabei nicht, `<IPAdresseSIEMIndexServer1>` und `<PortSIEMIndexServer2>` entsprechend zu ersetzen.
{% endhint %}

3. Speichere die Änderungen in der Konfigurationsdatei (Strg+o) und bestätige den Speicherprozess. Schließe die Datei (Strg+x).
4. Starte nun nginx mit folgendem Befehl neu, um die Änderungen zu übernehmen:

```
sudo systemctl restart nginx
```

{% endstep %}

{% step %}

### Funktionalität des neuen SIEM Index Servers überprüfen

Navigiere in die Enginsight Plattform zu **SIEM** → **Erforderliche Services** → **Loggernaut** und überprüfe, ob der SIEM Index Server wie gewollt funktioniert und die Datenverarbeitung wie gewünscht verläuft. Prüfe hierfür die Prozessor-Anzeigen:

<div align="left"><figure><img src="/files/ZhbYuT4gzk5mkEuY6DVS" alt=""><figcaption></figcaption></figure></div>
{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/knowledge-base/siem/wie-lege-ich-in-enginsight-einen-weiteren-siem-index-server-an.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.