ADC

Managementprotokolle direkt von NetScaler nach Splunk exportieren

Sie können nun auf der Basis von Kategorien, wie shell, access, und nsmgmt, Managementprotokolle (Protokolle, die keine Paket-Engine-Protokolle sind) von NetScaler auf branchenübliche Protokollaggregationsplattformen wie Splunk exportieren. Mithilfe der Visualisierungstools von Splunk erhalten Sie aussagekräftige Einblicke in die exportierten Daten.

Es gibt mehrere Möglichkeiten, Management-Logs von NetScaler nach Splunk zu exportieren. Sie können Splunk entweder als HTTP-Server oder als Syslog-Server konfigurieren. In der HTTP-Serverkonfiguration können Sie den HTTP Event Collector verwenden, um Management-Logs über HTTP (oder HTTPS) direkt von Ihrem NetScaler an die Splunk-Plattform zu senden. In der Syslog-Serverkonfiguration werden Management-Logs als Syslog-Payloads von NetScaler an Splunk gesendet.

Exportieren Sie Verwaltungsprotokolle nach Splunk, das als HTTP-Server konfiguriert ist

Um den Export von Verwaltungsprotokollen zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie einen HTTP-Event-Collector auf Splunk.
  2. Erstellen Sie einen Collector-Service und ein Zeitreihenanalyseprofil auf NetScaler.

HTTP-Event-Collector auf Splunk konfigurieren

Sie können Verwaltungsprotokolle an Splunk weiterleiten, indem Sie einen HTTP-Event-Collector konfigurieren. Die Konfiguration des HTTP-Event-Collectors umfasst das Erstellen eines Authentifizierungstokens und das Zuordnen eines Ereignisindexes zu dem Token, an das Ereignisse gesendet werden, sowie das Festlegen der HTTP-Portnummer.

Informationen zur Konfiguration des HTTP-Event-Collectors finden Sie in der Splunk-Dokumentation.

Nachdem Sie den HTTP-Event-Collector konfiguriert haben, kopieren Sie das Authentifizierungstoken und speichern Sie es als Referenz. Sie müssen dieses Token bei der Konfiguration des Analyseprofils auf NetScaler angeben.

Konfigurieren Sie ein Zeitreihenanalyseprofil auf NetScaler mithilfe der CLI

Gehen Sie wie folgt vor, um NetScaler-Verwaltungsprotokolle nach Splunk zu exportieren.

  1. Erstellen Sie einen Collector-Service für Splunk.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Beispiel:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    In dieser Konfiguration:

    • ip-address: IP-Adresse des Splunk-Servers.
    • collector-name: Name des Sammlers.
    • protocol: Geben Sie das Protokoll als HTTP oder HTTPS an
    • port: Portnummer.
  2. Erstellen Sie ein Zeitreihenanalyseprofil.

    add analytics profile `profile-name` -type time series -managementlog <management-log-type> -collectors `collector-name` -analyticsAuthToken `auth-tocken`-analyticsEndpointContentType `Application/json` -analyticsEndpointMetadata `meta-data-for-endpoint` -analyticsEndpointUrl `endpoint-url`
    

    Beispiel:

     add analytics profile managementlogs_profile -type timeseries -managementlog ACCESS -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"sourcetype\":\"logs-and-events-directly-from-netscaler\", \"source\":\"test\",\"event\":}" -analyticsEndpointUrl "/services/collector/event"
    

    In dieser Konfiguration:

    • managementlog: Typen von Verwaltungsprotokollen, die Sie exportieren müssen. Die folgenden Optionen sind verfügbar:
      • ALL: Schließt alle Kategorien von Verwaltungs- und Hostprotokollen ein.
      • SHELL: umfasst bash.log und sh.log.
      • Access: umfasst Protokolle wie auth.log, nsvpn.log, vpndebug.log, httpaccess.log, httperror.log, httpaccess-vpn.log und httperror-vpn.log.
      • NSMGMT: umfasst ns.log und notice.log.
      • NONE: Keines der Protokolle wird exportiert.
    • analyticsAuthToken: Geben Sie das Authentifizierungstoken an, das in den Autorisierungsheader mit dem Präfix “Splunk” aufgenommen werden soll, wenn Protokolle an Splunk gesendet werden. Dieses Token ist das Authentifizierungstoken, das auf dem Splunk-Server bei der Konfiguration des HTTP-Event-Collectors erstellt wurde.

    • analyticsEndpointContentType: Format der Logs.

    • analyticsEndpointMetadata: Endpunktspezifische Metadaten.

    • analyticsEndpointUrl: Ort auf dem Endpunkt für den Export von Protokollen.

    Hinweis:

    Sie können die Parameter des Zeitreihenanalyseprofils mithilfe des Befehls set analytics profile ändern.

  3. Überprüfen Sie die Konfiguration des Analyseprofils mit dem Befehl show analytics profile.

    # show analytics profile splunkexport
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
           Managementlog: ACCESS
    

Sobald die Konfiguration erfolgreich ist, werden die Management-Logs als HTTP-Payloads an Splunk gesendet, und Sie können sie auf der Benutzeroberfläche der Splunk-Anwendung einsehen.

Konfigurieren Sie ein Zeitreihenanalyseprofil auf NetScaler mithilfe der GUI

Gehen Sie wie folgt vor:

  1. Erstellen Sie einen Collector-Service.
    1. Navigieren Sie zu Traffic Management > Load Balancing > Services und klicken Sie auf Add.
    2. Geben Sie auf der Seite Load Balancing Service die Details in die erforderlichen Felder ein, klicken Sie auf OK und dann auf Fertig.
  2. Erstellen Sie ein Zeitreihenanalyseprofil.

    1. Navigieren Sie zu System > Profile > Analytics-Profile und klicken Sie auf Hinzufügen.
    2. Geben Sie auf der Seite Analytics-Profil erstellen die folgenden Details an:

      1. Geben Sie einen Namen für das Profil ein.
      2. Wählen Sie in der Collectors-Liste den Service aus, den Sie erstellt haben.
      3. Wählen Sie eine ZEITREIHE aus der Typliste aus.
      4. Geben Sie das Analytics Auth Token ein, das Sie von Splunk erhalten haben, mit dem Präfix “Splunk”.
      5. Geben Sie die Details für die Analytics-Endpunkt-URL, den Analytics-Endpunkt-Inhaltstyp und die Analytics-Endpunktmetadaten ein.
      6. Wählen Sie die Verwaltungsprotokolle aus, die Sie exportieren möchten, sowie den Ausgabemodus, in dem Sie exportieren möchten.
      7. Klicken Sie auf Erstellen.

Exportieren Sie Verwaltungsprotokolle nach Splunk, das als Syslog-Server konfiguriert ist

Um den Export von Verwaltungsprotokollen zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie den Syslog-Port auf Splunk.
  2. Erstellen Sie eine Audit-Syslog-Aktion auf NetScaler mit der Management-Log-Option.
  3. Erstellen Sie eine Syslog-Audit-Richtlinie mit der Syslog-Aktion.
  4. Binden Sie die Syslog-Audit-Richtlinie an die globale Systementität, um die Protokollierung aller NetScaler-Systemereignisse zu ermöglichen.

Splunk als externen Syslog-Server konfigurieren

Sie können Management-Logs an Splunk weiterleiten, indem Sie einen externen Syslog-Server auf Splunk konfigurieren.

Informationen zur Konfiguration des Syslog-Ports finden Sie in der Splunk-Dokumentation. Nachdem Sie den Syslog-Port konfiguriert haben, speichern Sie ihn als Referenz. Sie müssen diesen Port bei der Konfiguration von audit syslogaction auf NetScaler angeben.

Syslog-Audit-Aktion konfigurieren

Führen Sie den folgenden Befehl aus, um die Syslog-Audit-Aktion auf NetScaler mithilfe der CLI zu konfigurieren:

    add audit syslogAction <name> \(<serverIP> \[-serverPort <port>] -logLevel <logLevel> ... \[-managementlog <managementlog> ...] ... \[-managementloglevel <managementloglevel> ...]\[-transport \( TCP | UDP )])

Beispiel:

    add audit syslogAction test 10.106.186.102 -serverPort 514 -logLevel ALL -managementlog SHELL NSMGMT -managementloglevel ALL -transport TCP

In dieser Konfiguration:

  • name: Name der Syslog-Aktion
  • serverIP: IP-Adresse des Syslog-Servers.
  • serverPort: Port, auf dem der Syslog-Server Verbindungen akzeptiert.
  • logLevel: Protokollebene prüfen.
  • managementlog: Typen von Verwaltungsprotokollen, die Sie exportieren müssen.
  • managementloglevel: Management-Log-Levels, die Sie für den Export festlegen möchten.
  • transport: Der Transporttyp, der zum Senden von Audit-Logs an den Syslog-Server verwendet wird.

Hinweis:

Wenn Verwaltungsprotokolle aktiviert sind, unterstützt die syslogAction-Konfiguration nur die Server-IP-Adresse und die Portkonfiguration. Domänenbasierter Dienst (DBS) und Lastausgleichskonfigurationen für virtuelle Servernamen werden nicht unterstützt.

Für Load Balancing-Verwaltungsprotokolle, die über mehrere externe Syslog-Server (z. B. Splunk-Syslog-Server oder Endpunkte) exportiert werden, können Sie die folgende Beispielkonfiguration verwenden:

add service syslog_server <server_ip> UDP <port>

add service syslog_server1 1.3.4.4 UDP 514

add service syslog_server2 1.3.4.5 UDP 514

add lb vserver lb1 UDP <lb_vip> <lb_port>

bind lb vserver lb1 syslog_server1

bind lb vserver lb1 syslog_server2

Konfigurieren Sie in syslogAction Folgendes:

add syslogAction sys1 <server_ip> -serverPort <server_port> -transport UDP -loglevel <loglevel>

add syslogAction sys1 lb_vip -serverPort lb_port -transport UDP -loglevel <loglevel>

Gehen Sie wie folgt vor, um die Syslog-Auditaktion auf NetScaler mithilfe der GUI zu konfigurieren:

  1. Navigieren Sie zur Registerkarte System > Auditing > Syslog > Server und klicken Sie auf Hinzufügen.
  2. Geben Sie auf der Seite Auditing-Server erstellen die folgenden Details an:
    1. Geben Sie einen Namen für den Syslog-Server ein.
    2. Wählen Sie Server-IP aus der Liste Servertyp aus und geben Sie die IP-Adresse und den Port des Syslog-Servers ein.
    3. Wählen Sie die erforderlichen Protokollebenen aus den Abschnitten Log Levels, Management Logs und Management Log Levels aus.
  3. Klicken Sie auf Erstellen.

Syslog-Audit-Richtlinie konfigurieren

Führen Sie den folgenden Befehl aus, um eine Syslog-Überwachungsrichtlinie mithilfe der CLI zu konfigurieren:

    add audit syslogPolicy <name> TRUE <syslogAction>

Beispiel:

    add audit syslogPolicy test-policy TRUE test

Gehen Sie wie folgt vor, um eine Syslog-Audit-Richtlinie mithilfe der GUI zu konfigurieren:

  1. Navigieren Sie zur Registerkarte System > Auditing > Syslog > Richtlinien und klicken Sie auf Hinzufügen.
  2. Geben Sie auf der Seite Audit-Syslog-Richtlinie erstellen einen Namen ein, wählen Sie Erweiterte Richtlinie aus, und wählen Sie dann den von Ihnen erstellten Audit-Syslog-Server aus der Serverliste aus.

Bind-Audit-Log-Richtlinie

Führen Sie den folgenden Befehl aus, um die Syslog-Audit-Log-Richtlinie SYSTEM_GLOBAL mithilfe der CLI an den Bindpunkt zu binden:

    bind audit syslogGlobal <policyname> -globalBindType SYSTEM_GLOBAL

Beispiel:

    bind audit syslogGlobal test-policy -globalBindType SYSTEM_GLOBAL

Führen Sie den folgenden Befehl aus, um die Syslog-Audit-Log-Richtlinie mithilfe der GUI global zu binden:

  1. Navigieren Sie zur Registerkarte System > Auditing > Syslog > Richtlinien und wählen Sie die Syslog-Überwachungsrichtlinie aus, die Sie erstellt haben.
  2. Klicken Sie mit der rechten Maustaste auf die ausgewählte Syslog-Überwachungsrichtlinie und klicken Sie auf Advanced Policy Global Bindings.
  3. Wählen Sie die Syslog-Überwachungsrichtlinie, die Sie erstellt haben, aus der Liste Select Policy aus.
  4. Geben Sie die Priorität in das Feld Priorität ein.
  5. Wählen Sie SYSTEM_GLOBAL im Feld Globaler Bindungstyp aus und klicken Sie auf Binden.
  6. Wählen Sie auf der Seite Syslog-Überwachung die Syslog-Überwachungsrichtlinie aus und klicken Sie auf Fertig.

Sobald die Konfiguration erfolgreich ist, werden die Management-Logs als Syslog-Payloads an Splunk gesendet, und Sie können sie auf der Benutzeroberfläche der Splunk-Anwendung einsehen.

Weitere Informationen

Dieser Abschnitt enthält weitere Informationen zu den drei Arten von Protokollen, die in diesem Thema beschrieben werden:

  • shell-Protokolle: umfassen bash.log und sh.log.
  • access Logs: Beinhaltet httpaccess.loghttperror.log,httpaccess-vpn.log, httperror-vpn.log, vpndebug.log, nsvpn.log, und auth.log.
  • nsmgmt-Protokolle: umfassen notice.log und ns.log (schließt nur Protokolle ein, die nichts mit der Paketengine zu tun haben).

Beheben Sie Probleme im Zusammenhang mit dem Export von Verwaltungsprotokollen

Tipps zur Problembehandlung beim Export von Verwaltungsprotokollen finden Sie unter Problembehandlung im Zusammenhang mit Verwaltungsprotokollen.