ADC

Auditprotokolle und Ereignisse direkt von NetScaler nach Splunk exportieren

Mithilfe der Prüfprotokollierung können Sie die NetScaler-Zustände und Statusinformationen protokollieren, die von verschiedenen Modulen in NetScaler gesammelt wurden. Durch die Überprüfung der Protokolle können Sie Probleme oder Fehler beheben und beheben.

Sie können jetzt Audit-Logs und Ereignisse von NetScaler auf branchenübliche Log-Aggregator-Plattformen wie Splunk exportieren und so aussagekräftige Erkenntnisse gewinnen.

Es gibt mehrere Möglichkeiten, Audit-Logs von NetScaler nach Splunk zu exportieren. Sie können Splunk entweder als Syslog-Server oder als HTTP-Server konfigurieren. Dieses Thema enthält Informationen zur Konfiguration von Splunk als HTTP-Server mithilfe des Splunk HTTP Event Collectors. Mit dem HTTP-Event-Collector können Sie Audit-Logs über HTTP (oder HTTPS) direkt von Ihrem NetScaler an die Splunk-Plattform senden.

Export von Auditprotokollen von NetScaler nach Splunk konfigurieren

Um den Export von Audit-Logs zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie den HTTP-Event-Collector auf Splunk.
  2. Erstellen Sie einen Collector-Service und ein Zeitreihenanalyseprofil auf NetScaler.

HTTP-Event-Collector auf Splunk konfigurieren

Sie können Audit-Logs an Splunk weiterleiten, indem Sie einen HTTP-Event-Collector konfigurieren. Die Konfiguration des HTTP-Event-Collectors umfasst das Erstellen eines Authentifizierungstokens und das Zuordnen eines Ereignisindexes zu dem Token, an das Ereignisse gesendet werden, sowie das Festlegen der HTTP-Portnummer.

Informationen zur Konfiguration des HTTP-Event-Collectors finden Sie in der Splunk-Dokumentation.

Nachdem Sie den HTTP-Event-Collector konfiguriert haben, kopieren Sie das Authentifizierungstoken und speichern Sie es als Referenz. Sie müssen dieses Token bei der Konfiguration des Analyseprofils auf NetScaler angeben.

Konfigurieren Sie das Zeitreihenanalyseprofil auf NetScaler

Gehen Sie wie folgt vor, um NetScaler-Audit-Logs nach Splunk zu exportieren.

  1. Erstellen Sie einen Collector-Service für Splunk.

    add service <service-name> <splunk-server-ip-address> <protocol> <port>
    

    Beispiel:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    In dieser Konfiguration:

    • ip-address: Geben Sie die IP-Adresse des Splunk-Servers an.
    • service-name: Geben Sie einen Namen für den Collector-Service an.
    • protocol: Geben Sie das Protokoll als HTTP oder HTTPS an
    • port: Geben Sie die Portnummer an.
  2. Erstellen Sie ein Zeitreihenanalyseprofil.

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name> -analyticsAuthToken <"auth-token">
        -analyticsEndpointContentType <"application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">
    

    Beispiel:

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk_service -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    

    In dieser Konfiguration:

    • auditlog: Geben Sie den Wert an, enabled um die Überwachungsprotokollierung zu aktivieren.
    • collectors: Geben Sie den Collector-Service an, der für Splunk erstellt wurde. Beispielsweise ist “splunk_service” der in Schritt 1 erstellte Collector-Service.
    • analyticsAuthToken: Geben Sie das Authentifizierungstoken an, das beim Senden von Protokollen an Splunk im Autorisierungsheader enthalten sein soll. Dieses Token ist das Authentifizierungstoken, das auf dem Splunk-Server bei der Konfiguration des HTTP-Event-Collectors erstellt wurde. Das Authentifizierungstoken muss das Format “Splunk <token-copied-from-splunk>” haben. Zum Beispiel “Splunk 3e52aa4b-1db7-45b2-9af9-173eedc8e1bc”.

    • analyticsEndpointContentType: Geben Sie das Format der Protokolle an.
    • analyticsEndpointMetadata: Geben Sie die Metadaten an, die Splunk am Anfang der Daten erwartet, nämlich. "{\"event\":["

    • analyticsEndpointUrl: Geben Sie die URL an, für die Sie Splunk HEC konfiguriert haben, um Anfragen abzurufen. Zum Beispiel “/services/collector/event”.

    Hinweis:

    Sie können die Parameter des Zeitreihenanalyseprofils mithilfe des Befehls set analytics profile ändern.

  3. Überprüfen Sie die Konfiguration des Analytics-Profils mit dem Befehl show analytics profile.

    # show analytics profile audit_profile
    
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: ENABLED
                Serve mode: Push
           Authentication Token: <auth-token>
           Endpoint URL: /services/collector/event
           Endpoint Content-type: application/json
           Endpoint Metadata: {"event":[
           Reference Count: 0
    

Sobald die Konfiguration erfolgreich ist, werden die Audit-Logs als HTTP-Payloads an Splunk gesendet und Sie können sie auf der Benutzeroberfläche der Splunk-Anwendung einsehen.

Export von Ereignissen von NetScaler nach Splunk konfigurieren

Um den Export von Ereignissen von NetScaler nach Splunk zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie den HTTP-Event-Collector auf Splunk, indem Sie den Schritten unter HTTP-Event-Collector auf Splunk konfigurierenfolgen.

  2. Erstellen Sie mit dem folgenden Befehl einen Collector-Dienst auf NetScaler.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Beispiel:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    In dieser Konfiguration:

    • ip-address: Geben Sie die IP-Adresse des Splunk-Servers an.
    • collector-name: Geben Sie den Kollektor an.
    • protocol: Geben Sie das Protokoll als HTTP oder HTTPS an.
    • port: Geben Sie die Portnummer an.
  3. Erstellen Sie mit dem Befehl ein Zeitreihenanalyseprofil auf NetScaler. add analytics profile Sie müssen die -events enabled Option bei der Erstellung des Analyseprofils angeben, um die Exportereignisse zu aktivieren.

    Beispiel:

    add analytics profile event_profile -type timeseries -events enabled -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    
  4. Überprüfen Sie die Konfiguration des Analyseprofils mit dem Befehl show analytics profile.

    # show analytics profile event_profile
    
    1)    Name: event_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: ENABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-token>
           Endpoint URL: /services/collector/event
           Endpoint Content-type: application/json
           Endpoint Metadata: {"event":[
           Reference Count: 0
    
Auditprotokolle und Ereignisse direkt von NetScaler nach Splunk exportieren