Produktdokumentation
Application Delivery Management
14.1 - Current Release 13.1 13.0
PDF anzeigen

Integration mit Splunk

December 12, 2025
Beitrag von: 
C

Sie können NetScaler® ADM jetzt mit Splunk integrieren, um Analysen für Folgendes anzuzeigen:

  • WAF-Verletzungen

  • Bot-Verletzungen

  • SSL-Zertifikat-Einblicke

Das Splunk-Add-on ermöglicht Ihnen Folgendes:

  • Alle anderen externen Datenquellen zu kombinieren.

  • Eine bessere Sichtbarkeit der Analysen an einem zentralen Ort zu gewährleisten.

NetScaler ADM sammelt Bot-, WAF- und SSL-Ereignisse und sendet diese regelmäßig an Splunk. Das Splunk Common Information Model (CIM)-Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie die Ereignisse mithilfe der CIM-kompatiblen Daten im Splunk-Dashboard anzeigen.

Für eine erfolgreiche Integration müssen Sie:

Splunk für den Empfang von Daten von NetScaler ADM konfigurieren

In Splunk müssen Sie:

  1. Den Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Das Splunk Common Information Model (CIM)-Add-on installieren

  3. Ein Beispiel-Dashboard in Splunk vorbereiten

Den Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP Event Collector in Splunk einrichten. Diese Einrichtung ermöglicht die Integration zwischen ADM und Splunk, um die Daten zu senden. Als Nächstes müssen Sie ein Token in Splunk generieren, um:

  • Die Authentifizierung zwischen ADM und Splunk zu ermöglichen.

  • Daten über den Event Collector-Endpunkt zu empfangen.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Settings > Data Inputs > HTTP event collector und klicken Sie auf Add new.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Source name override (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP Event Collector.

    3. Description (optional): Geben Sie eine Beschreibung an.

    4. Output Group (optional): Standardmäßig ist diese Option als None ausgewählt.

    5. Enable indexer acknowledgement: Standardmäßig ist diese Option nicht ausgewählt.

      Event collector parameters

  4. Klicken Sie auf Next.

  5. Optional können Sie auf der Seite Input Settings zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Review, um die Einträge zu überprüfen, und klicken Sie dann auf Submit.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler ADM hinzufügen.

    Splunk token

Das Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler ADM empfangenen Daten normalisiert werden und einem gemeinsamen Standard entsprechen, indem dieselben Feldnamen und Ereignis-Tags für äquivalente Ereignisse verwendet werden.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Find More Apps.

    Splunk find more apps

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Add-on Splunk Common Information Model (CIM) zu finden, und klicken Sie auf Install.

    Splunk CIM

Ein Beispiel-Dashboard in Splunk vorbereiten

Nachdem Sie das Splunk CIM installiert haben, müssen Sie ein Beispiel-Dashboard mithilfe einer Vorlage für WAF und Bot sowie SSL-Zertifikat-Einblicke vorbereiten. Sie können die Dashboard-Vorlage (.tgz)-Datei herunterladen, einen beliebigen Editor (z. B. Notepad) verwenden, um deren Inhalt zu kopieren, und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zum Erstellen eines Beispiel-Dashboards gilt sowohl für WAF und Bot als auch für SSL-Zertifikat-Einblicke. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das unter Observability Integration verfügbare Beispiel-Dashboard herunter.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Hinweis:

    Nach dem Extrahieren erhalten Sie zwei json-Dateien. Verwenden Sie adm_splunk_security_violations.json, um das WAF- und Bot-Beispiel-Dashboard zu erstellen, und adm_splunk_ssl_certificate.json, um das SSL-Zertifikat-Einblicke-Beispiel-Dashboard zu erstellen.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Create New Dashboard.

    Create dashboard

  4. Geben Sie auf der Seite Create New Dashboard die folgenden Parameter an:

    1. Dashboard Title – Geben Sie einen Titel Ihrer Wahl an.

    2. Description – Optional können Sie eine Beschreibung zu Ihrer Referenz angeben.

    3. Permission – Wählen Sie je nach Anforderung Private oder Shared in App aus.

    4. Wählen Sie Dashboard Studio aus.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) aus und klicken Sie dann auf Create.

      Dashboard parameters

      Nachdem Sie auf Create geklickt haben, wählen Sie das Source-Symbol aus dem Layout aus.

      Source layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die in Schritt 2 kopierten Daten ein und klicken Sie auf Back.

  6. Klicken Sie auf Save.

    Sie können das folgende Beispiel-Dashboard in Ihrem Splunk anzeigen.

    Sample dashboard

NetScaler ADM für den Export von Daten nach Splunk konfigurieren

Sie haben nun alles in Splunk vorbereitet. Der letzte Schritt besteht darin, NetScaler ADM durch Erstellen eines Abonnements und Hinzufügen des Tokens zu konfigurieren.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk anzeigen, das derzeit in Ihrem NetScaler ADM verfügbar ist:

  1. Melden Sie sich bei NetScaler ADM an.

  2. Navigieren Sie zu Settings > Ecosystem Integration.

  3. Klicken Sie auf der Seite Subscriptions auf Add.

  4. Wählen Sie auf der Registerkarte Select features to subscribe die Funktionen aus, die Sie exportieren möchten, und klicken Sie auf Next.

    • Realtime Export – Die ausgewählten Verletzungen werden sofort nach Splunk exportiert.

    • Periodic Export – Die ausgewählten Verletzungen werden basierend auf der von Ihnen gewählten Dauer nach Splunk exportiert.

      Select features

  5. Auf der Registerkarte Specify export configuration:

    1. End Point Type – Wählen Sie Splunk aus der Liste aus.

    2. End Point – Geben Sie die Details des Splunk-Endpunkts an. Der Endpunkt muss im Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event vorliegen.

      Hinweis

      Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

      • SPLUNK_PUBLIC_IP – Eine für Splunk konfigurierte gültige IP-Adresse.

      • SPLUNK_HEC_PORT – Bezeichnet die Portnummer, die Sie während der HTTP Event Endpoint-Konfiguration angegeben haben. Die Standard-Portnummer ist 8088.

      • Services/collector/event – Bezeichnet den Pfad für die HEC-Anwendung.

    3. Authentication token – Kopieren Sie das Authentifizierungstoken von der Splunk-Seite und fügen Sie es ein.

    4. Klicken Sie auf Next.

      Create subscription

  6. Auf der Seite Subscribe:

    1. Export Frequency – Wählen Sie Täglich oder Stündlich aus der Liste aus. Basierend auf der Auswahl exportiert NetScaler ADM die Details nach Splunk.

      Hinweis:

      Gilt nur, wenn Sie Verletzungen in Periodic Export ausgewählt haben.

    2. Subscription Name – Geben Sie einen Namen Ihrer Wahl an.

    3. Aktivieren Sie das Kontrollkästchen Enable Notifications.

    4. Klicken Sie auf Submit.

      Subscribe

      Hinweis

      • Wenn Sie die Option Periodic Export zum ersten Mal konfigurieren, werden die Daten der ausgewählten Funktionen sofort an Splunk übertragen. Die nächste Exportfrequenz richtet sich nach Ihrer Auswahl (täglich oder stündlich).
      • Wenn Sie die Option Realtime Export zum ersten Mal konfigurieren, werden die Daten der ausgewählten Funktionen sofort an Splunk übertragen, sobald die Verletzungen in NetScaler ADM erkannt werden.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler ADM abgeschlossen haben, erscheinen die Ereignisse in Splunk. Sie können das aktualisierte Dashboard in Splunk ohne weitere Schritte anzeigen.

Gehen Sie zu Splunk und klicken Sie auf das von Ihnen erstellte Dashboard, um das aktualisierte Dashboard anzuzeigen.

Das Folgende ist ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Updated dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL-Zertifikat-Einblicke-Dashboard.

SSL certificate

Integration mit Splunk
December 12, 2025
Beitrag von: 
C
December 12, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.