Application Delivery Management

Integration mit Splunk

Sie können NetScaler ADM jetzt in Splunk integrieren, um Analysen für Folgendes einzusehen:

  • Verstöße gegen die WAF

  • Bot-Verstöße

  • SSL Certificate Insights

Das Splunk-Add-on ermöglicht Ihnen:

  • Kombinieren Sie alle anderen externen Datenquellen.

  • Bieten Sie eine bessere Sichtbarkeit von Analysen an einem zentralen Ort.

NetScaler ADM erfasst Bot-, WAF- und SSL-Ereignisse und sendet sie regelmäßig an Splunk. Das Splunk Common Information Model (CIM) -Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie mithilfe der CIM-kompatiblen Daten die Ereignisse im Splunk-Dashboard einsehen.

Für eine erfolgreiche Integration müssen Sie:

Splunk für den Empfang von Daten von NetScaler ADM konfigurieren

In Splunk müssen Sie Folgendes machen:

  1. Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Splunk Common Information Model (CIM)-Add-on installieren

  3. Beispieldashboard in Splunk vorbereiten

Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP-Event-Collector in Splunk einrichten. Dieses Setup ermöglicht die Integration zwischen ADM und Splunk, um die Daten zu senden. Als Nächstes müssen Sie in Splunk ein Token generieren, um:

  • Aktivieren Sie die Authentifizierung zwischen ADM und Splunk.

  • Empfangen Sie Daten über den Event Collector-Endpunkt.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Event-Collector und klicken Sie auf Neu hinzufügen.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Quellnamenüberschreibung (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP-Ereignissammler.

    3. Beschreibung (optional): Geben Sie eine Beschreibung an.

    4. Ausgabegruppe (optional): Standardmäßig ist diese Option als Keine ausgewählt.

    5. Indexerbestätigung aktivieren: Diese Option ist standardmäßig nicht ausgewählt.

      Parameter des Ereigniskollektors

  4. Klicken Sie auf Weiter.

  5. Optional können Sie auf der Seite mit den Eingabeeinstellungen zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Überprüfen, um die Eingaben zu überprüfen, und klicken Sie dann auf Senden.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler ADM hinzufügen.

    Splunk-Token

Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler ADM zur Normalisierung der aufgenommenen Daten empfangenen Daten empfangen werden und einem gemeinsamen Standard entsprechen, bei dem dieselben Feldnamen und Event-Tags für äquivalente Ereignisse verwendet werden.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Weitere Apps suchen.

    Splunk mehr Apps finden

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM) -Add-on aufzurufen, und klicken Sie auf Installieren.

    Splunk CIM

Beispieldashboard in Splunk vorbereiten

Nachdem Sie Splunk CIM installiert haben, müssen Sie ein Beispieldashboard mit einer Vorlage für WAF und Bot sowie SSL Certificate Insights vorbereiten. Sie können die Dashboard-Vorlagendatei (.tgz) herunterladen, ihren Inhalt mit einem beliebigen Editor (z. B. Notepad) kopieren und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zur Erstellung eines Beispiel-Dashboards gilt sowohl für WAF als auch für Bot und SSL Certificate Insights. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das Beispiel-Dashboard herunter, das unter Observability Integration verfügbar ist.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Hinweis:

    Nach dem Extrahieren erhalten Sie zwei json-Dateien. Verwenden Sie adm_splunk_security_violations.json, um das WAF- und Bot-Beispieldashboard zu erstellen, und verwenden Sie adm_splunk_ssl_certificate.json, um das Beispieldashboard für SSL Certificate Insights zu erstellen.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Neues Dashboard erstellen.

    Dashboard erstellen

  4. Geben Sie auf der Seite Neues Dashboard erstellen die folgenden Parameter an:

    1. Dashboard-Titel — Geben Sie einen Titel Ihrer Wahl ein.

    2. Beschreibung — Optional können Sie eine Beschreibung als Referenz angeben.

    3. Erlaubnis — Wählen Sie je nach Anforderung Privat oder In App geteilt aus.

    4. Wählen Sie Dashboard Studio aus.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) aus, und klicken Sie dann auf Erstellen.

      Dashboard-Parameter

      Nachdem Sie auf Erstellen geklickt haben, wählen Sie das Quellsymbol aus dem Layout aus.

      Quell-Layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die Daten ein, die Sie in Schritt 2 kopiert haben, und klicken Sie auf Zurück.

  6. Klicken Sie auf Speichern.

    Sie können sich das folgende Beispiel-Dashboard in Ihrem Splunk ansehen.

    Beispieldashboard

NetScaler ADM so konfigurieren, dass Daten nach Splunk exportiert werden

In Splunk haben Sie jetzt alles bereit. Der letzte Schritt besteht darin, NetScaler ADM zu konfigurieren, indem ein Abonnement erstellt und das Token hinzugefügt wird.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk einsehen, das derzeit in Ihrem NetScaler ADM verfügbar ist:

  1. Melden Sie sich bei NetScaler ADM an.

  2. Navigieren Sie zu Einstellungen > Ökosystemintegration.

  3. Klicken Sie auf der Seite Abonnements auf Hinzufügen.

  4. Wählen Sie auf der Registerkarte Zu abonnierende Funktionen auswählen die Funktionen aus, die Sie exportieren möchten, und klicken Sie auf Weiter.

    • Echtzeit-Export — Die ausgewählten Verstöße werden sofort nach Splunk exportiert.

    • Periodischer Export — Die ausgewählten Verstöße werden basierend auf der von Ihnen ausgewählten Dauer nach Splunk exportiert.

      Wählen Sie Funktionen

  5. Auf der Registerkarte Exportkonfiguration angeben:

    1. Endpunkttyp — Wählen Sie Splunk aus der Liste aus.

    2. Endpunkt — Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss das Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event haben.

      Hinweis

      Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

      • SPLUNK_PUBLIC_IP — Eine gültige IP-Adresse, die für Splunk konfiguriert wurde.

      • SPLUNK_HEC_PORT — Gibt die Portnummer an, die Sie während der Konfiguration des HTTP-Ereignisendpunkts angegeben haben. Die Standardportnummer ist 8088.

      • Services/Collector/Event — Gibt den Pfad für die HEC-Anwendung an.

    3. Authentifizierungstoken — Kopieren Sie das Authentifizierungstoken von der Splunk-Seite und fügen Sie es

    4. Klicken Sie auf Weiter.

      Abo erstellen

  6. Auf der Seite Abonnieren :

    1. Export Frequency — Wählen Sie Täglich oder Stündlich aus der Liste aus. Basierend auf der Auswahl exportiert NetScaler ADM die Details nach Splunk.

      Hinweis:

      Gilt nur, wenn Sie im Periodischen ExportVerstöße ausgewählt haben.

    2. Abonnementname — Geben Sie einen Namen Ihrer Wahl an.

    3. Wählen Sie das Kontrollkästchen Benachrichtigungen aktivieren aus.

    4. Klicken Sie auf Submit.

      Subscribe

      Hinweis

      • Wenn Sie zum ersten Mal mit der Option Periodischer Export konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen. Die nächste Exporthäufigkeit erfolgt basierend auf Ihrer Auswahl (täglich oder stündlich).

      • Wenn Sie zum ersten Mal mit der Option Realtime Export konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen, wenn die Verstöße in NetScaler ADM erkannt werden.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler ADM abgeschlossen haben, werden die Ereignisse in Splunk angezeigt. Sie sind bereit, das aktualisierte Dashboard in Splunk ohne weitere Schritte anzuzeigen.

Gehen Sie zu Splunk und klicken Sie auf das Dashboard, das Sie erstellt haben, um das aktualisierte Dashboard anzuzeigen.

Im Folgenden finden Sie ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Aktualisiertes Dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL Certificate Insights-Dashboard.

SSL certificate