Produktdokumentation
Application Delivery Management
14.1 - Current Release 13.1 13.0
PDF anzeigen

Integration mit Splunk

June 19, 2024
Beitrag von: 
C

Sie können NetScaler Console jetzt in Splunk integrieren, um Analysen für Folgendes anzuzeigen:

  • Verstöße gegen die WAF

  • Bot-Verstöße

  • SSL Certificate Insights

  • Gateway Insights

  • Ereignisse und Metriken

  • HDX-Einblicke

Das Splunk-Add-on ermöglicht Ihnen:

  • Kombinieren Sie alle anderen externen Datenquellen.

  • Bieten Sie eine bessere Sichtbarkeit von Analysen an einem zentralen Ort.

NetScaler Console erfasst Bot-, WAF- und SSL-Ereignisse und sendet sie regelmäßig an Splunk. Das Splunk Common Information Model (CIM) -Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie mithilfe der CIM-kompatiblen Daten die Ereignisse im Splunk-Dashboard einsehen.

Für eine erfolgreiche Integration müssen Sie:

Splunk für den lokalen Empfang von Daten von NetScaler Console konfigurieren

In Splunk müssen Sie Folgendes machen:

  1. Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Splunk Common Information Model (CIM)-Add-on installieren

  3. Installieren Sie den CIM-Normalizer (gilt nur für WAF- und Bot-Insights)

  4. Beispieldashboard in Splunk vorbereiten

Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP-Event-Collector in Splunk einrichten. Dieses Setup ermöglicht die Integration zwischen der NetScaler Console und Splunk, um die Daten zu senden. Als Nächstes müssen Sie in Splunk ein Token generieren, um:

  • Aktivieren Sie die Authentifizierung zwischen NetScaler Console und Splunk.

  • Empfangen Sie Daten über den Event Collector-Endpunkt.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Event-Collector und klicken Sie auf Neu hinzufügen.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Quellnamenüberschreibung (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP-Ereignissammler.

    3. Beschreibung (optional): Geben Sie eine Beschreibung an.

    4. Ausgabegruppe (optional): Standardmäßig ist diese Option als Keine ausgewählt.

    5. Indexerbestätigung aktivieren: NetScaler Console unterstützt diese Option nicht. Die Auswahl dieser Option wird nicht empfohlen.

      Parameter des Ereigniskollektors

  4. Klicken Sie auf Weiter.

  5. Optional können Sie auf der Seite mit den Eingabeeinstellungen zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Überprüfen, um die Eingaben zu überprüfen, und klicken Sie dann auf Senden.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler Console hinzufügen.

    Splunk-Token

Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler Console empfangenen Daten die aufgenommenen Daten normalisieren und einem gemeinsamen Standard entsprechen, wobei dieselben Feldnamen und Event-Tags für äquivalente Ereignisse verwendet werden.

Hinweis

Sie können diesen Schritt ignorieren, wenn Sie das Splunk CIM-Add-on bereits installiert haben.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Weitere Apps suchen.

    Splunk mehr Apps finden

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM) -Add-on aufzurufen, und klicken Sie auf Installieren.

    Splunk CIM

Installieren Sie den CIM-Normalizer

Der CIM-Normalizer ist ein zusätzliches Plug-in, das Sie installieren müssen, um die WAF- und Bot-Insights in Splunk anzeigen zu können.

  1. Navigieren Sie im Splunk-Portal zu Apps > Weitere Apps finden.

    Splunk mehr Apps finden

  2. Geben Sie CIM-Normalisierung für NetScaler Console-Dienstereignisse/-daten in die Suchleiste ein und drücken Sie die Eingabetaste, um das Add-on abzurufen, und klicken Sie auf Installieren.

    CIM-Normalisierer

Beispieldashboard in Splunk vorbereiten

Nach der Installation von Splunk CIM müssen Sie ein Beispiel-Dashboard vorbereiten, das eine Vorlage für WAF und Bot, Einblicke in SSL-Zertifikate sowie Ereignisse und Metriken verwendet. Sie können die Dashboard-Vorlagendatei (.tgz) herunterladen, ihren Inhalt mit einem beliebigen Editor (z. B. Notepad) kopieren und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zur Erstellung eines Beispiel-Dashboards gilt für alle Anwendungsfälle. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das Beispiel-Dashboard herunter, das unter Beispiel-Dashboards für Endgeräte von Drittanbieternverfügbar ist.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Nach dem Extrahieren erhalten Sie drei json-Dateien. Benutze die:

    • adm_splunk_security_violations.json Datei zum Erstellen eines WAF- und Bot-Beispiel-Dashboards.

    • adm_splunk_ssl_certificate.json Datei zum Erstellen eines Beispiel-Dashboards für SSL-Zertifikatsinformationen.

    • adm_splunk_events_and_metrics_history.json Datei zum Erstellen des NetScaler Console-Dashboards für Ereignisse und -Metriken.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Neues Dashboard erstellen.

    Dashboard erstellen

  4. Geben Sie auf der Seite Neues Dashboard erstellen die folgenden Parameter an:

    1. Dashboard-Titel − Geben Sie einen Titel Ihrer Wahl ein.

    2. Beschreibung − Optional können Sie eine Beschreibung als Referenz angeben.

    3. Erlaubnis − Wählen Sie je nach Anforderung Privat oder In App geteilt aus.

    4. Wählen Sie Dashboard Studio aus.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) aus, und klicken Sie dann auf Erstellen.

      Dashboard-Parameter

      Nachdem Sie auf Erstellen geklickt haben, wählen Sie das Quellsymbol aus dem Layout aus.

      Quell-Layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die Daten ein, die Sie in Schritt 2 kopiert haben, und klicken Sie auf Zurück.

  6. Klicken Sie auf Speichern.

    Sie können das Beispiel-Dashboard anzeigen.

    Im Folgenden finden Sie ein Beispiel-Dashboard für WAF und Bot.

    Beispieldashboard

NetScaler Console on-premises konfigurieren, um Daten nach Splunk zu exportieren

In Splunk haben Sie jetzt alles bereit. Der letzte Schritt besteht darin, NetScaler Console zu konfigurieren, indem Sie ein Abonnement erstellen und das Token hinzufügen.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk anzeigen, das derzeit in Ihrer NetScaler Console verfügbar ist:

  1. Melden Sie sich bei NetScaler Console an.

  2. Navigieren Sie zu Einstellungen > Observability Integration.

  3. Klicken Sie auf der Seite Integrationen auf Hinzufügen.

  4. Geben Sie auf der Seite Abonnement erstellen die folgenden Details an:

    1. Geben Sie im Feld Abonnementname einen Namen Ihrer Wahl ein.

    2. Wählen Sie NetScaler Console als Quelle aus und klicken Sie auf Weiter.

    3. Wählen Sie Splunk aus und klicken Sie auf Konfigurieren. Auf der Seite Endpunkt konfigurieren:

      1. Endpunkt-URL − Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss das Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event haben.

        Hinweis:

        Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

        • SPLUNK_PUBLIC_IP − Eine gültige IP-Adresse, die für Splunk konfiguriert wurde.

        • SPLUNK_HEC_PORT − Gibt die Portnummer an, die Sie während der Konfiguration des HTTP-Ereignisendpunkts angegeben haben. Die Standardportnummer ist 8088.

        • Services/Collector/Event − Gibt den Pfad für die HEC-Anwendung an.

      2. Authentifizierungstoken − Kopieren Sie das Authentifizierungstoken von Splunk und fügen Sie es ein.

      3. Klicken Sie auf Submit.

    4. Klicken Sie auf Weiter.

    5. Klicken Sie auf Insights hinzufügen. Auf der Registerkarte Funktion auswählen können Sie die Funktionen auswählen, die Sie exportieren möchten, und auf Ausgewählte hinzufügen klicken.

      • Echtzeit-Export − Die ausgewählten Verstöße werden sofort nach Splunk exportiert.

      • Periodischer Export − Die ausgewählten Verstöße werden basierend auf der von Ihnen ausgewählten Dauer nach Splunk exportiert.

      • Wählen Sie in der Frequenzliste eine der Optionen Täglich oder Stündlich aus. Basierend auf der Auswahl exportiert NetScaler Console die Details nach Splunk.

      • Klicken Sie auf Weiter.

    6. Auf der Registerkarte Instanz auswählen können Sie entweder Alle Instanzen auswählen oder Benutzerdefiniert auswählenund dann auf Weiterklicken.

      • Wählen Sie Alle Instanzen − Exportiert Daten aus allen NetScaler-Instanzen nach Splunk.

      • Benutzerdefinierte Auswahl − Ermöglicht es Ihnen, die NetScaler-Instanzen aus der Liste auszuwählen. Wenn Sie bestimmte Instanzen aus der Liste auswählen, werden die Daten nur von den ausgewählten NetScaler-Instanzen nach Splunk exportiert.

    7. Klicken Sie auf Submit.

      Hinweis

      • Wenn Sie zum ersten Mal mit der Option Periodischer Export konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen. Die nächste Exporthäufigkeit erfolgt basierend auf Ihrer Auswahl (täglich oder stündlich).

      • Wenn Sie zum ersten Mal mit der Option Realtime Export konfigurieren, werden die ausgewählten Funktionsdaten sofort an Splunk übertragen, sobald die Verstöße in der NetScaler Console erkannt werden.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler Console abgeschlossen haben, werden die Daten aus der NetScaler Console exportiert und die Ereignisse werden in Splunk angezeigt.

Sie sind bereit, das aktualisierte Dashboard in Splunk ohne weitere Schritte anzuzeigen.

Gehen Sie zu Splunk und klicken Sie auf das Dashboard, das Sie erstellt haben, um das aktualisierte Dashboard anzuzeigen.

Im Folgenden finden Sie ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Aktualisiertes Dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL Certificate Insights-Dashboard.

SSL certificate

Das folgende Dashboard ist ein Beispiel für das aktualisierte Ereignis- und Metrik-Dashboard.

Hinweis:

Die Nutzungsdaten für Speicher, CPU und Datenträger zeigen den aktuellen Wert aus der NetScaler Console. Der Auf- und Abwärtstrend dieser Werte wird auf der Grundlage des Vergleichs des vorherigen Werts alle 5 Minuten angezeigt.

Ereignisdashboard

Neben dem Dashboard können Sie nach der Erstellung des Abonnements auch Daten in Splunk anzeigen.

  1. Klicken Sie in Splunk auf Search & Reporting.

  2. In der Suchleiste:

    • Geben Sie sourcetype="metrics" ein und wählen Sie sie aus der Liste aus, um die NetScaler Console-Metrikdaten anzuzeigen.

    • Geben Sie sourcetype="event" ein und wählen Sie sie aus der Liste aus, um die NetScaler Console-Ereignisdaten anzuzeigen.

    • Geben Sie sourcetype="bot" oder sourcetype="waf" ein und wählen Sie die Dauer aus der Liste aus, um Bot-/WAF-Daten anzuzeigen.

    • Geben Sie sourcetype="ssl" ein und wählen Sie die Dauer aus der Liste aus, um die Insightsdaten des SSL-Zertifikats anzuzeigen.

    • Geben Sie sourcetype="gateway_insights" ein und wählen Sie die Dauer aus der Liste aus, um die Gateway Insights-Daten anzuzeigen.

      • Geben Sie sourcetype="hdx_insights" ein und wählen Sie die Dauer aus der Liste aus, um die Gateway Insights-Daten anzuzeigen.
Integration mit Splunk
June 19, 2024
Beitrag von: 
C
June 19, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.