Produktdokumentation
Application Delivery Management
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Integration mit Splunk

February 5, 2024
Beitrag von: 
C

Sie können NetScaler ADM jetzt in Splunk integrieren, um Analysen für Folgendes einzusehen:

  • Verstöße gegen die WAF

  • Bot-Verstöße

  • SSL Certificate Insights

  • Ereignisse und Metriken

Das Splunk-Add-on ermöglicht Ihnen:

  • Kombinieren Sie alle anderen externen Datenquellen.

  • Bieten Sie eine bessere Sichtbarkeit von Analysen an einem zentralen Ort.

NetScaler ADM erfasst Bot-, WAF- und SSL-Ereignisse und sendet sie regelmäßig an Splunk. Das Splunk Common Information Model (CIM) -Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie mithilfe der CIM-kompatiblen Daten die Ereignisse im Splunk-Dashboard einsehen.

Für eine erfolgreiche Integration müssen Sie:

Splunk für den Empfang von Daten von NetScaler ADM konfigurieren

In Splunk müssen Sie Folgendes machen:

  1. Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Splunk Common Information Model (CIM)-Add-on installieren

  3. Installieren Sie den CIM-Normalizer (gilt nur für WAF- und Bot-Insights)

  4. Beispieldashboard in Splunk vorbereiten

Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP-Event-Collector in Splunk einrichten. Dieses Setup ermöglicht die Integration zwischen ADM und Splunk, um die Daten zu senden. Als Nächstes müssen Sie in Splunk ein Token generieren, um:

  • Aktivieren Sie die Authentifizierung zwischen ADM und Splunk.

  • Empfangen Sie Daten über den Event Collector-Endpunkt.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Event-Collector und klicken Sie auf Neu hinzufügen.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Quellnamenüberschreibung (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP-Ereignissammler.

    3. Beschreibung (optional): Geben Sie eine Beschreibung an.

    4. Ausgabegruppe (optional): Standardmäßig ist diese Option als Keine ausgewählt.

    5. Indexerbestätigung aktivieren: Diese Option ist standardmäßig nicht ausgewählt.

      Parameter des Ereigniskollektors

  4. Klicken Sie auf Weiter.

  5. Optional können Sie auf der Seite mit den Eingabeeinstellungen zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Überprüfen, um die Eingaben zu überprüfen, und klicken Sie dann auf Senden.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler ADM hinzufügen.

    Splunk-Token

Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler ADM zur Normalisierung der aufgenommenen Daten empfangenen Daten empfangen werden und einem gemeinsamen Standard entsprechen, bei dem dieselben Feldnamen und Event-Tags für äquivalente Ereignisse verwendet werden.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Weitere Apps suchen.

    Splunk mehr Apps finden

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM) -Add-on aufzurufen, und klicken Sie auf Installieren.

    Splunk CIM

Installieren Sie den CIM-Normalizer

Der CIM-Normalizer ist ein zusätzliches Plug-in, das Sie installieren müssen, um die WAF- und Bot-Insights in Splunk anzeigen zu können.

  1. Navigieren Sie im Splunk-Portal zu Apps > Weitere Apps finden.

    Splunk mehr Apps finden

  2. Geben Sie CIM-Normalisierung für ADM-Dienstereignise/Daten in die Suchleiste ein und drücken Sie die Eingabetaste, um das Add-On abzurufen, und klicken Sie auf Installieren.

    CIM-Normalisierer

Beispieldashboard in Splunk vorbereiten

Nach der Installation von Splunk CIM müssen Sie ein Beispiel-Dashboard vorbereiten, das eine Vorlage für WAF und Bot, Einblicke in SSL-Zertifikate sowie Ereignisse und Metriken verwendet. Sie können die Dashboard-Vorlagendatei (.tgz) herunterladen, ihren Inhalt mit einem beliebigen Editor (z. B. Notepad) kopieren und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zur Erstellung eines Beispiel-Dashboards gilt für alle Anwendungsfälle. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das Beispiel-Dashboard herunter, das unter Beispiel-Dashboards für Endgeräte von Drittanbieternverfügbar ist.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Nach dem Extrahieren erhalten Sie drei json-Dateien. Benutze die:

    • adm_splunk_security_violations.json Datei zum Erstellen eines WAF- und Bot-Beispiel-Dashboards.

    • adm_splunk_ssl_certificate.json Datei zum Erstellen eines Beispiel-Dashboards für SSL-Zertifikatsinformationen.

    • adm_splunk_events_and_metrics_history.json Datei, um ein ADM-Ereignis- und Metrik-Dashboard zu erstellen.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Neues Dashboard erstellen.

    Dashboard erstellen

  4. Geben Sie auf der Seite Neues Dashboard erstellen die folgenden Parameter an:

    1. Dashboard-Titel — Geben Sie einen Titel Ihrer Wahl ein.

    2. Beschreibung — Optional können Sie eine Beschreibung als Referenz angeben.

    3. Erlaubnis — Wählen Sie je nach Anforderung Privat oder In App geteilt aus.

    4. Wählen Sie Dashboard Studio aus.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) aus, und klicken Sie dann auf Erstellen.

      Dashboard-Parameter

      Nachdem Sie auf Erstellen geklickt haben, wählen Sie das Quellsymbol aus dem Layout aus.

      Quell-Layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die Daten ein, die Sie in Schritt 2 kopiert haben, und klicken Sie auf Zurück.

  6. Klicken Sie auf Speichern.

    Sie können das Beispiel-Dashboard anzeigen.

    Im Folgenden finden Sie ein Beispiel-Dashboard für WAF und Bot.

    Beispieldashboard

NetScaler ADM so konfigurieren, dass Daten nach Splunk exportiert werden

In Splunk haben Sie jetzt alles bereit. Der letzte Schritt besteht darin, NetScaler ADM zu konfigurieren, indem ein Abonnement erstellt und das Token hinzugefügt wird.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk einsehen, das derzeit in Ihrem NetScaler ADM verfügbar ist:

  1. Melden Sie sich bei NetScaler ADM an.

  2. Navigieren Sie zu Einstellungen > Ökosystemintegration.

  3. Klicken Sie auf der Seite Abonnements auf Hinzufügen.

  4. Geben Sie im Feld Abonnementname einen Namen Ihrer Wahl ein.

  5. Auf der Registerkarte Feature auswählen können Sie die Features auswählen, die Sie exportieren möchten, und auf Weiterklicken.

    • Echtzeit-Export — Die ausgewählten Verstöße werden sofort nach Splunk exportiert.

    • Periodischer Export — Die ausgewählten Verstöße werden basierend auf der von Ihnen ausgewählten Dauer nach Splunk exportiert.

      Wählen Sie Funktionen

  6. Auf der Registerkarte Instanz auswählen können Sie entweder Alle Instanzen auswählen oder Benutzerdefiniert auswählenund dann auf Weiterklicken.

    • Wählen Sie Alle Instanzen — Exportiert Daten aus allen NetScaler-Instanzen nach Splunk.

    • Benutzerdefinierte Auswahl — Ermöglicht es Ihnen, die NetScaler-Instanzen aus der Liste auszuwählen. Wenn Sie bestimmte Instanzen aus der Liste auswählen, werden die Daten nur von den ausgewählten NetScaler-Instanzen nach Splunk exportiert.

      Instanzen auswählen

  7. Gehen Sie auf der Registerkarte Abonnementeinstellungen wie folgt vor:

    1. Endpunkttyp — Wählen Sie Splunkaus.

    2. Endpunkt-URL — Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss das Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event haben.

      Hinweis

      Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

      • SPLUNK_PUBLIC_IP — Eine gültige IP-Adresse, die für Splunk konfiguriert wurde.

      • SPLUNK_HEC_PORT — Gibt die Portnummer an, die Sie während der Konfiguration des HTTP-Ereignisendpunkts angegeben haben. Die Standardportnummer ist 8088.

      • Services/Collector/Event — Gibt den Pfad für die HEC-Anwendung an.

    3. Authentifizierungstoken — Kopieren Sie das Authentifizierungstoken von der Splunk-Seite und fügen Sie es

    4. Häufigkeit auswählen — Wählen Sie Täglich oder Stündlich aus der Liste aus. Basierend auf der Auswahl exportiert NetScaler ADM die Details nach Splunk.

      Hinweis

      Gilt nur, wenn Sie im Periodischen ExportVerstöße ausgewählt haben.

    5. Klicken Sie auf Submit.

      Subscribe

      Hinweis

      • Wenn Sie zum ersten Mal mit der Option Periodischer Export konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen. Die nächste Exporthäufigkeit erfolgt basierend auf Ihrer Auswahl (täglich oder stündlich).

      • Wenn Sie zum ersten Mal mit der Option Echtzeitexport konfigurieren, werden die ausgewählten Feature-Daten sofort an Splunk übertragen, sobald die Verstöße in NetScaler ADM erkannt werden.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler ADM abgeschlossen haben, werden die Daten aus NetScaler ADM exportiert und die Ereignisse werden in Splunk angezeigt.

Hinweis:

Klicken Sie im NetScaler ADM SSL-Dashboard (Infrastruktur > SSL-Dashboard) auf Poll Now, um sofort die aktualisierten Daten zu SSL-Zertifikaten in Splunk einzusehen.

Sie sind bereit, das aktualisierte Dashboard in Splunk ohne weitere Schritte anzuzeigen.

Gehen Sie zu Splunk und klicken Sie auf das Dashboard, das Sie erstellt haben, um das aktualisierte Dashboard anzuzeigen.

Im Folgenden finden Sie ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Aktualisiertes Dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL Certificate Insights-Dashboard.

SSL certificate

Das folgende Dashboard ist ein Beispiel für das aktualisierte Ereignis- und Metrik-Dashboard.

Hinweis:

Die Nutzungsdaten für Speicher, CPU und Datenträger zeigen den aktuellen Wert aus dem NetScaler ADM. Der Auf- und Abwärtstrend dieser Werte wird auf der Grundlage des Vergleichs des vorherigen Werts alle 5 Minuten angezeigt.

Ereignisdashboard

Neben dem Dashboard können Sie nach der Erstellung des Abonnements auch Daten in Splunk anzeigen.

  1. Klicken Sie in Splunk auf Search & Reporting.

  2. In der Suchleiste:

    • Geben Sie sourcetype="metrics" ein und wählen Sie die Dauer aus der Liste aus, um die ADM-Metrikdaten anzuzeigen.

    • Geben Sie sourcetype="event" ein und wählen Sie die Dauer aus der Liste aus, um die ADM-Ereignisdaten anzuzeigen.

    • Geben Sie sourcetype="bot" oder sourcetype="waf" ein und wählen Sie die Dauer aus der Liste aus, um Bot-/WAF-Daten anzuzeigen.

    • Geben Sie sourcetype="ssl" ein und wählen Sie die Dauer aus der Liste aus, um die Insightsdaten des SSL-Zertifikats anzuzeigen.

Integration mit Splunk
February 5, 2024
Beitrag von: 
C
February 5, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.