Produktdokumentation
NetScaler Console-Dienst
PDF anzeigen

Integration mit Splunk

July 17, 2024
Beitrag von: 
C

Sie können NetScaler Console jetzt in Splunk integrieren, um Analysen für Folgendes anzuzeigen:

  • Verstöße gegen die WAF

  • Bot-Verstöße

  • SSL Certificate Insights

  • Gateway Insights

Das Splunk-Add-on ermöglicht Ihnen:

  • Kombinieren Sie alle anderen externen Datenquellen.

  • Bieten Sie eine bessere Sichtbarkeit von Analysen an einem zentralen Ort.

NetScaler Console erfasst Bot-, WAF- und SSL-Ereignisse und sendet sie regelmäßig an Splunk. Das Splunk Common Information Model (CIM) -Add-on konvertiert die Ereignisse in CIM-kompatible Daten. Als Administrator können Sie mithilfe der CIM-kompatiblen Daten die Ereignisse im Splunk-Dashboard einsehen.

Für eine erfolgreiche Integration müssen Sie:

Konfigurieren Sie Splunk für den Empfang von Daten von NetScaler Console

In Splunk müssen Sie Folgendes machen:

  1. Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

  2. Splunk Common Information Model (CIM)-Add-on installieren

  3. Installieren Sie den CIM-Normalizer (gilt nur für WAF- und Bot-Insights)

  4. Beispieldashboard in Splunk vorbereiten

Splunk HTTP Event Collector-Endpunkt einrichten und ein Token generieren

Sie müssen zuerst den HTTP-Event-Collector in Splunk einrichten. Dieses Setup ermöglicht die Integration zwischen der NetScaler Console und Splunk, um die WAF- oder Bot-Daten zu senden. Als Nächstes müssen Sie in Splunk ein Token generieren, um:

  • Aktivieren Sie die Authentifizierung zwischen NetScaler Console und Splunk.

  • Empfangen Sie Daten über den Event Collector-Endpunkt.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Einstellungen > Dateneingaben > HTTP-Event-Collector und klicken Sie auf Neu hinzufügen.

  3. Geben Sie die folgenden Parameter an:

    1. Name: Geben Sie einen Namen Ihrer Wahl an.

    2. Quellnamenüberschreibung (optional): Wenn Sie einen Wert festlegen, überschreibt dieser den Quellwert für den HTTP-Ereignissammler.

    3. Beschreibung (optional): Geben Sie eine Beschreibung an.

    4. Ausgabegruppe (optional): Standardmäßig ist diese Option als Keine ausgewählt.

    5. Indexerbestätigung aktivieren: NetScaler Console unterstützt diese Option nicht. Die Auswahl dieser Option wird nicht empfohlen.

      Parameter des Ereigniskollektors

  4. Klicken Sie auf Weiter.

  5. Optional können Sie auf der Seite mit den Eingabeeinstellungen zusätzliche Eingabeparameter festlegen.

  6. Klicken Sie auf Überprüfen, um die Eingaben zu überprüfen, und klicken Sie dann auf Senden.

    Ein Token wird generiert. Sie müssen dieses Token verwenden, wenn Sie Details in NetScaler Console hinzufügen.

    Splunk-Token

Splunk Common Information Model installieren

In Splunk müssen Sie das Splunk CIM-Add-on installieren. Dieses Add-on stellt sicher, dass die von NetScaler Console empfangenen Daten die aufgenommenen Daten normalisieren und einem gemeinsamen Standard entsprechen, wobei dieselben Feldnamen und Event-Tags für äquivalente Ereignisse verwendet werden.

Hinweis

Sie können diesen Schritt ignorieren, wenn Sie das Splunk CIM-Add-on bereits installiert haben.

  1. Melden Sie sich bei Splunk an.

  2. Navigieren Sie zu Apps > Weitere Apps suchen.

    Splunk mehr Apps finden

  3. Geben Sie CIM in die Suchleiste ein und drücken Sie die Eingabetaste, um das Splunk Common Information Model (CIM) -Add-on aufzurufen, und klicken Sie auf Installieren.

    Splunk CIM

Installieren Sie den CIM-Normalizer

Der CIM-Normalizer ist ein zusätzliches Plug-in, das Sie installieren müssen, um die WAF- und Bot-Insights in Splunk anzeigen zu können.

  1. Navigieren Sie im Splunk-Portal zu Apps > Weitere Apps finden.

    Splunk mehr Apps finden

  2. Geben Sie CIM-Normalisierung für ADM-Dienstereignise/Daten in die Suchleiste ein und drücken Sie die Eingabetaste, um das Add-On abzurufen, und klicken Sie auf Installieren.

    CIM-Normalisierer

Beispieldashboard in Splunk vorbereiten

Nachdem Sie Splunk CIM installiert haben, müssen Sie ein Beispieldashboard mit einer Vorlage für WAF und Bot sowie SSL Certificate Insights vorbereiten. Sie können die Dashboard-Vorlagendatei (.tgz) herunterladen, ihren Inhalt mit einem beliebigen Editor (z. B. Notepad) kopieren und ein Dashboard erstellen, indem Sie die Daten in Splunk einfügen.

Hinweis:

Das folgende Verfahren zur Erstellung eines Beispiel-Dashboards gilt sowohl für WAF als auch für Bot und SSL Certificate Insights. Sie müssen die erforderliche json-Datei verwenden.

  1. Melden Sie sich auf der Citrix-Downloadseite an und laden Sie das Beispiel-Dashboard herunter, das unter Observability Integration verfügbar ist.

  2. Extrahieren Sie die Datei, öffnen Sie die json-Datei mit einem beliebigen Editor und kopieren Sie die Daten aus der Datei.

    Hinweis:

    Nach dem Extrahieren erhalten Sie zwei json-Dateien. Verwenden Sie adm_splunk_security_violations.json, um das WAF- und Bot-Beispieldashboard zu erstellen, und verwenden Sie adm_splunk_ssl_certificate.json, um das Beispieldashboard für SSL Certificate Insights zu erstellen.

  3. Navigieren Sie im Splunk-Portal zu Search & Reporting > Dashboards und klicken Sie dann auf Neues Dashboard erstellen.

    Dashboard erstellen

  4. Geben Sie auf der Seite Neues Dashboard erstellen die folgenden Parameter an:

    1. Dashboard-Titel − Geben Sie einen Titel Ihrer Wahl ein.

    2. Beschreibung − Optional können Sie eine Beschreibung als Referenz angeben.

    3. Erlaubnis − Wählen Sie je nach Anforderung Privat oder In App geteilt aus.

    4. Wählen Sie Dashboard Studio aus.

    5. Wählen Sie ein beliebiges Layout (Absolute oder Grid) aus, und klicken Sie dann auf Erstellen.

      Dashboard-Parameter

      Nachdem Sie auf Erstellen geklickt haben, wählen Sie das Quellsymbol aus dem Layout aus.

      Quell-Layout

  5. Löschen Sie die vorhandenen Daten, fügen Sie die Daten ein, die Sie in Schritt 2 kopiert haben, und klicken Sie auf Zurück.

  6. Klicken Sie auf Speichern.

    Sie können sich das folgende Beispiel-Dashboard in Ihrem Splunk ansehen.

    Beispieldashboard

NetScaler Console so konfigurieren, dass Daten nach Splunk exportiert werden

In Splunk haben Sie jetzt alles bereit. Der letzte Schritt besteht darin, NetScaler Console zu konfigurieren, indem Sie ein Abonnement erstellen und das Token hinzufügen.

Nach Abschluss des folgenden Verfahrens können Sie das aktualisierte Dashboard in Splunk anzeigen, das derzeit in Ihrer NetScaler Console verfügbar ist:

  1. Melden Sie sich bei NetScaler Console an.

  2. Navigieren Sie zu Einstellungen > Observability Integration.

  3. Klicken Sie auf der Seite Integrationen auf Hinzufügen.

  4. Geben Sie auf der Seite Abonnement erstellen die folgenden Details an:

    1. Geben Sie im Feld Abonnementname einen Namen Ihrer Wahl ein.

    2. Wählen Sie NetScaler Console als Quelle aus und klicken Sie auf Weiter.

    3. Wählen Sie Splunk aus und klicken Sie auf Konfigurieren. Auf der Seite Endpunkt konfigurieren:

      1. Endpunkt-URL − Geben Sie die Splunk-Endpunktdetails an. Der Endpunkt muss das Format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event haben.

        Hinweis:

        Aus Sicherheitsgründen wird die Verwendung von HTTPS empfohlen.

        • SPLUNK_PUBLIC_IP − Eine gültige IP-Adresse, die für Splunk konfiguriert wurde.

        • SPLUNK_HEC_PORT − Gibt die Portnummer an, die Sie während der Konfiguration des HTTP-Ereignisendpunkts angegeben haben. Die Standardportnummer ist 8088.

        • Services/Collector/Event − Gibt den Pfad für die HEC-Anwendung an.

      2. Authentifizierungstoken − Kopieren Sie das Authentifizierungstoken von Splunk und fügen Sie es ein.

      3. Klicken Sie auf Submit.

    4. Klicken Sie auf Weiter.

    5. Klicken Sie auf Insights hinzufügen. Auf der Registerkarte Funktion auswählen können Sie die Funktionen auswählen, die Sie exportieren möchten, und auf Ausgewählte hinzufügen klicken.

    6. Klicken Sie auf Weiter.

    7. Auf der Registerkarte Instanz auswählen können Sie entweder Alle Instanzen auswählen oder Benutzerdefiniert auswählenund dann auf Weiterklicken.

      • Wählen Sie Alle Instanzen − Exportiert Daten aus allen NetScaler-Instanzen nach Splunk.

      • Benutzerdefinierte Auswahl − Ermöglicht es Ihnen, die NetScaler-Instanzen aus der Liste auszuwählen. Wenn Sie bestimmte Instanzen aus der Liste auswählen, werden die Daten nur von den ausgewählten NetScaler-Instanzen nach Splunk exportiert.

    8. Klicken Sie auf Submit.

      Hinweis:

      Die Daten für die ausgewählten Insights werden sofort an Splunk übertragen, nachdem die Verstöße in der NetScaler Console erkannt wurden.

Dashboards in Splunk anzeigen

Nachdem Sie die Konfiguration in NetScaler Console abgeschlossen haben, werden die Ereignisse in Splunk angezeigt.

Sie sind bereit, das aktualisierte Dashboard in Splunk ohne weitere Schritte anzuzeigen.

Gehen Sie zu Splunk und klicken Sie auf das Dashboard, das Sie erstellt haben, um das aktualisierte Dashboard anzuzeigen.

Im Folgenden finden Sie ein Beispiel für das aktualisierte WAF- und Bot-Dashboard:

Aktualisiertes Dashboard

Das folgende Dashboard ist ein Beispiel für das aktualisierte SSL Certificate Insights-Dashboard.

SSL certificate

Neben dem Dashboard können Sie auch Daten in Splunk anzeigen, nachdem Sie das Abonnement erstellt haben

  1. Klicken Sie in Splunk auf Search & Reporting.

  2. In der Suchleiste:

    • Geben Sie sourcetype="bot" oder sourcetype="waf" ein und wählen Sie die Dauer aus der Liste aus, um Bot-/WAF-Daten anzuzeigen.

    • Geben Sie sourcetype="ssl" ein und wählen Sie die Dauer aus der Liste aus, um die Insightsdaten des SSL-Zertifikats anzuzeigen.

    • Geben Sie sourcetype="gateway_insights" ein und wählen Sie die Dauer aus der Liste aus, um die Gateway Insights-Daten anzuzeigen.

Integration mit Splunk
July 17, 2024
Beitrag von: 
C
July 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.