ADC

Exportación de registros y eventos de auditoría directamente de NetScaler a Splunk

El registro de auditoría le permite registrar los estados de NetScaler y la información de estado recopilada por varios módulos de NetScaler. Al revisar los registros, puede solucionar problemas o errores y corregirlos.

Ahora puede exportar registros y eventos de auditoría de NetScaler a plataformas agregadoras de registros estándar del sector, como Splunk, y obtener información significativa.

Hay varias formas de exportar los registros de auditoría de NetScaler a Splunk. Puede configurar Splunk como servidor syslog o como servidor HTTP. En este tema se proporciona información sobre la configuración de Splunk como servidor HTTP mediante el recopilador de eventos HTTP de Splunk. Con el recopilador de eventos HTTP, puede enviar registros de auditoría a través de HTTP (o HTTPS) directamente a la plataforma Splunk desde su NetScaler.

Nota:

Actualmente, no se admite la exportación de registros que no sean del motor de paquetes (PE) de NetScaler a Splunk.

Configurar la exportación de registros de auditoría de NetScaler a Splunk

Para configurar la exportación de los registros de auditoría, debe realizar los siguientes pasos:

  1. Configure el recopilador de eventos HTTP en Splunk.
  2. Cree un servicio recopilador y un perfil de análisis de series temporales en NetScaler.

Configurar el recopilador de eventos HTTP en Splunk

Puede reenviar los registros de auditoría a Splunk configurando un recopilador de eventos HTTP.

Consulte la documentación de Splunk para obtener información sobre cómo configurar el recopilador de eventos HTTP.

Una vez que haya configurado el recopilador de eventos HTTP, copie el token de autenticación y guárdelo como referencia. Debe especificar este token al configurar el perfil de análisis en NetScaler.

Configurar el perfil de análisis de series temporales en NetScaler

Haga lo siguiente para exportar los registros de auditoría de NetScaler a Splunk.

  1. Crea un servicio de recopilación para Splunk.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Ejemplo:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    En esta configuración:

    • ip-address: especifique la dirección IP del servidor Splunk.
    • service-name: especifique un nombre para el servicio de recopilación.
    • protocol: especifique el protocolo como HTTP o HTTPS
    • port: especifique el número de puerto.
  2. Cree un perfil de análisis de series temporales.

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name>  -analyticsAuthToken <"auth-tocken">
        -analyticsEndpointContentType <"application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">
    

    Ejemplo:

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk_service -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    

    En esta configuración:

    • auditlog: especifique el valor enabled para habilitar el registro de auditoría.
    • collectors: especifique el servicio de recopilación creado para Splunk. Por ejemplo, “splunk_service” es el servicio de recopilación creado en el paso 1.
    • analyticsAuthToken: especifique el token de autenticación que se incluirá en el encabezado de autorización al enviar los registros a Splunk. Este token es el token de autenticación creado en el servidor Splunk al configurar el recopilador de eventos HTTP.

    • analyticsEndpointContentType: especifique el formato de los registros.
    • analyticsEndpointMetadata: especifique los metadatos que son específicos del punto final.

    • analyticsEndpointUrl: especifique la ubicación en el punto final para exportar los registros.

    Nota:

    Puede modificar los parámetros del perfil de análisis de series temporales mediante el comando set analytics profile.

  3. Verifique la configuración del perfil de análisis mediante el comando show analytics profile.

    # show analytics profile audit_profile
    
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: ENABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
    

Una vez que la configuración se haya realizado correctamente, los registros de auditoría se envían como cargas HTTP a Splunk y puede verlos en la interfaz de usuario de la aplicación Splunk.

Exportación de registros y eventos de auditoría directamente de NetScaler a Splunk