ADC

Exporte los registros de administración directamente de NetScaler a Splunk

Ahora puede exportar registros de administración (registros que no sean de motores de paquetes) por categorías como los registros shell, access y nsmgmt de NetScaler a plataformas agregadoras de registros estándar del sector, como Splunk. Con las herramientas de visualización de Splunk, puede obtener información significativa sobre los datos exportados.

Hay varias formas de exportar los registros de administración de NetScaler a Splunk. Puede configurar Splunk como servidor HTTP o servidor syslog. En la configuración del servidor HTTP, puede utilizar el recopilador de eventos HTTP para enviar registros de administración a través de HTTP (o HTTPS) directamente a la plataforma Splunk desde su NetScaler. En la configuración del servidor syslog, los registros de administración se envían como cargas útiles de syslog desde NetScaler a Splunk.

Exportar los registros de administración a Splunk configurado como un servidor HTTP

Para configurar la exportación de los registros de administración, debe realizar los siguientes pasos:

  1. Configure un recopilador de eventos HTTP en Splunk.
  2. Cree un servicio de recopilación y un perfil de análisis de series temporales en NetScaler.

Configurar un recopilador de eventos HTTP en Splunk

Puede reenviar los registros de administración a Splunk configurando un recopilador de eventos HTTP. La configuración del recopilador de eventos HTTP implica crear un token de autenticación, asociar un índice de eventos al token al que se envían los eventos y establecer el número de puerto HTTP.

Para obtener información sobre cómo configurar el recopilador de eventos HTTP, consulte la documentación de Splunk.

Una vez que haya configurado el recopilador de eventos HTTP, copie el token de autenticación y guárdelo como referencia. Debe especificar este token al configurar el perfil de análisis en NetScaler.

Configurar un perfil de análisis de series temporales en NetScaler mediante la CLI

Haga lo siguiente para exportar los registros de administración de NetScaler a Splunk.

  1. Crea un servicio de recopilación para Splunk.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Ejemplo:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    En esta configuración:

    • ip-address: dirección IP del servidor Splunk.
    • collector-name: Nombre del coleccionista.
    • protocol: especifique el protocolo como HTTP o HTTPS
    • port: Número de puerto.
  2. Cree un perfil de análisis de series temporales.

    add analytics profile `profile-name` -type time series -managementlog <management-log-type> -collectors `collector-name` -analyticsAuthToken `auth-tocken`-analyticsEndpointContentType `Application/json` -analyticsEndpointMetadata `meta-data-for-endpoint` -analyticsEndpointUrl `endpoint-url`
    

    Ejemplo:

     add analytics profile managementlogs_profile -type timeseries -managementlog ACCESS -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"sourcetype\":\"logs-and-events-directly-from-netscaler\", \"source\":\"test\",\"event\":}" -analyticsEndpointUrl "/services/collector/event"
    

    En esta configuración:

    • managementlog: tipos de registros de administración que debe exportar. Están disponibles las siguientes opciones:
      • ALL: Incluye todas las categorías de registros de host y administración.
      • SHELL: Incluye bash.log y sh.log.
      • Access: Incluye registros como auth.log, nsvpn.log, vpndebug.log, httpaccess.log, httperror.log, httpaccess-vpn.log y httperror-vpn.log.
      • NSMGMT: Incluye ns.log y notice.log.
      • NONE: No se exporta ningún registro.
    • analyticsAuthToken: especifique el token de autenticación que se incluirá en el encabezado de autorización con el prefijo “Splunk” al enviar los registros a Splunk. Este token es el token de autenticación creado en el servidor Splunk al configurar el recopilador de eventos HTTP.

    • analyticsEndpointContentType: Formato de los registros.

    • analyticsEndpointMetadata: Metadatos específicos del punto final.

    • analyticsEndpointUrl: ubicación en el punto final para exportar los registros.

    Nota:

    Puede modificar los parámetros del perfil de análisis de series temporales mediante el comando set analytics profile.

  3. Compruebe la configuración del perfil de análisis mediante el comando show analytics profile.

    # show analytics profile splunkexport
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
           Managementlog: ACCESS
    

Una vez que la configuración se realiza correctamente, los registros de administración se envían como cargas HTTP a Splunk y puede verlos en la interfaz de usuario de la aplicación Splunk.

Configurar un perfil de análisis de series temporales en NetScaler mediante la GUI

Siga estos pasos:

  1. Cree un servicio de recopilador.
    1. Vaya a Traffic Management -> Load Balancing -> Services y haga clic en Add.
    2. En la página del servicio de equilibrio de carga , introduzca los detalles en los campos obligatorios, haga clic en OK y, a continuación, en Done.
  2. Cree un perfil de análisis de series temporales.

    1. Vaya a System > Profiles > Analytics Profiles y haga clic en Add.
    2. En la página Create Analytics Profile, proporcione los siguientes detalles:

      1. Escriba un nombre para el perfil.
      2. En la lista de recopiladores , seleccione el servicio que ha creado.
      3. Seleccione una SERIE TEMPORAL de la lista de tipos.
      4. Introduzca el token de autenticación de Analytics que recibió de Splunk con el prefijo “Splunk”.
      5. Introduzca los detalles de la URL del dispositivo de punto final de análisis, el tipo de contenido del dispositivo de punto final de análisis y los metadatos del dispositivo de punto final de análisis.
      6. Seleccione los registros de administración que quiere exportar y también el modo de salida en el que quiere exportar.
      7. Haga clic en Crear.

Exportar los registros de administración a Splunk configurado como un servidor syslog

Para configurar la exportación de los registros de administración, debe realizar los siguientes pasos:

  1. Configure el puerto syslog en Splunk.
  2. Cree una acción de syslog de auditoría en NetScaler con la opción de registro de administración.
  3. Cree una directiva de auditoría de syslog con la acción de syslog.
  4. Vincula la directiva de auditoría de syslog con la entidad global del sistema para permitir el registro de todos los eventos del sistema NetScaler.

Configurar Splunk como un servidor syslog externo

Puede reenviar los registros de administración a Splunk configurando un servidor syslog externo en Splunk.

Para obtener información sobre cómo configurar el puerto syslog, consulte la documentación de Splunk. Una vez que haya configurado el puerto syslog, guárdelo como referencia. Debe especificar este puerto al configurar NetScaler audit syslogaction en NetScaler.

Configurar la acción de auditoría de syslog

Para configurar la acción de auditoría de syslog en NetScaler mediante la CLI, ejecute el siguiente comando:

    add audit syslogAction <name> \(<serverIP> \[-serverPort <port>] -logLevel <logLevel> ... \[-managementlog <managementlog> ...] ... \[-managementloglevel <managementloglevel> ...]\[-transport \( TCP | UDP )])

Ejemplo:

    add audit syslogAction test 10.106.186.102 -serverPort 514 -logLevel ALL -managementlog SHELL NSMGMT -managementloglevel ALL -transport TCP

En esta configuración:

  • name: Nombre de la acción de syslog
  • serverIP: dirección IP del servidor syslog.
  • serverPort: puerto en el que el servidor syslog acepta conexiones.
  • logLevel: Nivel de registro de auditoría.
  • managementlog: tipos de registros de administración que debe exportar.
  • managementloglevel: niveles de registro de administración que desea establecer para la exportación.
  • transport: el tipo de transporte utilizado para enviar los registros de auditoría al servidor syslog.

Nota:

Cuando los registros de administración están habilitados, la configuración de SyslogAction solo admite la configuración de puertos y direcciones IP del servidor. No se admiten las configuraciones de nombres de servidores virtuales de equilibrio de carga y de servicio basado en dominios (DBS).

Para los registros de administración del equilibrio de carga exportados a varios servidores syslog externos (por ejemplo, servidores syslog o terminales Splunk), puede usar el siguiente ejemplo de configuración:

add service syslog_server <server_ip> UDP <port>

add service syslog_server1 1.3.4.4 UDP 514

add service syslog_server2 1.3.4.5 UDP 514

add lb vserver lb1 UDP <lb_vip> <lb_port>

bind lb vserver lb1 syslog_server1

bind lb vserver lb1 syslog_server2

En SyslogAction, configure lo siguiente:

add syslogAction sys1 <server_ip> -serverPort <server_port> -transport UDP -loglevel <loglevel>

add syslogAction sys1 lb_vip -serverPort lb_port -transport UDP -loglevel <loglevel>

Para configurar la acción de auditoría de syslog en NetScaler mediante la GUI, lleve a cabo los siguientes pasos:

  1. Vaya a la ficha Sistema > Auditoría > Syslog > Servidor y haga clic en Agregar.
  2. En la página Crear servidor de auditoría, proporcione los siguientes detalles:
    1. Introduzca un nombre para el servidor Syslog.
    2. Seleccione IP del servidor en la lista Tipo de servidor e introduzca la dirección IP y el puerto del servidor syslog.
    3. Elija los niveles de registro necesarios en las secciones Niveles de registro, Registros de administración y Niveles de registro de administración.
  3. Haga clic en Crear.

Configurar la directiva de auditoría de syslog

Para configurar una directiva de auditoría de syslog mediante la CLI, ejecute el siguiente comando:

    add audit syslogPolicy <name> TRUE <syslogAction>

Ejemplo:

    add audit syslogPolicy test-policy TRUE test

Para configurar una directiva de auditoría de syslog mediante la GUI, lleve a cabo los siguientes pasos:

  1. Vaya a la ficha Sistema > Auditoría > Syslog > Directivas y haga clic en Agregar.
  2. En la página Crear directiva de auditoría de syslog, introduzca un nombre, seleccione Directiva avanzada y, a continuación, seleccione el servidor syslog de auditoría que creó en la lista Servidor.

Directiva de registro de auditoría enlazado

Para vincular la directiva de registro de auditoría de syslog al punto de enlace SYSTEM_GLOBAL mediante la CLI, ejecute el siguiente comando:

    bind audit syslogGlobal <policyname> -globalBindType SYSTEM_GLOBAL

Ejemplo:

    bind audit syslogGlobal test-policy -globalBindType SYSTEM_GLOBAL

Para vincular la directiva de registro de auditoría de syslog globalmente mediante la GUI, ejecute el siguiente comando:

  1. Vaya a la ficha Sistema > Auditoría > Syslog > Directivas y seleccione la directiva de auditoría de syslog que creó.
  2. Haga clic con el botón secundario en la directiva de auditoría de syslog seleccionada y, a continuación, haga clic en Advanced Policy Global Bindings.
  3. Seleccione la directiva de auditoría de syslog que creó en la lista Seleccionar directiva.
  4. Introduzca la prioridad en el campo Prioridad.
  5. Seleccione SYSTEM_GLOBAL en el campo Tipo de enlace global y haga clic en Enlazar.
  6. En la página Auditoría de Syslog, seleccione la directiva de auditoría de Syslog y haga clic en Listo.

Una vez que la configuración se realiza correctamente, los registros de administración se envían como cargas útiles de syslog a Splunk y puede verlos en la interfaz de usuario de la aplicación Splunk.

Información adicional

En esta sección se proporciona más información sobre los tres tipos de registros especificados en este tema:

  • Registros de shell: Incluye bash.log y sh.log.
  • access registros: incluye httpaccess.log,httperror.loghttpaccess-vpn.log, httperror-vpn.log, vpndebug.log, nsvpn.log, y auth.log.
  • Registros de nsmgmt: incluye notice.logy ns.log (solo incluye registros del motor que no son de paquetes).

Solucionar problemas relacionados con la exportación de registros de administración

Para obtener consejos sobre la solución de problemas relacionados con la exportación de registros de administración, consulte Solucionar problemas relacionados con los registros de administración.