ADC

Exporte registros y eventos de auditoría directamente desde NetScaler a Splunk

El registro de auditoría le permite registrar los estados de NetScaler y la información de estado recopilada por varios módulos de NetScaler. Al revisar los registros, puede solucionar problemas o errores y corregirlos.

Ahora puede exportar registros y eventos de auditoría de NetScaler a plataformas agregadoras de registros estándar del sector, como Splunk, y obtener información significativa.

Hay varias formas de exportar los registros de auditoría de NetScaler a Splunk. Puede configurar Splunk como servidor syslog o como servidor HTTP. En este tema se proporciona información sobre la configuración de Splunk como servidor HTTP mediante el recopilador de eventos HTTP de Splunk. Con el recopilador de eventos HTTP, puede enviar registros de auditoría a través de HTTP (o HTTPS) directamente a la plataforma Splunk desde su NetScaler.

Configurar la exportación de registros de auditoría de NetScaler a Splunk

Para configurar la exportación de los registros de auditoría, debe realizar los siguientes pasos:

  1. Configure el recopilador de eventos HTTP en Splunk.
  2. Cree un servicio recopilador y un perfil de análisis de series temporales en NetScaler.

Configurar el recopilador de eventos HTTP en Splunk

Puede reenviar los registros de auditoría a Splunk configurando un recopilador de eventos HTTP. La configuración del recopilador de eventos HTTP implica crear un token de autenticación, asociar un índice de eventos al token al que se envían los eventos y establecer el número de puerto HTTP.

Consulte la documentación de Splunk para obtener información sobre cómo configurar el recopilador de eventos HTTP.

Una vez que haya configurado el recopilador de eventos HTTP, copie el token de autenticación y guárdelo como referencia. Debe especificar este token al configurar el perfil de análisis en NetScaler.

Configurar el perfil de análisis de series temporales en NetScaler

Haga lo siguiente para exportar los registros de auditoría de NetScaler a Splunk.

  1. Crea un servicio de recopilación para Splunk.

    add service <service-name> <splunk-server-ip-address> <protocol> <port>
    

    Ejemplo:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    En esta configuración:

    • ip-address: especifique la dirección IP del servidor Splunk.
    • service-name: especifique un nombre para el servicio de recopilación.
    • protocol: especifique el protocolo como HTTP o HTTPS
    • port: especifique el número de puerto.
  2. Cree un perfil de análisis de series temporales.

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name> -analyticsAuthToken <"auth-token">
        -analyticsEndpointContentType <"application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">
    

    Ejemplo:

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk_service -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    

    En esta configuración:

    • auditlog: especifique el valor enabled para habilitar el registro de auditoría.
    • collectors: especifique el servicio de recopilación creado para Splunk. Por ejemplo, “splunk_service” es el servicio de recopilación creado en el paso 1.
    • analyticsAuthToken: especifique el token de autenticación que se incluirá en el encabezado de autorización al enviar los registros a Splunk. Este token es el token de autenticación creado en el servidor Splunk al configurar el recopilador de eventos HTTP. El token de autenticación debe tener el formato «Splunk <token-copied-from-splunk>». Por ejemplo, «Splunk 3e52aa4b-1db7-45b2-9af9-173eedc8e1bc».

    • analyticsEndpointContentType: especifique el formato de los registros.
    • analyticsEndpointMetadata: Especifique los metadatos que Splunk espera al principio de los datos, es "{\"event\":["decir.

    • analyticsEndpointUrl: Especifique la URL a la que ha configurado Splunk HEC para recibir las solicitudes. Por ejemplo, «/services/collector/event».

    Nota:

    Puede modificar los parámetros del perfil de análisis de series temporales mediante el comando set analytics profile.

  3. Verifique la configuración del perfil de análisis mediante el comando show analytics profile.

    # show analytics profile audit_profile
    
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: ENABLED
                Serve mode: Push
           Authentication Token: <auth-token>
           Endpoint URL: /services/collector/event
           Endpoint Content-type: application/json
           Endpoint Metadata: {"event":[
           Reference Count: 0
    

Una vez que la configuración se haya realizado correctamente, los registros de auditoría se envían como cargas HTTP a Splunk y puede verlos en la interfaz de usuario de la aplicación Splunk.

Configurar la exportación de eventos de NetScaler a Splunk

Para configurar la exportación de eventos de NetScaler a Splunk, debe realizar los siguientes pasos:

  1. Configure el recopilador de eventos HTTP en Splunk siguiendo los pasos de Configurar el recopilador de eventos HTTP en Splunk.

  2. Cree un servicio recopilador en NetScaler mediante el siguiente comando.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Ejemplo:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    En esta configuración:

    • ip-address: especifique la dirección IP del servidor Splunk.
    • collector-name: especifique el recopilador.
    • protocol: Especifique el protocolo como HTTP o HTTPS.
    • port: especifique el número de puerto.
  3. Cree un perfil de análisis de series temporales en NetScaler mediante el comando add analytics profile. Debe especificar la opción -events enabled al crear el perfil de análisis para habilitar los eventos de exportación.

    Ejemplo:

    add analytics profile event_profile -type timeseries -events enabled -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    
  4. Compruebe la configuración del perfil de análisis mediante el comando show analytics profile.

    # show analytics profile event_profile
    
    1)    Name: event_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: ENABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-token>
           Endpoint URL: /services/collector/event
           Endpoint Content-type: application/json
           Endpoint Metadata: {"event":[
           Reference Count: 0
    
Exporte registros y eventos de auditoría directamente desde NetScaler a Splunk