Application Delivery Management

Integración con Splunk

Ahora puede integrar NetScaler ADM con Splunk para ver los análisis de:

  • Violaciones de WAF

  • Infracciones de bots

  • Información sobre certificados SSL

El complemento Splunk le permite:

  • Combine todas las demás fuentes de datos externas.

  • Proporcione una mayor visibilidad de los análisis en un lugar centralizado.

NetScaler ADM recopila eventos de Bot, WAF y SSL y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, utilizando los datos compatibles con CIM, puede ver los eventos en el panel de control de Splunk.

Para que la integración tenga éxito, debe:

Configurar Splunk para recibir datos de NetScaler ADM

En Splunk, debes:

  1. Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token

  2. Instale el complemento del modelo de información común (CIM) de Splunk

  3. Prepare un panel de ejemplo en Splunk

Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token

Primero debes configurar el recopilador de eventos HTTP en Splunk. Esta configuración permite la integración entre el ADM y Splunk para enviar los datos. A continuación, debes generar un token en Splunk para:

  • Habilite la autenticación entre ADM y Splunk.

  • Reciba datos a través del extremo del recopilador de eventos.

  1. Inicia sesión en Splunk.

  2. Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP y haga clic en Agregar nuevo.

  3. Especifique los siguientes parámetros:

    1. Nombre: especifique un nombre de su elección.

    2. Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.

    3. Descripción (opcional): especifique una descripción.

    4. Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.

    5. Habilitar el reconocimiento del indexador: de forma predeterminada, esta opción no está seleccionada.

      Parámetros del recopilador

  4. Haga clic en Siguiente.

  5. Si lo quiere, puede establecer parámetros de entrada adicionales en la página Configuración de entrada.

  6. Haga clic en Revisar para comprobar las entradas y, a continuación, en Enviar.

    Se genera un token. Debe usar este token cuando agregue detalles en NetScaler ADM.

    Ficha de Splunk

Instale el modelo de información común de Splunk

En Splunk, debes instalar el complemento CIM de Splunk. Este complemento garantiza que los datos recibidos de NetScaler ADM normalicen los datos ingeridos y coincidan con un estándar común, ya que utilizan los mismos nombres de campo y etiquetas de eventos para eventos equivalentes.

  1. Inicia sesión en Splunk.

  2. Vaya a Aplicaciones > Buscar más aplicaciones.

    Splunk encuentra más aplicaciones

  3. Escriba CIM en la barra de búsqueda y pulse Entrar para obtener el complemento del modelo de información común (CIM) de Splunk y haga clic en Instalar.

    CIM de Splunk

Prepare un panel de ejemplo en Splunk

Tras instalar el CIM de Splunk, debe preparar un panel de ejemplo con una plantilla para WAF y Bot y SSL Certificate Insights. Puede descargar el archivo de plantilla del panel (.tgz), usar cualquier editor (por ejemplo, el bloc de notas) para copiar su contenido y crear un panel pegando los datos en Splunk.

Nota:

El siguiente procedimiento para crear un panel de ejemplo se aplica tanto a WAF como a Bot, y a SSL Certificate Insights. Debe utilizar el archivo json requerido.

  1. Inicie sesión en la página de descargas de Citrix y descargue el panel de ejemplo disponible en Observability Integration.

  2. Extraiga el archivo, abra el archivo json con cualquier editor y copie los datos del archivo.

    Nota:

    Después de extraer, obtendrá dos archivos json. Use adm_splunk_security_violations.json para crear el panel de ejemplo de WAF y Bot, y use adm_splunk_ssl_certificate.json para crear el panel de muestra de información sobre certificados SSL.

  3. En el portal de Splunk, vaya a Búsqueda e informes > Paneles y, a continuación, haga clic en Crear panel de mandos.

    Crear panel

  4. En la página Crear panel de mandos, especifique los siguientes parámetros:

    1. Título del panel: Proporcione un título.

    2. Descripción: Si lo quiere, puede proporcionar una descripción como referencia.

    3. Permiso: Seleccione Privado o Compartido en la aplicación según sus necesidades.

    4. Seleccione Panel de mandos de Studio.

    5. Seleccione cualquier diseño (Absoluto o Cuadrícula) y, a continuación, haga clic en Crear.

      Parámetros del panel

      Después de hacer clic en Crear, seleccione el icono Origen en el diseño.

      Diseño del origen

  5. Elimine los datos existentes, pegue los datos que copió en el paso 2 y haga clic en Atrás.

  6. Haga clic en Guardar.

    Puede ver el siguiente panel de ejemplo en tu Splunk.

    Ejemplo de panel

Configurar NetScaler ADM para exportar datos a Splunk

Ya lo tienes todo preparado en Splunk. El último paso consiste en configurar NetScaler ADM mediante la creación de una suscripción y la adición del token.

Al completar el siguiente procedimiento, podrá ver el panel actualizado en Splunk que está disponible actualmente en su NetScaler ADM:

  1. Inicie sesión en NetScaler ADM.

  2. Vaya a Configuración > Integración de ecosistemas.

  3. En la página Suscripciones, haga clic en Agregar.

  4. En la ficha Seleccionar funciones para suscribirse, seleccione las funciones que desee exportar y haga clic en Siguiente.

    • Exportación en tiempo real: Las infracciones seleccionadas se exportan inmediatamente a Splunk.

    • Exportación periódica: Las infracciones seleccionadas se exportan a Splunk en función de la duración que seleccione.

      Seleccionar funciones

  5. En la ficha Especificar la configuración de exportación :

    1. Tipo de punto final: Seleccione Splunk en la lista.

    2. Punto final: Especifique los detalles del punto final de Splunk. El punto final debe estar en el formato https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.

      Nota

      Se recomienda utilizar HTTPS por motivos de seguridad.

      • SPLUNK_PUBLIC_IP: Una dirección IP válida configurada para Splunk.

      • SPLUNK_HEC_PORT: Indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.

      • Servicios/coleccionador/evento: Indica la ruta de la aplicación HEC.

    3. Token de autenticación: Copie y pegue el token de autenticación de la página de Splunk.

    4. Haga clic en Siguiente.

      Crear suscripción

  6. En la página de suscripción :

    1. Frecuencia de exportación: Seleccione Diaria o Cada hora de la lista. Según la selección, NetScaler ADM exporta los detalles a Splunk.

      Nota:

      Aplicable solo si ha seleccionado infracciones en la exportación periódica.

    2. Nombre de la suscripción: Especifique un nombre de su elección.

    3. Seleccione la casilla Activar notificaciones.

    4. Haga clic en Submit.

      Subscribe

      Nota

      • Cuando se configura con la opción de exportación periódica por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente. La siguiente frecuencia de exportación se realizará en función de su selección (diaria u horaria).

      • Cuando se configura con la opción Exportación en tiempo real por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente cuando se detectan las infracciones en NetScaler ADM.

Ver paneles en Splunk

Tras completar la configuración en NetScaler ADM, los eventos aparecen en Splunk. Ya está todo listo para ver el panel actualizado en Splunk sin ningún paso adicional.

Vaya a Splunk y haga clic en el panel que ha creado para ver el panel actualizado.

El siguiente es un ejemplo del panel actualizado de WAF y Bot:

Panel de control actualizado

El siguiente panel es un ejemplo del panel SSL Certificate Insights actualizado.

SSL certificate

Integración con Splunk