Integración con Splunk
Ahora puede integrar NetScaler ADM con Splunk para ver los análisis de:
-
Violaciones de WAF
-
Infracciones de bots
-
Información sobre certificados SSL
-
Eventos y métricas
El complemento Splunk le permite:
-
Combine todas las demás fuentes de datos externas.
-
Proporcione una mayor visibilidad de los análisis en un lugar centralizado.
NetScaler ADM recopila eventos de Bot, WAF y SSL y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, utilizando los datos compatibles con CIM, puede ver los eventos en el panel de control de Splunk.
Para que la integración tenga éxito, debe:
Configurar Splunk para recibir datos de NetScaler ADM
En Splunk, debes:
-
Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token
-
Instale el complemento del modelo de información común (CIM) de Splunk
-
Instale el normalizador CIM (aplicable solo para información sobre WAF y bots)
Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token
Primero debes configurar el recopilador de eventos HTTP en Splunk. Esta configuración permite la integración entre el ADM y Splunk para enviar los datos. A continuación, debes generar un token en Splunk para:
-
Habilite la autenticación entre ADM y Splunk.
-
Reciba datos a través del extremo del recopilador de eventos.
-
Inicia sesión en Splunk.
-
Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP y haga clic en Agregar nuevo.
-
Especifique los siguientes parámetros:
-
Nombre: especifique un nombre de su elección.
-
Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.
-
Descripción (opcional): especifique una descripción.
-
Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.
-
Habilitar el reconocimiento del indexador: de forma predeterminada, esta opción no está seleccionada.
-
-
Haga clic en Siguiente.
-
Si lo quiere, puede establecer parámetros de entrada adicionales en la página Configuración de entrada.
-
Haga clic en Revisar para comprobar las entradas y, a continuación, en Enviar.
Se genera un token. Debe usar este token cuando agregue detalles en NetScaler ADM.
Instale el modelo de información común de Splunk
En Splunk, debes instalar el complemento CIM de Splunk. Este complemento garantiza que los datos recibidos de NetScaler ADM normalicen los datos ingeridos y coincidan con un estándar común, ya que utilizan los mismos nombres de campo y etiquetas de eventos para eventos equivalentes.
-
Inicia sesión en Splunk.
-
Vaya a Aplicaciones > Buscar más aplicaciones.
-
Escriba CIM en la barra de búsqueda y pulse Entrar para obtener el complemento del modelo de información común (CIM) de Splunk y haga clic en Instalar.
Instale el normalizador CIM
El normalizador CIM es un complemento adicional que debes instalar para ver la información sobre el WAF y los bots en Splunk.
-
En el portal de Splunk, vaya a Aplicaciones > Buscar más aplicaciones.
-
Escriba normalización CIM para eventos o datos del servicio ADM en la barra de búsqueda, presione Entrar para obtener el complemento y haga clic en Instalar.
Prepare un panel de ejemplo en Splunk
Después de instalar el CIM de Splunk, debe preparar un panel de ejemplo con una plantilla para WAF y Bot, información sobre los certificados SSL y eventos y métricas. Puede descargar el archivo de plantilla del panel (.tgz
), usar cualquier editor (por ejemplo, el bloc de notas) para copiar su contenido y crear un panel pegando los datos en Splunk.
Nota:
El siguiente procedimiento para crear un panel de ejemplo se aplica a todos los casos de uso. Debe utilizar el archivo
json
requerido.
-
Inicie sesión en la página de descargas de Citrix y descargue el panel de ejemplo disponible en Paneles de ejemplo para terminales de terceros.
-
Extraiga el archivo, abra el archivo
json
con cualquier editor y copie los datos del archivo.Después de extraer, obtendrá tres
json
archivos. Usa el:-
adm_splunk_security_violations.json
archivo para crear un panel de ejemplo de WAF y Bot. -
adm_splunk_ssl_certificate.json
archivo para crear un panel de muestra de información sobre certificados SSL. -
adm_splunk_events_and_metrics_history.json
archivo para crear un panel de métricas y eventos de ADM.
-
-
En el portal de Splunk, vaya a Búsqueda e informes > Paneles y, a continuación, haga clic en Crear panel de mandos.
-
En la página Crear panel de mandos, especifique los siguientes parámetros:
-
Título del panel: Proporcione un título.
-
Descripción: Si lo quiere, puede proporcionar una descripción como referencia.
-
Permiso: Seleccione Privado o Compartido en la aplicación según sus necesidades.
-
Seleccione Panel de mandos de Studio.
-
Seleccione cualquier diseño (Absoluto o Cuadrícula) y, a continuación, haga clic en Crear.
Después de hacer clic en Crear, seleccione el icono Origen en el diseño.
-
-
Elimine los datos existentes, pegue los datos que copió en el paso 2 y haga clic en Atrás.
-
Haga clic en Guardar.
Puede ver el panel de ejemplo.
A continuación se muestra un ejemplo de panel de control para WAF y bot.
Configurar NetScaler ADM para exportar datos a Splunk
Ya lo tienes todo preparado en Splunk. El último paso consiste en configurar NetScaler ADM mediante la creación de una suscripción y la adición del token.
Al completar el siguiente procedimiento, podrá ver el panel actualizado en Splunk que está disponible actualmente en su NetScaler ADM:
-
Inicie sesión en NetScaler ADM.
-
Vaya a Configuración > Integración de ecosistemas.
-
En la página Suscripciones, haga clic en Agregar.
-
Especifique un nombre de su elección en el campo Nombre de la suscripción.
-
En la ficha Seleccionar función, puede seleccionar las funciones que quiere exportar y hacer clic en Siguiente.
-
Exportación en tiempo real: Las infracciones seleccionadas se exportan inmediatamente a Splunk.
-
Exportación periódica: Las infracciones seleccionadas se exportan a Splunk en función de la duración que seleccione.
-
-
En la ficha Seleccionar instancia, puede elegir Seleccionar todas las instancias o Selección personalizaday, a continuación, hacer clic en Siguiente.
-
Seleccione Todas las instancias: Exporta datos a Splunk desde todas las instancias de NetScaler.
-
Selección personalizada: permite seleccionar las instancias de NetScaler de la lista. Si selecciona instancias específicas de la lista, los datos se exportarán a Splunk solo desde las instancias de NetScaler seleccionadas.
-
-
En la ficha Configuración de suscripción :
-
Tipo de punto final: Seleccione Splunk.
-
URL del punto final: Especifique los detalles del punto final de Splunk. El punto final debe estar en el formato https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
Nota
Se recomienda utilizar HTTPS por motivos de seguridad.
-
SPLUNK_PUBLIC_IP: Una dirección IP válida configurada para Splunk.
-
SPLUNK_HEC_PORT: Indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.
-
Servicios/coleccionador/evento: Indica la ruta de la aplicación HEC.
-
-
Token de autenticación: Copie y pegue el token de autenticación de la página de Splunk.
-
Seleccione Frecuencia: Seleccione Diaria u Horaria de la lista. Según la selección, NetScaler ADM exporta los detalles a Splunk.
Nota
Aplicable solo si ha seleccionado infracciones en la exportación periódica.
-
Haga clic en Submit.
Nota
-
Cuando se configura con la opción de exportación periódica por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente. La siguiente frecuencia de exportación se realizará en función de su selección (diaria u horaria).
-
Cuando se configura con la opción Realtime Export por primera vez, los datos de las funciones seleccionadas se envían a Splunk inmediatamente tan pronto como se detectan las infracciones en NetScaler ADM.
-
-
Ver paneles en Splunk
Tras completar la configuración en NetScaler ADM, los datos se exportan desde NetScaler ADM y los eventos aparecen en Splunk.
Nota:
Para ver inmediatamente los datos actualizados de información sobre los certificados SSL en Splunk, haga clic en Poll Now en el panel SSL de NetScaler ADM(Infraestructura > Panel SSL).
Ya está todo listo para ver el panel actualizado en Splunk sin ningún paso adicional.
Vaya a Splunk y haga clic en el panel que ha creado para ver el panel actualizado.
El siguiente es un ejemplo del panel actualizado de WAF y Bot:
El siguiente panel es un ejemplo del panel de información actualizado sobre los certificados SSL.
El siguiente panel es un ejemplo del panel de estadísticas y eventos actualizado.
Nota:
Los datos de uso de la memoria, la CPU y el disco muestran el valor actual del NetScaler ADM. La tendencia al alza y a la baja de estos valores se muestra en función de la comparación del valor anterior cada 5 minutos.
Además del panel de control, también puede ver los datos en Splunk después de crear la suscripción.
-
En Splunk, haga clic en Buscar e informes.
-
En la barra de búsqueda:
-
Escriba
sourcetype="metrics"
y seleccione la duración en la lista para ver los datos de las métricas de ADM. -
Escriba
sourcetype="event"
y seleccione la duración en la lista para ver los datos de los eventos de ADM. -
Escriba
sourcetype="bot"
osourcetype="waf"
y seleccione la duración en la lista para ver los datos del bot/WAF. -
Escriba
sourcetype="ssl"
y seleccione la duración en la lista para ver los datos de información del certificado SSL.
-