Servicio NetScaler Console

Integración con Splunk

July 17, 2024

Contribución de:

Ahora puede integrar NetScaler Console con Splunk para ver los análisis de:

Violaciones de WAF
Infracciones de bots
Información sobre certificados SSL
Información sobre Gateway

El complemento Splunk le permite:

Combine todas las demás fuentes de datos externas.
Proporcione una mayor visibilidad de los análisis en un lugar centralizado.

NetScaler Console recopila eventos de Bot, WAF y SSL y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, utilizando los datos compatibles con CIM, puede ver los eventos en el panel de control de Splunk.

Para que la integración tenga éxito, debe:

Configurar Splunk para recibir datos de NetScaler Console
Configurar NetScaler Console para exportar datos a Splunk
Ver paneles en Splunk

Configurar Splunk para recibir datos de NetScaler Console

En Splunk, debes:

Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token
Instale el complemento del modelo de información común (CIM) de Splunk
Instale el normalizador CIM (aplicable solo para información sobre WAF y bots)
Prepare un panel de ejemplo en Splunk

Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token

Primero debes configurar el recopilador de eventos HTTP en Splunk. Esta configuración permite la integración entre la consola de NetScaler y Splunk para enviar los datos del WAF o del bot. A continuación, debes generar un token en Splunk para:

Habilite la autenticación entre NetScaler Console y Splunk.
Reciba datos a través del extremo del recopilador de eventos.

Inicie sesión en Splunk.
Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP y haga clic en Agregar nuevo.
Especifique los siguientes parámetros:
1. Nombre: especifique un nombre de su elección.
2. Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.
3. Descripción (opcional): especifique una descripción.
4. Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.
5. Habilitar el reconocimiento del indexador: NetScaler Console no admite esta opción. Se recomienda no seleccionar esta opción.
Haga clic en Siguiente.
Si lo quiere, puede establecer parámetros de entrada adicionales en la página Configuración de entrada.
Haga clic en Revisar para comprobar las entradas y, a continuación, en Enviar.

Se genera un token. Debe usar este token cuando añada detalles en NetScaler Console.

Instale el modelo de información común de Splunk

En Splunk, debes instalar el complemento CIM de Splunk. Este complemento garantiza que los datos recibidos de NetScaler Console normalicen los datos ingeridos y coincidan con un estándar común utilizando los mismos nombres de campo y etiquetas de eventos para eventos equivalentes.

Nota

Puede omitir este paso si ya ha instalado el complemento Splunk CIM.

Inicie sesión en Splunk.
Vaya a Aplicaciones > Buscar más aplicaciones.
Escriba CIM en la barra de búsqueda y pulse Entrar para obtener el complemento del modelo de información común (CIM) de Splunk y haga clic en Instalar.

Instale el normalizador CIM

El normalizador CIM es un complemento adicional que debes instalar para ver la información sobre el WAF y los bots en Splunk.

En el portal de Splunk, vaya a Aplicaciones > Buscar más aplicaciones.
Escriba normalización CIM para eventos o datos del servicio ADM en la barra de búsqueda, presione Entrar para obtener el complemento y haga clic en Instalar.

Prepare un panel de ejemplo en Splunk

Tras instalar el CIM de Splunk, debe preparar un panel de ejemplo con una plantilla para WAF y Bot y SSL Certificate Insights. Puede descargar el archivo de plantilla del panel (.tgz), usar cualquier editor (por ejemplo, el bloc de notas) para copiar su contenido y crear un panel pegando los datos en Splunk.

Nota:

El siguiente procedimiento para crear un panel de ejemplo se aplica tanto a WAF como a Bot, y a SSL Certificate Insights. Debe utilizar el archivo json requerido.

Inicie sesión en la página de descargas de Citrix y descargue el panel de ejemplo disponible en Observability Integration.
Extraiga el archivo, abra el archivo json con cualquier editor y copie los datos del archivo.

Nota:

Después de extraer, obtendrá dos archivos json. Use adm_splunk_security_violations.json para crear el panel de ejemplo de WAF y Bot, y use adm_splunk_ssl_certificate.json para crear el panel de muestra de información sobre certificados SSL.
En el portal de Splunk, vaya a Búsqueda e informes > Paneles y, a continuación, haga clic en Crear panel de mandos.
En la página Crear panel de mandos, especifique los siguientes parámetros:
1. Título del panel: Proporcione un título.
2. Descripción: Si lo quiere, puede proporcionar una descripción como referencia.
3. Permiso: Seleccione Privado o Compartido en la aplicación según sus necesidades.
4. Seleccione Panel de mandos de Studio.
5. Seleccione cualquier diseño (Absoluto o Cuadrícula) y, a continuación, haga clic en Crear.
  
  Después de hacer clic en Crear, seleccione el icono Origen en el diseño.
Elimine los datos existentes, pegue los datos que copió en el paso 2 y haga clic en Atrás.
Haga clic en Guardar.

Puede ver el siguiente panel de ejemplo en su instancia de Splunk.

Configurar NetScaler Console para exportar datos a Splunk

Ya lo tienes todo preparado en Splunk. El último paso consiste en configurar NetScaler Console creando una suscripción y añadiendo el token.

Al completar el siguiente procedimiento, puede ver el panel actualizado en Splunk que está disponible actualmente en su consola de NetScaler:

Inicie sesión en NetScaler Console.
Vaya a Configuración > Integración de observabilidad.
En la página Integraciones, haga clic en Agregar.
En la página Crear suscripción, especifique los siguientes detalles:
1. Especifique un nombre de su elección en el campo Nombre de la suscripción.
2. Seleccione Consola de NetScaler como Origen y haga clic en Siguiente.
3. Seleccione Splunk y haga clic en Configurar. En la página Configurar punto final:
  1. URL del punto final: Especifique los detalles del punto final de Splunk. El punto final debe estar en el formato https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
    
    Nota:
    
    Se recomienda utilizar HTTPS por motivos de seguridad.
    - SPLUNK_PUBLIC_IP: Una dirección IP válida configurada para Splunk.
    - SPLUNK_HEC_PORT: Indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.
    - Servicios/coleccionador/evento: Indica la ruta de la aplicación HEC.
  2. Token de autenticación : copia y pega el token de autenticación de Splunk.
  3. Haga clic en Enviar.
4. Haga clic en Siguiente.
5. Haga clic en Agregar información y, en la ficha Seleccionar función, puede seleccionar las funciones que quiere exportar y hacer clic en Agregar selección.
6. Haga clic en Siguiente.
7. En la ficha Seleccionar instancia, puede elegir Seleccionar todas las instancias o Selección personalizaday, a continuación, hacer clic en Siguiente.
  - Seleccione Todas las instancias: Exporta datos a Splunk desde todas las instancias de NetScaler.
  - Selección personalizada: permite seleccionar las instancias de NetScaler de la lista. Si selecciona instancias específicas de la lista, los datos se exportarán a Splunk solo desde las instancias de NetScaler seleccionadas.
8. Haga clic en Enviar.
  
  Nota:
  
  Los datos de las estadísticas seleccionadas se envían a Splunk inmediatamente después de que se detecten las infracciones en NetScaler Console.

Ver paneles en Splunk

Tras completar la configuración en NetScaler Console, los eventos aparecen en Splunk.

Ya está todo listo para ver el panel actualizado en Splunk sin ningún paso adicional.

Vaya a Splunk y haga clic en el panel que ha creado para ver el panel actualizado.

El siguiente es un ejemplo del panel actualizado de WAF y Bot:

Panel de control actualizado

El siguiente panel es un ejemplo del panel SSL Certificate Insights actualizado.

SSL certificate

Además del panel de control, también puedes ver los datos en Splunk después de crear la suscripción

En Splunk, haga clic en Buscar e informes.
En la barra de búsqueda:
- Escriba sourcetype="bot" o sourcetype="waf" y seleccione la duración en la lista para ver los datos del bot/WAF.
- Escriba sourcetype="ssl" y seleccione la duración en la lista para ver los datos de información del certificado SSL.
- Escriba sourcetype="gateway_insights" y seleccione la duración en la lista para ver los datos de Gateway Insights.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Integración con Splunk

July 17, 2024

Contribución de:

July 17, 2024

Contribución de:

En este artículo

Configurar Splunk para recibir datos de NetScaler Console
Configurar NetScaler Console para exportar datos a Splunk
Ver paneles en Splunk

¿Le ha resultado útil?