Integración con Splunk
Ahora puede integrar NetScaler Console con Splunk para ver los análisis de:
-
Violaciones de WAF
-
Infracciones de bots
-
Información sobre certificados SSL
-
Información sobre Gateway
El complemento Splunk le permite:
-
Combine todas las demás fuentes de datos externas.
-
Proporcione una mayor visibilidad de los análisis en un lugar centralizado.
NetScaler Console recopila eventos de Bot, WAF y SSL y los envía a Splunk periódicamente. El complemento del modelo de información común (CIM) de Splunk convierte los eventos en datos compatibles con CIM. Como administrador, utilizando los datos compatibles con CIM, puede ver los eventos en el panel de control de Splunk.
Para que la integración tenga éxito, debe:
Configurar Splunk para recibir datos de NetScaler Console
En Splunk, debes:
-
Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token
-
Instale el complemento del modelo de información común (CIM) de Splunk
-
Instale el normalizador CIM (aplicable solo para información sobre WAF y bots)
Configure el extremo del recopilador de eventos HTTP de Splunk y genere un token
Primero debes configurar el recopilador de eventos HTTP en Splunk. Esta configuración permite la integración entre la consola de NetScaler y Splunk para enviar los datos del WAF o del bot. A continuación, debes generar un token en Splunk para:
-
Habilite la autenticación entre NetScaler Console y Splunk.
-
Reciba datos a través del extremo del recopilador de eventos.
-
Inicie sesión en Splunk.
-
Vaya a Configuración > Entradas de datos > Recopilador de eventos HTTP y haga clic en Agregar nuevo.
-
Especifique los siguientes parámetros:
-
Nombre: especifique un nombre de su elección.
-
Anulación del nombre de origen (opcional): si establece un valor, anula el valor de origen del recopilador de eventos HTTP.
-
Descripción (opcional): especifique una descripción.
-
Grupo de salida (opcional): de forma predeterminada, esta opción aparece seleccionada como Ninguna.
-
Habilitar el reconocimiento del indexador: NetScaler Console no admite esta opción. Se recomienda no seleccionar esta opción.
-
-
Haga clic en Siguiente.
-
Si lo quiere, puede establecer parámetros de entrada adicionales en la página Configuración de entrada.
-
Haga clic en Revisar para comprobar las entradas y, a continuación, en Enviar.
Se genera un token. Debe usar este token cuando añada detalles en NetScaler Console.
Instale el modelo de información común de Splunk
En Splunk, debes instalar el complemento CIM de Splunk. Este complemento garantiza que los datos recibidos de NetScaler Console normalicen los datos ingeridos y coincidan con un estándar común utilizando los mismos nombres de campo y etiquetas de eventos para eventos equivalentes.
Nota
Puede omitir este paso si ya ha instalado el complemento Splunk CIM.
-
Inicie sesión en Splunk.
-
Vaya a Aplicaciones > Buscar más aplicaciones.
-
Escriba CIM en la barra de búsqueda y pulse Entrar para obtener el complemento del modelo de información común (CIM) de Splunk y haga clic en Instalar.
Instale el normalizador CIM
El normalizador CIM es un complemento adicional que debes instalar para ver la información sobre el WAF y los bots en Splunk.
-
En el portal de Splunk, vaya a Aplicaciones > Buscar más aplicaciones.
-
Escriba normalización CIM para eventos o datos del servicio ADM en la barra de búsqueda, presione Entrar para obtener el complemento y haga clic en Instalar.
Prepare un panel de ejemplo en Splunk
Tras instalar el CIM de Splunk, debe preparar un panel de ejemplo con una plantilla para WAF y Bot y SSL Certificate Insights. Puede descargar el archivo de plantilla del panel (.tgz
), usar cualquier editor (por ejemplo, el bloc de notas) para copiar su contenido y crear un panel pegando los datos en Splunk.
Nota:
El siguiente procedimiento para crear un panel de ejemplo se aplica tanto a WAF como a Bot, y a SSL Certificate Insights. Debe utilizar el archivo
json
requerido.
-
Inicie sesión en la página de descargas de Citrix y descargue el panel de ejemplo disponible en Observability Integration.
-
Extraiga el archivo, abra el archivo
json
con cualquier editor y copie los datos del archivo.Nota:
Después de extraer, obtendrá dos archivos
json
. Useadm_splunk_security_violations.json
para crear el panel de ejemplo de WAF y Bot, y useadm_splunk_ssl_certificate.json
para crear el panel de muestra de información sobre certificados SSL. -
En el portal de Splunk, vaya a Búsqueda e informes > Paneles y, a continuación, haga clic en Crear panel de mandos.
-
En la página Crear panel de mandos, especifique los siguientes parámetros:
-
Título del panel: Proporcione un título.
-
Descripción: Si lo quiere, puede proporcionar una descripción como referencia.
-
Permiso: Seleccione Privado o Compartido en la aplicación según sus necesidades.
-
Seleccione Panel de mandos de Studio.
-
Seleccione cualquier diseño (Absoluto o Cuadrícula) y, a continuación, haga clic en Crear.
Después de hacer clic en Crear, seleccione el icono Origen en el diseño.
-
-
Elimine los datos existentes, pegue los datos que copió en el paso 2 y haga clic en Atrás.
-
Haga clic en Guardar.
Puede ver el siguiente panel de ejemplo en su instancia de Splunk.
Configurar NetScaler Console para exportar datos a Splunk
Ya lo tienes todo preparado en Splunk. El último paso consiste en configurar NetScaler Console creando una suscripción y añadiendo el token.
Al completar el siguiente procedimiento, puede ver el panel actualizado en Splunk que está disponible actualmente en su consola de NetScaler:
-
Inicie sesión en NetScaler Console.
-
Vaya a Configuración > Integración de observabilidad.
-
En la página Integraciones, haga clic en Agregar.
-
En la página Crear suscripción, especifique los siguientes detalles:
-
Especifique un nombre de su elección en el campo Nombre de la suscripción.
-
Seleccione Consola de NetScaler como Origen y haga clic en Siguiente.
-
Seleccione Splunk y haga clic en Configurar. En la página Configurar punto final:
-
URL del punto final: Especifique los detalles del punto final de Splunk. El punto final debe estar en el formato https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
Nota:
Se recomienda utilizar HTTPS por motivos de seguridad.
-
SPLUNK_PUBLIC_IP: Una dirección IP válida configurada para Splunk.
-
SPLUNK_HEC_PORT: Indica el número de puerto que especificó durante la configuración del punto final del evento HTTP. El número de puerto predeterminado es 8088.
-
Servicios/coleccionador/evento: Indica la ruta de la aplicación HEC.
-
-
Token de autenticación : copia y pega el token de autenticación de Splunk.
-
Haga clic en Enviar.
-
-
Haga clic en Siguiente.
-
Haga clic en Agregar información y, en la ficha Seleccionar función, puede seleccionar las funciones que quiere exportar y hacer clic en Agregar selección.
-
Haga clic en Siguiente.
-
En la ficha Seleccionar instancia, puede elegir Seleccionar todas las instancias o Selección personalizaday, a continuación, hacer clic en Siguiente.
-
Seleccione Todas las instancias: Exporta datos a Splunk desde todas las instancias de NetScaler.
-
Selección personalizada: permite seleccionar las instancias de NetScaler de la lista. Si selecciona instancias específicas de la lista, los datos se exportarán a Splunk solo desde las instancias de NetScaler seleccionadas.
-
-
Haga clic en Enviar.
Nota:
Los datos de las estadísticas seleccionadas se envían a Splunk inmediatamente después de que se detecten las infracciones en NetScaler Console.
-
Ver paneles en Splunk
Tras completar la configuración en NetScaler Console, los eventos aparecen en Splunk.
Ya está todo listo para ver el panel actualizado en Splunk sin ningún paso adicional.
Vaya a Splunk y haga clic en el panel que ha creado para ver el panel actualizado.
El siguiente es un ejemplo del panel actualizado de WAF y Bot:
El siguiente panel es un ejemplo del panel SSL Certificate Insights actualizado.
Además del panel de control, también puedes ver los datos en Splunk después de crear la suscripción
-
En Splunk, haga clic en Buscar e informes.
-
En la barra de búsqueda:
-
Escriba
sourcetype="bot"
osourcetype="waf"
y seleccione la duración en la lista para ver los datos del bot/WAF. -
Escriba
sourcetype="ssl"
y seleccione la duración en la lista para ver los datos de información del certificado SSL. -
Escriba
sourcetype="gateway_insights"
y seleccione la duración en la lista para ver los datos de Gateway Insights.
-