ADC

Exportation des journaux d’audit et des événements directement depuis NetScaler vers Splunk

La journalisation des audits vous permet de consigner les états de NetScaler et les informations d’état collectées par les différents modules de NetScaler. En consultant les journaux, vous pouvez résoudre les problèmes ou les erreurs et les corriger.

Vous pouvez désormais exporter des journaux d’audit et des événements depuis NetScaler vers des plateformes d’agrégation de journaux standard telles que Splunk et obtenir des informations pertinentes.

Il existe plusieurs manières d’exporter les journaux d’audit de NetScaler vers Splunk. Vous pouvez configurer Splunk en tant que serveur syslog ou en tant que serveur HTTP. Cette rubrique fournit des informations sur la configuration de Splunk en tant que serveur HTTP à l’aide du collecteur d’événements HTTP Splunk. À l’aide du collecteur d’événements HTTP, vous pouvez envoyer des journaux d’audit via HTTP (ou HTTPS) directement à la plateforme Splunk depuis votre NetScaler.

Remarque :

L’exportation de journaux autres que le moteur de paquets (PE) de NetScaler vers Splunk n’est actuellement pas prise en charge.

Configurer l’exportation des journaux d’audit de NetScaler vers Splunk

Pour configurer l’exportation des journaux d’audit, vous devez suivre les étapes suivantes :

  1. Configurez le collecteur d’événements HTTP sur Splunk.
  2. Créez un service de collecte et un profil d’analyse de séries chronologiques sur NetScaler.

Configurer le collecteur d’événements HTTP sur Splunk

Vous pouvez transmettre les journaux d’audit à Splunk en configurant un collecteur d’événements HTTP.

Consultez la documentation de Splunk pour savoir comment configurer le collecteur d’événements HTTP.

Une fois que vous avez configuré le collecteur d’événements HTTP, copiez le jeton d’authentification et enregistrez-le pour référence. Vous devez spécifier ce jeton lors de la configuration du profil d’analyse sur NetScaler.

Configurer le profil d’analyse des séries chronologiques sur NetScaler

Procédez comme suit pour exporter les journaux d’audit NetScaler vers Splunk.

  1. Créez un service de collecte pour Splunk.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Exemple :

    add service splunk_service 10.102.34.155 HTTP 8088
    

    Dans cette configuration :

    • ip-address : spécifiez l’adresse IP du serveur Splunk.
    • service-name : spécifiez un nom du service de collecte.
    • protocol : spécifiez le protocole HTTP ou HTTPS
    • port : spécifiez le numéro de port.
  2. Créez un profil d’analyse de séries chronologiques.

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name>  -analyticsAuthToken <"auth-tocken">
        -analyticsEndpointContentType <"application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">
    

    Exemple :

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk_service -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    

    Dans cette configuration :

    • auditlog : spécifiez la valeur enabled pour activer la journalisation des audits.
    • collectors : spécifiez le service de collecte créé pour Splunk. Par exemple, « splunk_service » est le service de collecte créé à l’étape 1.
    • analyticsAuthToken: Spécifiez le jeton d’authentification à inclure dans l’en-tête d’autorisation lors de l’envoi des journaux à Splunk. Ce jeton est le jeton d’authentification créé sur le serveur Splunk lors de la configuration du collecteur d’événements HTTP.

    • analyticsEndpointContentType: Spécifiez le format des journaux.
    • analyticsEndpointMetadata: Spécifiez les métadonnées spécifiques au point de terminaison.

    • analyticsEndpointUrl: Spécifiez l’emplacement sur le point de terminaison pour exporter les journaux.

    Remarque :

    Vous pouvez modifier les paramètres du profil d’analyse des séries chronologiques à l’aide de la set analytics profile commande.

  3. Vérifiez la configuration du profil d’analyse à l’aide de la commande show analytics profile.

    # show analytics profile audit_profile
    
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: ENABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
    

Une fois la configuration réussie, les journaux d’audit sont envoyés sous forme de charges utiles HTTP à Splunk et vous pouvez les consulter sur l’interface utilisateur de l’application Splunk.

Exportation des journaux d’audit et des événements directement depuis NetScaler vers Splunk