ADC

Exportez les journaux de gestion directement depuis NetScaler vers Splunk

Vous pouvez désormais exporter les journaux de gestion (journaux autres que ceux du moteur de paquets) par catégorie shell, access, et les journaux nsmgmt depuis NetScaler vers des plateformes d’agrégation de journaux standard telles que Splunk. À l’aide des outils de visualisation de Splunk, vous pouvez obtenir des informations pertinentes sur les données exportées.

Il existe plusieurs manières d’exporter les journaux de gestion de NetScaler vers Splunk. Vous pouvez configurer Splunk en tant que serveur HTTP ou serveur Syslog. Dans la configuration du serveur HTTP, vous pouvez utiliser le collecteur d’événements HTTP pour envoyer des journaux de gestion via HTTP (ou HTTPS) directement à la plateforme Splunk depuis votre NetScaler. Dans la configuration du serveur Syslog, les journaux de gestion sont envoyés sous forme de charges utiles Syslog depuis NetScaler vers Splunk.

Exportez les journaux de gestion vers Splunk configuré en tant que serveur HTTP

Pour configurer l’exportation des journaux de gestion, vous devez suivre les étapes suivantes :

  1. Configurez un collecteur d’événements HTTP sur Splunk.
  2. Créez un service de collecte et un profil d’analyse de séries chronologiques sur NetScaler.

Configurer un collecteur d’événements HTTP sur Splunk

Vous pouvez transmettre les journaux de gestion à Splunk en configurant un collecteur d’événements HTTP. La configuration du collecteur d’événements HTTP implique la création d’un jeton d’authentification et l’association d’un index d’événements au jeton d’envoi des événements, ainsi que la définition du numéro de port HTTP.

Pour plus d’informations sur la configuration du collecteur d’événements HTTP, consultez la documentation Splunk.

Une fois que vous avez configuré le collecteur d’événements HTTP, copiez le jeton d’authentification et enregistrez-le pour référence. Vous devez spécifier ce jeton lors de la configuration du profil d’analyse sur NetScaler.

Configurer un profil d’analyse de séries chronologiques sur NetScaler à l’aide de l’interface de ligne de commande

Procédez comme suit pour exporter les journaux de gestion de NetScaler vers Splunk.

  1. Créez un service de collecte pour Splunk.

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    Exemple :

    add service splunk_service 10.102.34.155 HTTP 8088
    

    Dans cette configuration :

    • ip-address: adresse IP du serveur Splunk.
    • collector-name: nom du collectionneur.
    • protocol : spécifiez le protocole HTTP ou HTTPS
    • port: numéro de port.
  2. Créez un profil d’analyse de séries chronologiques.

    add analytics profile `profile-name` -type time series -managementlog <management-log-type> -collectors `collector-name` -analyticsAuthToken `auth-tocken`-analyticsEndpointContentType `Application/json` -analyticsEndpointMetadata `meta-data-for-endpoint` -analyticsEndpointUrl `endpoint-url`
    

    Exemple :

     add analytics profile managementlogs_profile -type timeseries -managementlog ACCESS -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"sourcetype\":\"logs-and-events-directly-from-netscaler\", \"source\":\"test\",\"event\":}" -analyticsEndpointUrl "/services/collector/event"
    

    Dans cette configuration :

    • managementlog: types de journaux de gestion que vous devez exporter. Les options suivantes sont disponibles :
      • ALL : Inclut toutes les catégories de journaux de gestion et d’hôte.
      • SHELL: Comprend bash.log et sh.log.
      • Access: Inclut des journaux tels que auth.log, nsvpn.log, vpndebug.log, httpaccess.log,httperror.log, httpaccess-vpn.log et httperror-vpn.log.
      • NSMGMT: Comprend ns.log et notice.log.
      • NONE: Aucun des journaux n’est exporté.
    • analyticsAuthToken: Spécifiez le jeton d’authentification à inclure dans l’en-tête d’autorisation avec le préfixe « Splunk » lors de l’envoi des journaux à Splunk. Ce jeton est le jeton d’authentification créé sur le serveur Splunk lors de la configuration du collecteur d’événements HTTP.

    • analyticsEndpointContentType: format des journaux.

    • analyticsEndpointMetadata: métadonnées spécifiques aux terminaux.

    • analyticsEndpointUrl: emplacement dans le terminal pour exporter les journaux.

    Remarque :

    Vous pouvez modifier les paramètres du profil d’analyse des séries chronologiques à l’aide de la set analytics profile commande.

  3. Vérifiez la configuration du profil d’analyse à l’aide de la show analytics profile commande.

    # show analytics profile splunkexport
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
           Managementlog: ACCESS
    

Une fois la configuration réussie, les journaux de gestion sont envoyés sous forme de charges utiles HTTP à Splunk et vous pouvez les consulter sur l’interface utilisateur de l’application Splunk.

Configurer un profil d’analyse de séries chronologiques sur NetScaler à l’aide de l’interface graphique

Procédez comme suit :

  1. Créez un service de collecte.
    1. Accédez à Traffic Management > Load Balancing > Services et cliquez sur Add.
    2. Sur la page Service d’équilibrage de charge, entrez les informations dans les champs obligatoires, cliquez sur OK, puis sur OK.
  2. Créez un profil d’analyse de séries chronologiques.

    1. Accédez à Système > Profils > Profils analytiques et cliquez sur Ajouter.
    2. Sur la page Créer un profil Analytics, fournissez les informations suivantes :

      1. Saisissez un nom pour le profil.
      2. Dans la liste des collecteurs, sélectionnez le service que vous avez créé.
      3. Sélectionnez une SÉRIE CHRONOLOGIQUE dans la liste des types.
      4. Entrez le jeton d’authentification Analytics que vous avez reçu de Splunk avec le préfixe « Splunk ».
      5. Entrez les informations relatives à l’ URL du point de terminaison Analytics, au type de contenu du point de terminaisonAnalytics et aux métadonnées du point de terminaison Analytics.
      6. Sélectionnez les journaux de gestion que vous souhaitez exporter ainsi que le mode de sortie dans lequel vous souhaitez exporter.
      7. Cliquez sur Créer.

Exportez les journaux de gestion vers Splunk configuré en tant que serveur Syslog

Pour configurer l’exportation des journaux de gestion, vous devez suivre les étapes suivantes :

  1. Configurez le port Syslog sur Splunk.
  2. Créez une action syslog d’audit sur NetScaler à l’aide de l’option journal de gestion.
  3. Créez une stratégie d’audit Syslog avec l’action Syslog.
  4. Liez la stratégie d’audit Syslog à l’entité globale du système pour permettre la journalisation de tous les événements système NetScaler.

Configurer Splunk en tant que serveur Syslog externe

Vous pouvez transmettre les journaux de gestion à Splunk en configurant un serveur Syslog externe sur Splunk.

Pour plus d’informations sur la configuration du port Syslog, consultez la documentation Splunk. Une fois que vous avez configuré le port Syslog, enregistrez-le pour référence. Vous devez spécifier ce port lors de la configuration de audit syslogaction sur NetScaler.

Configurer l’action d’audit Syslog

Pour configurer l’action d’audit Syslog sur NetScaler à l’aide de l’interface de ligne de commande, exécutez la commande suivante :

    add audit syslogAction <name> \(<serverIP> \[-serverPort <port>] -logLevel <logLevel> ... \[-managementlog <managementlog> ...] ... \[-managementloglevel <managementloglevel> ...]\[-transport \( TCP | UDP )])

Exemple :

    add audit syslogAction test 10.106.186.102 -serverPort 514 -logLevel ALL -managementlog SHELL NSMGMT -managementloglevel ALL -transport TCP

Dans cette configuration :

  • name: nom de l’action Syslog
  • serverIP: adresse IP du serveur Syslog.
  • serverPort: port sur lequel le serveur Syslog accepte les connexions.
  • logLevel: niveau du journal d’audit.
  • managementlog: types de journaux de gestion que vous devez exporter.
  • managementloglevel: niveaux de journal de gestion que vous souhaitez définir pour l’exportation.
  • transport: type de transport utilisé pour envoyer les journaux d’audit au serveur Syslog.

Remarque :

Lorsque les journaux de gestion sont activés, la configuration SyslogAction ne prend en charge que l’adresse IP du serveur et la configuration des ports. Les configurations de nom de serveur virtuel d’équilibrage de charge et de service basé sur le domaine (DBS) ne sont pas prises en charge.

Pour les journaux de gestion de l’équilibrage de charge exportés sur plusieurs serveurs Syslog externes (par exemple, des serveurs Syslog Splunk ou des endpoints), vous pouvez utiliser l’exemple de configuration suivant : Dans SyslogAction, configurez les éléments suivants :

add service syslog_server <server_ip> UDP <port>

add service syslog_server1 1.3.4.4 UDP 514

add service syslog_server2 1.3.4.5 UDP 514

add lb vserver lb1 UDP <lb_vip> <lb_port>

bind lb vserver lb1 syslog_server1

bind lb vserver lb1 syslog_server2

add syslogAction sys1 <server_ip> -serverPort <server_port> -transport UDP -loglevel <loglevel>

add syslogAction sys1 lb_vip -serverPort lb_port -transport UDP -loglevel <loglevel>

Pour configurer l’action d’audit Syslog sur NetScaler à l’aide de l’interface graphique, effectuez les étapes suivantes :

  1. Accédez à l’onglet Système > Audit > Syslog > Serveur et cliquez sur Ajouter.
  2. Sur la page Créer un serveur d’audit, fournissez les informations suivantes :
    1. Entrez un nom pour le serveur Syslog.
    2. Sélectionnez IP du serveur dans la liste des types de serveurs et entrez l’adresse IP et le port du serveur Syslog.
    3. Choisissez les niveaux de journalisation requis dans les sections Niveaux de journalisation, Journaux de gestion et Niveaux de journalisation de gestion.
  3. Cliquez sur Créer.

Configurer la stratégie d’audit Syslog

Pour configurer une stratégie d’audit Syslog à l’aide de l’interface de ligne de commande, exécutez la commande suivante :

    add audit syslogPolicy <name> TRUE <syslogAction>

Exemple :

    add audit syslogPolicy test-policy TRUE test

Pour configurer une stratégie d’audit Syslog à l’aide de l’interface graphique, effectuez les étapes suivantes :

  1. Accédez à l’onglet Système > Audit > Syslog > Stratégies et cliquez sur Ajouter.
  2. Sur la page Créer une stratégie Syslog d’audit, entrez un nom, sélectionnez Stratégie avancée, puis sélectionnez le serveur Syslog d’audit que vous avez créé dans la liste des serveurs.

Stratégie relative aux journaux d’audit Bind

Pour lier la stratégie du journal d’audit Syslog au point de liaison à l’aide de l’interface de ligne de commande SYSTEM_GLOBAL, exécutez la commande suivante :

    bind audit syslogGlobal <policyname> -globalBindType SYSTEM_GLOBAL

Exemple :

    bind audit syslogGlobal test-policy -globalBindType SYSTEM_GLOBAL

Pour lier globalement la stratégie du journal d’audit Syslog à l’aide de l’interface graphique, exécutez la commande suivante :

  1. Accédez à l’onglet Système > Audit > Syslog > Stratégies et sélectionnez la stratégie d’audit Syslog que vous avez créée.
  2. Cliquez avec le bouton droit sur la stratégie d’audit Syslog sélectionnée, puis cliquez sur Advanced Policy Global Bindings.
  3. Sélectionnez la stratégie d’audit Syslog que vous avez créée dans la liste Sélectionner une stratégie.
  4. Entrez la priorité dans le champ Priorité.
  5. Sélectionnez SYSTEM_GLOBAL dans le champ Type de liaison global et cliquez sur Lier.
  6. Sur la page Audit Syslog, sélectionnez la stratégie d’audit Syslog et cliquez sur Terminé.

Une fois la configuration réussie, les journaux de gestion sont envoyés sous forme de charges utiles Syslog à Splunk et vous pouvez les consulter sur l’interface utilisateur de l’application Splunk.

Informations supplémentaires

Cette section fournit des informations supplémentaires sur les trois types de journaux spécifiés dans cette rubrique :

  • shell journaux : inclut bash.log et sh.log.
  • access journaux : comprend httpaccess.log,httperror.log,httpaccess-vpn.log, httperror-vpn.log, vpndebug.log, nsvpn.log et auth.log.
  • nsmgmt logs : inclut notice.loget ns.log (inclut uniquement les journaux des moteurs autres que les paquets).

Résoudre les problèmes liés à l’exportation des journaux de gestion

Pour obtenir des conseils de dépannage de l’exportation des journaux de gestion, consultez Résoudre les problèmes liés aux journaux de gestion.