Service NetScaler Console

Intégration avec Splunk

August 22, 2025

Contributeur:

Vous pouvez désormais intégrer NetScaler Console à Splunk pour afficher les analyses pour :

Violations WAF
Violations de bot
Informations sur les certificats SSL
Informations sur la passerelle
Journaux d’audit de NetScaler Console

L’add-on Splunk vous permet de :

Combiner toutes les autres sources de données externes.
Offrir une meilleure visibilité des analyses dans un emplacement centralisé.

NetScaler Console collecte les événements de journaux d’audit, de bot, WAF, SSL et de passerelle, et les envoie périodiquement à Splunk. L’add-on Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, vous pouvez afficher les événements dans le tableau de bord Splunk à l’aide des données compatibles CIM.

Pour une intégration réussie, vous devez :

Configurer Splunk pour recevoir des données de NetScaler Console
Configurer NetScaler Console pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

Configurer Splunk pour recevoir des données de NetScaler Console

Dans Splunk, vous devez :

Configurer le point de terminaison du collecteur d’événements HTTP Splunk et générer un jeton
Installer l’add-on Splunk Common Information Model (CIM)
Installer le normaliseur CIM (applicable uniquement pour les informations WAF et de bot)
Préparer un exemple de tableau de bord dans Splunk

Configurer le point de terminaison du collecteur d’événements HTTP Splunk et générer un jeton

Vous devez d’abord configurer le collecteur d’événements HTTP dans Splunk. Cette configuration permet l’intégration entre NetScaler Console et Splunk pour envoyer les données WAF ou de bot. Ensuite, vous devez générer un jeton dans Splunk pour :

Activer l’authentification entre NetScaler Console et Splunk.
Recevoir des données via le point de terminaison du collecteur d’événements.

Connectez-vous à Splunk.
Accédez à Settings > Data Inputs > HTTP event collector et cliquez sur Add new.
Spécifiez les paramètres suivants :
1. Name : Spécifiez un nom de votre choix.
2. Source name override (optional) : Si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.
3. Description (optional) : Spécifiez une description.
4. Output Group (optional) : Par défaut, cette option est sélectionnée comme None.
5. Enable indexer acknowledgement : NetScaler Console ne prend pas en charge cette option. Nous vous recommandons de ne pas sélectionner cette option.
Cliquez sur Next.
Vous pouvez éventuellement définir des paramètres d’entrée supplémentaires dans la page Input Settings.
Cliquez sur Review pour vérifier les entrées, puis cliquez sur Submit.

Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des détails dans NetScaler Console.

Installer le Splunk Common Information Model

Dans Splunk, vous devez installer l’add-on Splunk CIM. Cet add-on garantit que les données reçues de NetScaler Console normalisent les données ingérées et correspondent à une norme commune en utilisant les mêmes noms de champs et balises d’événements pour les événements équivalents.

Remarque :

Vous pouvez ignorer cette étape si vous avez déjà installé l’add-on Splunk CIM.

Connectez-vous à Splunk.
Accédez à Apps > Find More Apps.
Tapez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir l’add-on Splunk Common Information Model (CIM), puis cliquez sur Install.

Installer le normaliseur CIM

Le normaliseur CIM est un plug-in supplémentaire que vous devez installer pour afficher les informations WAF et de bot dans Splunk.

Dans le portail Splunk, accédez à Apps > Find More Apps.
Tapez CIM normalization for ADM service events/data dans la barre de recherche et appuyez sur Entrée pour obtenir l’add-on, puis cliquez sur Install.

Préparer un exemple de tableau de bord dans Splunk

Après avoir installé le Splunk CIM, vous devez préparer un exemple de tableau de bord à l’aide d’un modèle pour les informations WAF et de bot, et les informations sur les certificats SSL. Vous pouvez télécharger le fichier de modèle de tableau de bord (.tgz), utiliser n’importe quel éditeur (par exemple, le Bloc-notes) pour copier son contenu et créer un tableau de bord en collant les données dans Splunk.

Remarque :

La procédure suivante pour créer un exemple de tableau de bord est applicable à la fois pour les informations WAF et de bot, et les informations sur les certificats SSL. Vous devez utiliser le fichier json requis.

Connectez-vous à la page de téléchargements Citrix et téléchargez l’exemple de tableau de bord disponible sous Intégration de l’observabilité.
Extrayez le fichier, ouvrez le fichier json à l’aide de n’importe quel éditeur et copiez les données du fichier.

Remarque :

Après l’extraction, vous obtenez deux fichiers json. Utilisez adm_splunk_security_violations.json pour créer l’exemple de tableau de bord WAF et de bot, et utilisez adm_splunk_ssl_certificate.json pour créer l’exemple de tableau de bord d’informations sur les certificats SSL.
Dans le portail Splunk, accédez à Search & Reporting > Dashboards, puis cliquez sur Create New Dashboard.
Dans la page Create New Dashboard, spécifiez les paramètres suivants :
1. Dashboard Title : Fournissez un titre de votre choix.
2. Description : Vous pouvez éventuellement fournir une description pour votre référence.
3. Permission : Sélectionnez Private ou Shared in App en fonction de vos besoins.
4. Sélectionnez Dashboard Studio.
5. Sélectionnez l’une des mises en page (Absolute ou Grid), puis cliquez sur Create.
  
  Après avoir cliqué sur Create, sélectionnez l’icône Source dans la mise en page.
Supprimez les données existantes, collez les données que vous avez copiées à l’étape 2, puis cliquez sur Back.
Cliquez sur Save.

Vous pouvez afficher l’exemple de tableau de bord suivant dans votre Splunk.

Configurer NetScaler Console pour exporter des données vers Splunk

Tout est maintenant prêt dans Splunk. La dernière étape consiste à configurer NetScaler Console en créant un abonnement et en ajoutant le jeton.

Une fois la procédure suivante terminée, vous pouvez afficher le tableau de bord mis à jour dans Splunk qui est actuellement disponible dans votre NetScaler Console :

Connectez-vous à NetScaler Console.
Accédez à Settings > Observability Integration.
Dans la page Integrations, cliquez sur Add.
Dans la page Create Subscription, spécifiez les détails suivants :
1. Spécifiez un nom de votre choix dans le champ Subscription Name.
2. Sélectionnez NetScaler Console comme Source et cliquez sur Next.
3. Sélectionnez Splunk et cliquez sur Configure. Dans la page Configure Endpoint :
  1. End Point URL : Spécifiez les détails du point de terminaison Splunk. Le point de terminaison doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
    
    Remarque :
    
    Il est recommandé d’utiliser HTTPS pour des raisons de sécurité.
    - SPLUNK_PUBLIC_IP : Une adresse IP valide configurée pour Splunk.
    - SPLUNK_HEC_PORT : Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison d’événement HTTP. Le numéro de port par défaut est 8088.
    - Services/collector/event : Indique le chemin d’accès de l’application HEC.
  2. Authentication token : Copiez et collez le jeton d’authentification de Splunk.
  3. Cliquez sur Submit.
4. Cliquez sur Next.
5. Cliquez sur Add Insights et dans l’onglet Select Feature, vous pouvez sélectionner les fonctionnalités que vous souhaitez exporter et cliquer sur Add Selected.
  
  Remarque :
  
  Si vous avez sélectionné NetScaler Console Audit Logs, vous pouvez sélectionner Daily ou Hourly pour la fréquence d’exportation des journaux d’audit vers Splunk.
6. Cliquez sur Next.
7. Dans l’onglet Select Instance, vous pouvez choisir Select All Instances ou Custom select, puis cliquer sur Next.
  - Select All Instances : Exporte les données vers Splunk à partir de toutes les instances NetScaler.
  - Custom select : Vous permet de sélectionner les instances NetScaler dans la liste. Si vous sélectionnez des instances spécifiques dans la liste, les données sont exportées vers Splunk uniquement à partir des instances NetScaler sélectionnées.
8. Cliquez sur Submit.
  
  Remarque :
  
  Les données des informations sélectionnées sont transmises à Splunk immédiatement après la détection des violations dans NetScaler Console.

Afficher les tableaux de bord dans Splunk

Une fois la configuration terminée dans NetScaler Console, les événements apparaissent dans Splunk.

Vous êtes prêt à afficher le tableau de bord mis à jour dans Splunk sans aucune étape supplémentaire.

Accédez à Splunk et cliquez sur le tableau de bord que vous avez créé pour afficher le tableau de bord mis à jour.

Voici un exemple du tableau de bord WAF et de bot mis à jour :

Tableau de bord mis à jour

Le tableau de bord suivant est un exemple du tableau de bord mis à jour des informations sur les certificats SSL.

Certificat SSL

Outre le tableau de bord, vous pouvez également afficher les données dans Splunk après avoir créé l’abonnement

Dans Splunk, cliquez sur Search & Reporting.
Dans la barre de recherche :
1. Tapez sourcetype="bot" ou sourcetype="waf" et sélectionnez la durée dans la liste pour afficher les données de bot/WAF.
2. Tapez sourcetype="ssl" et sélectionnez la durée dans la liste pour afficher les données d’informations sur les certificats SSL.
3. Tapez sourcetype="gateway_insights" et sélectionnez la durée dans la liste pour afficher les données d’informations sur la passerelle.
4. Tapez sourcetype= "audit_logs" et sélectionnez la durée dans la liste pour afficher les données des journaux d’audit.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide

Intégration avec Splunk

August 22, 2025

Contributeur:

August 22, 2025

Contributeur:

Dans cet article

Configurer Splunk pour recevoir des données de NetScaler Console
Configurer NetScaler Console pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide