Documentation Produit
Service de gestion de la diffusion des applications NetScaler
Voir PDF

Intégration à Splunk

May 31, 2023
Contributeur: 
C

Vous pouvez désormais intégrer NetScaler ADM à Splunk pour consulter les analyses relatives à :

  • Violations du WAF

  • Violations liées aux robots

  • Informations sur les certificats SSL

Le module complémentaire Splunk vous permet de :

  • Combinez toutes les autres sources de données externes.

  • Offrez une meilleure visibilité des analyses dans un endroit centralisé.

NetScaler ADM collecte les événements Bot, WAF et SSL et les envoie régulièrement à Splunk. Le module complémentaire Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, à l’aide des données compatibles CIM, vous pouvez consulter les événements dans le tableau de bord Splunk.

Pour une intégration réussie, vous devez :

Configurer Splunk pour recevoir des données de NetScaler ADM

Dans Splunk, vous devez :

  1. Configurez le point de terminaison du collecteur d’événements HTTP Splunk et générez un jeton

  2. Installez le module complémentaire Splunk Common Information Model (CIM)

  3. Préparer un exemple de tableau de bord dans Splunk

Configurez le point de terminaison du collecteur d’événements HTTP Splunk et générez un jeton

Vous devez d’abord configurer le collecteur d’événements HTTP dans Splunk. Cette configuration permet l’intégration entre l’ADM et Splunk pour envoyer les données WAF ou Bot. Ensuite, vous devez générer un jeton dans Splunk pour :

  • Activez l’authentification entre ADM et Splunk.

  • Recevez des données via le point de terminaison du collecteur d’événements.

  1. Connectez-vous à Splunk.

  2. Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP et cliquez sur Ajouter nouveau.

  3. Spécifiez les paramètres suivants :

    1. Nom : Spécifiez le nom de votre choix.

    2. Remplacement du nom de la source (facultatif) : si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.

    3. Description (facultatif) : Spécifiez une description.

    4. Groupe de sortie (facultatif) : Par défaut, cette option est sélectionnée sur Aucun.

    5. Activer l’accusé de réception de l’indexeur : par défaut, cette option n’est pas sélectionnée.

      Paramètres du collecteur d'événements

  4. Cliquez sur Next.

  5. Vous pouvez éventuellement définir des paramètres d’entrée supplémentaires sur la page Paramètres d’entrée .

  6. Cliquez sur Vérifier pour vérifier les entrées, puis cliquez sur Soumettre.

    Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des détails dans NetScaler ADM.

    Jeton Splunk

Installation du modèle d’information commun de Splunk

Dans Splunk, vous devez installer le module complémentaire Splunk CIM. Ce module complémentaire garantit que les données reçues de Citrix ADM normalisent les données ingérées et correspondent à une norme commune en utilisant les mêmes noms de champs et balises d’événement pour des événements équivalents.

Remarque

Vous pouvez ignorer cette étape si vous avez déjà installé le module complémentaire Splunk CIM.

  1. Connectez-vous à Splunk.

  2. Accédez à Applications > Rechercher d’autres applications.

    Splunk : trouvez plus d'applications

  3. Tapez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir le module complémentaire Splunk Common Information Model (CIM), puis cliquez sur Installer.

    Splunk CIM

Préparer un exemple de tableau de bord dans Splunk

Après avoir installé Splunk CIM, vous devez préparer un exemple de tableau de bord à l’aide d’un modèle pour WAF et Bot, ainsi que de SSL Certificate Insights. Vous pouvez télécharger le fichier modèle de tableau de bord (.tgz), utiliser n’importe quel éditeur (par exemple, le bloc-notes) pour copier son contenu et créer un tableau de bord en collant les données dans Splunk.

Remarque :

La procédure suivante pour créer un exemple de tableau de bord s’applique à la fois à WAF et à Bot, ainsi qu’à SSL Certificate Insights. Vous devez utiliser le json fichier requis.

  1. Connectez-vous à la page de téléchargement de Citrix et téléchargez l’exemple de tableau de bord disponible sous Observability Integration.

  2. Extrayez le fichier, json ouvrez-le à l’aide de n’importe quel éditeur et copiez les données du fichier.

    Remarque :

    Après l’extraction, vous obtenez deux json fichiers. Utilisez-le adm_splunk_security_violations.json pour créer l’exemple de tableau de bord WAF et Bot, et utilisez-le adm_splunk_ssl_certificate.json pour créer l’exemple de tableau de bord d’analyse des certificats SSL.

  3. Sur le portail Splunk, accédez à Recherche et rapports > Tableaux de bord, puis cliquez sur Créer un nouveautableau de bord.

    Créer un tableau de bord

  4. Sur la page Créer un nouveau tableau de bord, spécifiez les paramètres suivants :

    1. Titre du tableau de bord : indiquez le titre de votre choix.

    2. Description  : vous pouvez éventuellement fournir une description à titre de référence.

    3. Autorisation  : sélectionnez Privé ou Partagé dans l’application en fonction de vos besoins.

    4. Sélectionnez Tableau de bord classique, puis cliquez sur Créer.

      Paramètres du tableau de bord

    Une fois que vous avez cliqué sur Créer, la page Modifier le tableau de bord s’affiche.

  5. Cliquez sur l’onglet Source, supprimez les données existantes et collez les données que vous avez copiées à l’étape 2.

  6. Cliquez sur Enregistrer.

    Une notification vous invite à actualiser la page pour que les modifications prennent effet.

    Actualiser

  7. Cliquez sur Actualiser pour préparer l’exemple de tableau de bord.

    Vous pouvez consulter l’exemple de tableau de bord suivant dans votre Splunk.

    Exemple de tableau de bord

Configurer NetScaler ADM pour exporter des données vers Splunk

Tout est désormais prêt dans Splunk. La dernière étape consiste à configurer NetScaler ADM en créant un abonnement et en ajoutant le jeton.

À la fin de la procédure suivante, vous pouvez consulter le tableau de bord mis à jour dans Splunk qui est actuellement disponible dans votre NetScaler ADM :

  1. Connectez-vous à NetScaler ADM.

  2. Accédez à Paramètres > Intégration de l’écosystème.

  3. Sur la page Abonnements, cliquez sur Ajouter.

  4. Dans l’onglet Sélectionner les fonctionnalités auxquelles vous souhaitez vous abonner, vous pouvez sélectionner les fonctionnalités que vous souhaitez exporter et cliquer sur Suivant.

    • Exportation en temps réel  : les violations sélectionnées sont immédiatement exportées vers Splunk.

    • Exportation périodique  : les violations sélectionnées sont exportées vers Splunk en fonction de la durée que vous sélectionnez.

      Sélectionnez les fonctionnalités

  5. Dans l’onglet Spécifier la configuration d’exportation :

    1. Type de point final  : sélectionnez Splunk dans la liste.

    2. Point final — Spécifiez les détails du point final de Splunk. Le point final doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.

      Remarque

      Il est recommandé d’utiliser le protocole HTTPS pour des raisons de sécurité.

      • SPLUNK_PUBLIC_IP — Adresse IP valide configurée pour Splunk.

      • SPLUNK_HEC_PORT — Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison de l’événement HTTP. Le numéro de port par défaut est 8088.

      • Services/Collector/Event — Indique le chemin de l’application HEC.

    3. Jeton d’authentification — Copiez et collez le jeton d’authentification depuis la page Splunk.

    4. Cliquez sur Next.

      Créer un abonnement

  6. Sur la page d’abonnement :

    1. Fréquence d’exportation  : sélectionnez Tous les jours ou toutes les heures dans la liste. En fonction de la sélection, NetScaler ADM exporte les détails vers Splunk.

      Remarque

      Applicable uniquement si vous avez sélectionné des violations dans l’exportation périodique.

    2. Nom de l’abonnement — Spécifiez le nom de votre choix.

    3. Cochez la case Activer les notifications .

    4. Cliquez sur Envoyer.

      Subscribe

      Remarque

      • Lorsque vous configurez avec l’option d’exportation périodique pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transférées vers Splunk. La fréquence d’exportation suivante se produit en fonction de votre sélection (quotidienne ou horaire).

      • Lorsque vous configurez pour la première fois avec l’option d’exportation en temps réel, les données des fonctionnalités sélectionnées sont transmises à Splunk immédiatement dès que les violations sont détectées dans NetScaler ADM.

Afficher les tableaux de bord dans Splunk

Une fois la configuration terminée dans NetScaler ADM, les événements apparaissent dans Splunk. Vous êtes prêt à consulter le tableau de bord mis à jour dans Splunk sans aucune étape supplémentaire.

Accédez à Splunk et cliquez sur le tableau de bord que vous avez créé pour afficher le tableau de bord mis à jour.

Voici un exemple de tableau de bord WAF et Bot mis à jour :

Tableau de bord actualisé

Le tableau de bord suivant est un exemple du tableau de bord SSL Certificate Insights mis à jour.

SSL certificate

Intégration à Splunk
May 31, 2023
Contributeur: 
C
May 31, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.