Application Delivery Management

Intégration avec Splunk

December 12, 2025

Contributeur:

Vous pouvez désormais intégrer NetScaler® ADM à Splunk pour afficher les analyses des éléments suivants :

violations WAF
violations de bot
informations sur les certificats SSL

L’add-on Splunk vous permet de :

Combiner toutes les autres sources de données externes.
Offrir une meilleure visibilité des analyses dans un emplacement centralisé.

NetScaler ADM collecte les événements de bot, WAF et SSL, et les envoie périodiquement à Splunk. L’add-on Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, vous pouvez afficher les événements dans le tableau de bord Splunk à l’aide des données compatibles CIM.

Pour une intégration réussie, vous devez :

Configurer Splunk pour recevoir des données de NetScaler ADM
Configurer NetScaler ADM pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

Configurer Splunk pour recevoir des données de NetScaler ADM

Dans Splunk, vous devez :

Configurer le point de terminaison du collecteur d’événements HTTP Splunk et générer un jeton
Installer l’add-on Splunk Common Information Model (CIM)
Préparer un exemple de tableau de bord dans Splunk

Configurer le point de terminaison du collecteur d’événements HTTP Splunk et générer un jeton

Vous devez d’abord configurer le collecteur d’événements HTTP dans Splunk. Cette configuration permet l’intégration entre ADM et Splunk pour l’envoi des données. Ensuite, vous devez générer un jeton dans Splunk pour :

Activer l’authentification entre ADM et Splunk.
Recevoir des données via le point de terminaison du collecteur d’événements.

Connectez-vous à Splunk.
Accédez à Settings > Data Inputs > HTTP event collector et cliquez sur Add new.
Spécifiez les paramètres suivants :
1. Name : Spécifiez un nom de votre choix.
2. Source name override (optional) : Si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.
3. Description (optional) : Spécifiez une description.
4. Output Group (optional) : Par défaut, cette option est sélectionnée comme None.
5. Enable indexer acknowledgement : Par défaut, cette option n’est pas sélectionnée.
Cliquez sur Next.
Vous pouvez éventuellement définir des paramètres d’entrée supplémentaires sur la page Input Settings.
Cliquez sur Review pour vérifier les entrées, puis sur Submit.

Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des détails dans NetScaler ADM.

Installer le Splunk Common Information Model

Dans Splunk, vous devez installer l’add-on Splunk CIM. Cet add-on garantit que les données reçues de NetScaler ADM normalisent les données ingérées et correspondent à une norme commune en utilisant les mêmes noms de champs et balises d’événements pour les événements équivalents.

Connectez-vous à Splunk.
Accédez à Apps > Find More Apps.
Saisissez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir l’add-on Splunk Common Information Model (CIM), puis cliquez sur Install.

Préparer un exemple de tableau de bord dans Splunk

Après avoir installé le Splunk CIM, vous devez préparer un exemple de tableau de bord à l’aide d’un modèle pour WAF et Bot, et pour les informations sur les certificats SSL. Vous pouvez télécharger le fichier de modèle de tableau de bord (.tgz), utiliser n’importe quel éditeur (par exemple, le Bloc-notes) pour copier son contenu et créer un tableau de bord en collant les données dans Splunk.

Remarque :

La procédure suivante pour créer un exemple de tableau de bord est applicable à la fois pour WAF et Bot, et pour les informations sur les certificats SSL. Vous devez utiliser le fichier json requis.

Connectez-vous à la page de téléchargements Citrix et téléchargez l’exemple de tableau de bord disponible sous Intégration de l’observabilité.
Extrayez le fichier, ouvrez le fichier json à l’aide de n’importe quel éditeur et copiez les données du fichier.

Remarque :

Après l’extraction, vous obtenez deux fichiers json. Utilisez adm_splunk_security_violations.json pour créer l’exemple de tableau de bord WAF et Bot, et utilisez adm_splunk_ssl_certificate.json pour créer l’exemple de tableau de bord d’informations sur les certificats SSL.
Dans le portail Splunk, accédez à Search & Reporting > Dashboards, puis cliquez sur Create New Dashboard.
Sur la page Create New Dashboard, spécifiez les paramètres suivants :
1. Dashboard Title : Indiquez un titre de votre choix.
2. Description : Vous pouvez éventuellement fournir une description pour votre référence.
3. Permission : Sélectionnez Private ou Shared in App en fonction de vos besoins.
4. Sélectionnez Dashboard Studio.
5. Sélectionnez l’une des dispositions (Absolute ou Grid), puis cliquez sur Create.
  
  Après avoir cliqué sur Create, sélectionnez l’icône Source dans la disposition.
Supprimez les données existantes, collez les données que vous avez copiées à l’étape 2, puis cliquez sur Back.
Cliquez sur Save.

Vous pouvez afficher l’exemple de tableau de bord suivant dans votre Splunk.

Configurer NetScaler ADM pour exporter des données vers Splunk

Tout est maintenant prêt dans Splunk. La dernière étape consiste à configurer NetScaler ADM en créant un abonnement et en ajoutant le jeton.

Une fois la procédure suivante terminée, vous pouvez afficher le tableau de bord mis à jour dans Splunk, qui est actuellement disponible dans votre NetScaler ADM :

Connectez-vous à NetScaler ADM.
Accédez à Settings > Ecosystem Integration.
Sur la page Subscriptions, cliquez sur Add.
Dans l’onglet Select features to subscribe, sélectionnez les fonctionnalités que vous souhaitez exporter, puis cliquez sur Next.
- Realtime Export : Les violations sélectionnées sont exportées vers Splunk immédiatement.
- Periodic Export : Les violations sélectionnées sont exportées vers Splunk en fonction de la durée que vous sélectionnez.
Dans l’onglet Specify export configuration :
1. End Point Type : Sélectionnez Splunk dans la liste.
2. End Point : Spécifiez les détails du point de terminaison Splunk. Le point de terminaison doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
  
  Remarque
  
  Il est recommandé d’utiliser HTTPS pour des raisons de sécurité.
  - SPLUNK_PUBLIC_IP : Une adresse IP valide configurée pour Splunk.
  - SPLUNK_HEC_PORT : Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison d’événement HTTP. Le numéro de port par défaut est 8088.
  - Services/collector/event : Indique le chemin d’accès de l’application HEC.
3. Authentication token : Copiez et collez le jeton d’authentification de la page Splunk.
4. Cliquez sur Next.
Sur la page Subscribe :
1. Export Frequency : Sélectionnez Daily ou Hourly dans la liste. En fonction de la sélection, NetScaler ADM exporte les détails vers Splunk.
  
  Remarque :
  
  Applicable uniquement si vous avez sélectionné des violations dans Periodic Export.
2. Subscription Name : Spécifiez un nom de votre choix.
3. Cochez la case Enable Notifications.
4. Cliquez sur Submit.
  Remarque
  - Lorsque vous configurez l’option Periodic Export pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transmises à Splunk. La fréquence d’exportation suivante dépend de votre sélection (quotidienne ou horaire).
  - Lorsque vous configurez l’option Realtime Export pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transmises à Splunk dès que les violations sont détectées dans NetScaler ADM.

Afficher les tableaux de bord dans Splunk

Une fois la configuration terminée dans NetScaler ADM, les événements apparaissent dans Splunk. Vous êtes prêt à afficher le tableau de bord mis à jour dans Splunk sans aucune étape supplémentaire.

Accédez à Splunk et cliquez sur le tableau de bord que vous avez créé pour afficher le tableau de bord mis à jour.

Voici un exemple du tableau de bord WAF et Bot mis à jour :

Tableau de bord mis à jour

Le tableau de bord suivant est un exemple du tableau de bord mis à jour des informations sur les certificats SSL.

Certificat SSL

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

NetScaler Secure Deployment Guide

Intégration avec Splunk

December 12, 2025

Contributeur:

December 12, 2025

Contributeur:

Dans cet article

Configurer Splunk pour recevoir des données de NetScaler ADM
Configurer NetScaler ADM pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

NetScaler Secure Deployment Guide