Application Delivery Management

Intégration à Splunk

June 19, 2024

Contributeur:

Vous pouvez désormais intégrer NetScaler Console à Splunk pour consulter les analyses relatives à :

Violations du WAF
Violations liées aux robots
Informations sur les certificats SSL
Gateway insights
Événements et indicateurs
HDX insights

Le module complémentaire Splunk vous permet de :

Combinez toutes les autres sources de données externes.
Offrez une meilleure visibilité des analyses dans un endroit centralisé.

La console NetScaler collecte les événements Bot, WAF et SSL et les envoie régulièrement à Splunk. Le module complémentaire Splunk Common Information Model (CIM) convertit les événements en données compatibles CIM. En tant qu’administrateur, à l’aide des données compatibles CIM, vous pouvez consulter les événements dans le tableau de bord Splunk.

Pour une intégration réussie, vous devez :

Configurer Splunk pour recevoir des données depuis la console NetScaler
Configurer la console NetScaler pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

Configurer Splunk pour recevoir des données depuis NetScaler Console sur site

Dans Splunk, vous devez :

Configurez le point de terminaison du collecteur d’événements HTTP Splunk et générez un jeton
Installez le module complémentaire Splunk Common Information Model (CIM)
Installez le normalisateur CIM (applicable uniquement pour WAF et les informations sur les robots)
Préparer un exemple de tableau de bord dans Splunk

Configurez le point de terminaison du collecteur d’événements HTTP Splunk et générez un jeton

Vous devez d’abord configurer le collecteur d’événements HTTP dans Splunk. Cette configuration permet l’intégration entre NetScaler Console et Splunk pour envoyer les données. Ensuite, vous devez générer un jeton dans Splunk pour :

Activez l’authentification entre la console NetScaler et Splunk.
Recevez des données via le point de terminaison du collecteur d’événements.

Connectez-vous à Splunk.
Accédez à Paramètres > Entrées de données > Collecteur d’événements HTTP et cliquez sur Ajouter nouveau.
Spécifiez les paramètres suivants :
1. Nom : Spécifiez le nom de votre choix.
2. Remplacement du nom de la source (facultatif) : si vous définissez une valeur, elle remplace la valeur source du collecteur d’événements HTTP.
3. Description (facultatif) : Spécifiez une description.
4. Groupe de sortie (facultatif) : par défaut, cette option est sélectionnée sur Aucun.
5. Activer l’accusé de réception de l’indexeur : NetScaler Console ne prend pas en charge cette option. Nous vous recommandons de ne pas sélectionner cette option.
Cliquez sur Suivant.
Vous pouvez éventuellement définir des paramètres d’entrée supplémentaires sur la page Paramètres d’entrée .
Cliquez sur Vérifier pour vérifier les entrées, puis cliquez sur Soumettre.

Un jeton est généré. Vous devez utiliser ce jeton lorsque vous ajoutez des informations dans la console NetScaler.

Installation du modèle d’information commun de Splunk

Dans Splunk, vous devez installer le module complémentaire Splunk CIM. Ce module complémentaire garantit que les données reçues de NetScaler Console normalisent les données ingérées et correspondent à une norme commune en utilisant les mêmes noms de champs et balises d’événement pour les événements équivalents.

Remarque

Vous pouvez ignorer cette étape si vous avez déjà installé le module complémentaire Splunk CIM.

Connectez-vous à Splunk.
Accédez à Applications > Rechercher d’autres applications.
Tapez CIM dans la barre de recherche et appuyez sur Entrée pour obtenir le module complémentaire Splunk Common Information Model (CIM), puis cliquez sur Installer.

Installez le normalisateur CIM

Le normalisateur CIM est un plug-in supplémentaire que vous devez installer pour afficher les informations sur les WAF et les robots dans Splunk.

Sur le portail Splunk, accédez à Applications > Rechercher d’autresapplications.
Entrez normalisation CIM pour les événements/données du service NetScaler Console dans la barre de recherche, appuyez sur Entrée pour obtenir le module complémentaire, puis cliquez sur Installer.

Préparer un exemple de tableau de bord dans Splunk

Après avoir installé Splunk CIM, vous devez préparer un exemple de tableau de bord à l’aide d’un modèle pour WAF et Bot, d’informations sur les certificats SSL, ainsi que d’événements et de statistiques. Vous pouvez télécharger le fichier modèle de tableau de bord (.tgz), utiliser n’importe quel éditeur (par exemple, le bloc-notes) pour copier son contenu et créer un tableau de bord en collant les données dans Splunk.

Remarque :

La procédure suivante pour créer un exemple de tableau de bord s’applique à tous les cas d’utilisation. Vous devez utiliser le json fichier requis.

Connectez-vous à la page de téléchargement de Citrix et téléchargez l’exemple de tableau de bord disponible sous Exemples de tableaux de bord pour terminaux tiers.
Extrayez le fichier, json ouvrez-le à l’aide de n’importe quel éditeur et copiez les données du fichier.

Après avoir extrait, vous obtenez trois fichiers json. Utilisez le :
- adm_splunk_security_violations.json fichier pour créer un exemple de tableau de bord WAF et Bot.
- adm_splunk_ssl_certificate.json fichier pour créer un exemple de tableau de bord sur les certificats SSL.
- Fichier adm_splunk_events_and_metrics_history.json pour créer le tableau de bord des événements et des mesures de NetScaler Console.
Sur le portail Splunk, accédez à Recherche et rapports > Tableaux de bord, puis cliquez sur Créer un nouveautableau de bord.
Sur la page Créer un nouveau tableau de bord, spécifiez les paramètres suivants :
1. Titre du tableau de bord : indiquez le titre de votre choix.
2. Description : vous pouvez éventuellement fournir une description à titre de référence.
3. Autorisation : sélectionnez Privé ou Partagé dans l’application en fonction de vos besoins.
4. Sélectionnez Dashboard Studio.
5. Sélectionnez une disposition (Absolue ou Grille), puis cliquez sur Créer.
  
  Après avoir cliqué sur Créer, sélectionnez l’icône Source dans la mise en page.
Supprimez les données existantes, collez les données que vous avez copiées à l’étape 2, puis cliquez sur Retour.
Cliquez sur Enregistrer.

Vous pouvez consulter l’exemple de tableau de bord.

Voici un exemple de tableau de bord pour WAF et bot.

Configuration de NetScaler Console sur site pour exporter des données vers Splunk

Tout est désormais prêt dans Splunk. La dernière étape consiste à configurer NetScaler Console en créant un abonnement et en ajoutant le jeton.

À l’issue de la procédure suivante, vous pouvez consulter le tableau de bord mis à jour dans Splunk qui est actuellement disponible dans votre console NetScaler :

Connectez-vous à la console NetScaler.
Accédez à Paramètres > Intégration de l’observabilité.
Sur la page Intégrations, cliquez sur Ajouter.
Sur la page Créer un abonnement, indiquez les informations suivantes :
1. Indiquez le nom de votre choix dans le champ Nom de l’abonnement .
2. Sélectionnez NetScaler Console comme source et cliquez sur Suivant.
3. Sélectionnez Splunk et cliquez sur Configurer. Sur la page Configurer le point de terminaison :
  1. URL du point de terminaison : spécifiez les détails du point de terminaison Splunk. Le point final doit être au format https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event.
    
    Remarque :
    
    Il est recommandé d’utiliser le protocole HTTPS pour des raisons de sécurité.
    - SPLUNK_PUBLIC_IP — Adresse IP valide configurée pour Splunk.
    - SPLUNK_HEC_PORT — Indique le numéro de port que vous avez spécifié lors de la configuration du point de terminaison de l’événement HTTP. Le numéro de port par défaut est 8088.
    - Services/Collector/Event — Indique le chemin de l’application HEC.
  2. Jeton d’authentification : copiez et collez le jeton d’authentification depuis Splunk.
  3. Cliquez sur Envoyer.
4. Cliquez sur Suivant.
5. Cliquez sur Ajouter des informations et, dans l’onglet Sélectionner une fonctionnalité , vous pouvez sélectionner les fonctionnalités que vous souhaitez exporter et cliquer sur Ajouter la sélection.
  - Exportation en temps réel : les violations sélectionnées sont immédiatement exportées vers Splunk.
  - Exportation périodique : les violations sélectionnées sont exportées vers Splunk en fonction de la durée que vous sélectionnez.
  - Sélectionnez Quotidien ou Toutes les heures dans la liste des fréquences . En fonction de la sélection, NetScaler Console exporte les informations vers Splunk.
  - Cliquez sur Suivant.
6. Dans l’onglet Sélectionner une instance, vous pouvez choisir Sélectionner toutes les instances ou Sélection personnalisée, puis cliquer sur Suivant.
  - Sélectionnez toutes les instances : exporte les données de toutes les instances NetScaler vers Splunk.
  - Sélection personnalisée : vous permet de sélectionner les instances NetScaler dans la liste. Si vous sélectionnez des instances spécifiques dans la liste, les données sont exportées vers Splunk uniquement à partir des instances NetScaler sélectionnées.
7. Cliquez sur Envoyer.
  Remarque
  - Lorsque vous configurez avec l’option d’exportation périodique pour la première fois, les données des fonctionnalités sélectionnées sont immédiatement transférées vers Splunk. La fréquence d’exportation suivante se produit en fonction de votre sélection (quotidienne ou horaire).
  - Lorsque vous configurez pour la première fois avec l’option d’exportation en temps réel , les données relatives aux fonctionnalités sélectionnées sont transmises à Splunk immédiatement dès que les violations sont détectées dans la console NetScaler.

Afficher les tableaux de bord dans Splunk

Une fois la configuration terminée dans NetScaler Console, les données sont exportées depuis NetScaler Console et les événements apparaissent dans Splunk.

Vous êtes prêt à consulter le tableau de bord mis à jour dans Splunk sans aucune étape supplémentaire.

Accédez à Splunk et cliquez sur le tableau de bord que vous avez créé pour afficher le tableau de bord mis à jour.

Voici un exemple de tableau de bord WAF et Bot mis à jour :

Tableau de bord actualisé

Le tableau de bord suivant est un exemple du tableau de bord actualisé d’informations sur les certificats SSL.

SSL certificate

Le tableau de bord suivant est un exemple de tableau de bord des événements et des statistiques mis à jour.

Remarque :

Les données d’utilisation de la mémoire, du processeur et du disque indiquent la valeur actuelle de NetScaler Console. La tendance à la hausse et à la baisse de ces valeurs est indiquée sur la base de la comparaison de la valeur précédente toutes les 5 minutes.

Tableau de bord événements

Outre le tableau de bord, vous pouvez également consulter les données dans Splunk après avoir créé l’abonnement.

Dans Splunk, cliquez sur Search & Reporting.
Dans la barre de recherche :
- Entrez sourcetype="metrics" et sélectionnez la durée dans la liste pour afficher les données des mesures de NetScaler Console.
- Entrez sourcetype="event" et sélectionnez la durée dans la liste pour afficher les données des événements de NetScaler Console.
- Tapez sourcetype="bot" ou sourcetype="waf" et sélectionnez la durée dans la liste pour afficher les données BOT/WAF.
- Tapez sourcetype="ssl" et sélectionnez la durée dans la liste pour afficher les données relatives aux certificats SSL.
- Tapez sourcetype="gateway_insights" et sélectionnez la durée dans la liste pour afficher les données de Gateway Insights.
- - Tapez sourcetype="hdx_insights" et sélectionnez la durée dans la liste pour afficher les données de Gateway Insights.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Intégration à Splunk

June 19, 2024

Contributeur:

June 19, 2024

Contributeur:

Dans cet article

Configurer Splunk pour recevoir des données depuis NetScaler Console sur site
Configuration de NetScaler Console sur site pour exporter des données vers Splunk
Afficher les tableaux de bord dans Splunk

Cela vous a-t-il été utile ?