ADC

監査ログとイベントをNetScalerからSplunkに直接エクスポートする

監査ログを使用すると、NetScalerのさまざまなモジュールによって収集されたNetScalerの状態とステータス情報を記録できます。ログを確認することで、問題やエラーをトラブルシューティングして修正できます。

NetScalerからSplunkなどの業界標準のログアグリゲータープラットフォームに監査ログとイベントをエクスポートして、有意義な洞察を得ることができるようになりました。

NetScalerからSplunkに監査ログをエクスポートする方法は複数あります。Splunkは、SyslogサーバーまたはHTTPサーバーとして構成できます。このトピックでは、Splunk HTTP イベントコレクターを使用して Splunk を HTTP サーバーとして構成する方法について説明します。HTTPイベントコレクターを使用すると、監査ログをHTTP(またはHTTPS)経由でNetScalerからSplunkプラットフォームに直接送信できます。

注:

NetScalerからSplunkへの非パケットエンジン(PE)ログのエクスポートは、現在サポートされていません。

NetScalerからSplunkへの監査ログのエクスポートの設定

監査ログのエクスポートを設定するには、次の手順を実行する必要があります。

  1. Splunk で HTTP イベントコレクターを設定します。
  2. NetScalerでコレクターサービスと時系列分析プロファイルを作成します。

SplunkでHTTPイベントコレクターを設定

HTTP イベントコレクターを設定することで、監査ログを Splunk に転送できます。

HTTP イベントコレクターの設定方法については、 Splunk のマニュアルを参照してください

HTTP イベントコレクターを設定したら、認証トークンをコピーして参照用に保存します。NetScalerで分析プロファイルを構成する際には、このトークンを指定する必要があります。

NetScalerでの時系列分析プロファイルの設定

NetScaler監査ログをSplunkにエクスポートするには、次の手順を実行してください。

  1. Splunk 用のコレクターサービスを作成します。

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    例:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    この構成では:

    • ip-address: Splunk サーバの IP アドレスを指定します。
    • service-name: コレクターサービスの名前を指定します。
    • protocol: プロトコルを HTTP または HTTPS として指定します
    • port: ポート番号を指定します。
  2. 時系列分析プロファイルを作成します。

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name>  -analyticsAuthToken <"auth-tocken">
        -analyticsEndpointContentType <"application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">
    

    例:

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk_service -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"event\":[" -analyticsEndpointUrl "/services/collector/event"
    

    この構成では:

    • auditlog: enabled 監査ログを有効にするには値を指定します。
    • collectors: Splunk 用に作成されたコレクタサービスを指定します。たとえば、「splunk_service」はステップ 1 で作成したコレクターサービスです。
    • analyticsAuthToken: Splunk にログを送信する際に認証ヘッダーに含める認証トークンを指定します。このトークンは、HTTP イベントコレクターの設定時に Splunk サーバーで作成される認証トークンです。

    • analyticsEndpointContentType: ログの形式を指定します。
    • analyticsEndpointMetadata: エンドポイント固有のメタデータを指定します。

    • analyticsEndpointUrl: ログをエクスポートするエンドポイントの場所を指定します。

    注:

    時系列分析プロファイルのパラメーターは、 set analytics profile コマンドを使用して変更できます。

  3. show analytics profile コマンドを使用して、アナリティクスプロファイルの設定を確認します。

    # show analytics profile audit_profile
    
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: ENABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
    

設定が完了すると、監査ログは HTTP ペイロードとして Splunk に送信され、Splunk アプリケーションのユーザーインターフェイスで表示できます。

監査ログとイベントをNetScalerからSplunkに直接エクスポートする