ADC

管理ログをNetScalerからSplunkに直接エクスポートする

管理ログ(パケットエンジン以外のログ)を shellaccessnsmgmt などのカテゴリ別にNetScalerからSplunkなどの業界標準のログアグリゲータープラットフォームにエクスポートできるようになりました。Splunkの視覚化ツールを使用すると、エクスポートされたデータについて有意義な洞察を得ることができます。

NetScalerからSplunkに管理ログをエクスポートする方法は複数あります。Splunk は HTTP サーバーまたは Syslog サーバーとして構成できます。HTTPサーバー構成では、HTTPイベントコレクターを使用して、管理ログをHTTP (またはHTTPS) 経由でNetScalerからSplunkプラットフォームに直接送信できます。Syslogサーバー構成では、管理ログはNetScalerからSplunkにシスログペイロードとして送信されます。

HTTP サーバーとして設定された Splunk に管理ログをエクスポートする

管理ログのエクスポートを設定するには、次の手順を実行する必要があります:

  1. Splunk で HTTP イベントコレクターを設定します。
  2. NetScalerでコレクターサービスと時系列分析プロファイルを作成します。

Splunk での HTTP イベントコレクターの設定

HTTP イベントコレクターを設定することで、管理ログを Splunk に転送できます。HTTP イベントコレクタを設定するには、認証トークンを作成し、イベントが送信されるトークンにイベントインデックスを関連付け、HTTP ポート番号を設定する必要があります。

HTTP イベントコレクターの設定方法については、 Splunk のドキュメントを参照してください

HTTP イベントコレクターを設定したら、認証トークンをコピーして参照用に保存します。NetScalerで分析プロファイルを構成する際には、このトークンを指定する必要があります。

CLIを使用してNetScalerで時系列分析プロファイルを構成する

NetScaler管理ログをSplunkにエクスポートするには、次の手順を実行します。

  1. Splunk 用のコレクターサービスを作成します。

    add service <collector> <splunk-server-ip-address> <protocol> <port>
    

    例:

    add service splunk_service 10.102.34.155 HTTP 8088
    

    この構成では:

    • ip-address: Splunk サーバの IP アドレス。
    • collector-name: コレクターの名前。
    • protocol: プロトコルを HTTP または HTTPS として指定します
    • port: ポート番号。
  2. 時系列分析プロファイルを作成します。

    add analytics profile `profile-name` -type time series -managementlog <management-log-type> -collectors `collector-name` -analyticsAuthToken `auth-tocken`-analyticsEndpointContentType `Application/json` -analyticsEndpointMetadata `meta-data-for-endpoint` -analyticsEndpointUrl `endpoint-url`
    

    例:

     add analytics profile managementlogs_profile -type timeseries -managementlog ACCESS -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"sourcetype\":\"logs-and-events-directly-from-netscaler\", \"source\":\"test\",\"event\":}" -analyticsEndpointUrl "/services/collector/event"
    

    この構成では:

    • managementlog: エクスポートする必要がある管理ログのタイプ。 次のオプションを使用できます。
      • ALL: すべてのカテゴリの管理ログとホストログが含まれます。
      • SHELL: bash.logsh.logが含まれます。
      • Access: auth.lognsvpn.logvpndebug.loghttpaccess.loghttperror.loghttpaccess-vpn.loghttperror-vpn.logなどのログが含まれます。
      • NSMGMT: ns.lognotice.logが含まれます 。
      • NONE: どのログもエクスポートされません。
    • analyticsAuthToken: Splunk にログを送信するときに、「Splunk」というプレフィックスを使用して認証ヘッダーに含める認証トークンを指定します。このトークンは、HTTP イベントコレクターの設定時に Splunk サーバーで作成される認証トークンです。

    • analyticsEndpointContentType: ログのフォーマット。

    • analyticsEndpointMetadata: エンドポイント固有のメタデータ。

    • analyticsEndpointUrl: ログをエクスポートするエンドポイント内の場所。

    注:

    時系列分析プロファイルのパラメーターは、 set analytics profile コマンドを使用して変更できます。

  3. show analytics profile コマンドを使用して、分析プロファイルの設定を確認します。

    # show analytics profile splunkexport
    1)    Name: audit_profile
          Collector: splunk
          Profile-type: timeseries
                Output Mode: avro
                Metrics: DISABLED
                  Schema File: schema.json
                  Metrics Export Frequency: 30
                Events: DISABLED
                Auditlog: DISABLED
                Serve mode: Push
           Authentication Token: <auth-tocken> 
           Endpoint URL: /services/collector/event
           Endpoint Content-type: Application/json
           Endpoint Metadata: Event:
           Reference Count: 0
           Managementlog: ACCESS
    

構成が成功すると、管理ログはHTTPペイロードとしてSplunkに送信され、Splunkアプリケーションのユーザーインターフェイスで表示できます。

GUIを使用してNetScalerで時系列分析プロファイルを構成する

次の手順を実行します:

  1. コレクターサービスを作成します。
    1. [Traffic Management] > [Load Balancing] > [Services] の順に選択し、[Add] をクリックします。
    2. 負荷分散サービス 」ページで、必須フィールドに詳細を入力し、「 OK」 をクリックし、「 完了」をクリックします。
  2. 時系列分析プロファイルを作成します。

    1. [ システム] > [プロファイル] > [Analytics プロファイル ] に移動し、[ 追加] をクリックします。
    2. Analytics プロファイルの作成 」ページで、次の詳細を入力します:

      1. プロファイルの名前を入力します。
      2. コレクターリストから 、作成したサービスを選択します。
      3. **タイプリストから時系列を選択します** 。
      4. Splunk から受け取ったアナリティクス認証トークンに 「Splunk」というプレフィックスを付けて入力します。
      5. アナリティクスエンドポイント URL、アナリティクスエンドポイントコンテンツタイプ**、 **アナリティクスエンドポイントメタデータの詳細を入力します
      6. エクスポートする管理ログとエクスポートする出力モードを選択します
      7. [作成] をクリックします。

Syslog サーバーとして設定された Splunk に管理ログをエクスポートする

管理ログのエクスポートを設定するには、次の手順を実行する必要があります:

  1. Splunk のシスログポートを設定します。
  2. 管理ログオプションを使用してNetScalerで監査Syslogアクションを作成します。
  3. syslog アクションを使用して syslog 監査ポリシーを作成します。
  4. syslog監査ポリシーをシステムグローバルエンティティとバインドして、すべてのNetScalerシステムイベントのログ記録を有効にします。

Splunk を外部シスログサーバーとして設定

Splunk に外部の syslog サーバーを設定することで、管理ログを Splunk に転送できます。

Syslog ポートの設定方法については、 Splunkのマニュアルを参照してください。Syslog ポートを設定したら、参照用に保存します。NetScaler上でaudit syslogactionを構成するときに、このポートを指定する必要があります。

Syslog 監査アクションの設定

CLIを使用してNetScalerのsyslog監査アクションを構成するには、次のコマンドを実行します:

    add audit syslogAction <name> \(<serverIP> \[-serverPort <port>] -logLevel <logLevel> ... \[-managementlog <managementlog> ...] ... \[-managementloglevel <managementloglevel> ...]\[-transport \( TCP | UDP )])

例:

    add audit syslogAction test 10.106.186.102 -serverPort 514 -logLevel ALL -managementlog SHELL NSMGMT -managementloglevel ALL -transport TCP

この構成では:

  • name: シスログアクションの名前
  • serverIP: シスログサーバの IP アドレス。
  • serverPort: Syslog サーバが接続を受け入れるポート。
  • logLevel: 監査ログレベル。
  • managementlog: エクスポートする必要がある管理ログのタイプ。
  • managementloglevel: エクスポート用に設定したい管理ログレベル。
  • transport: 監査ログを Syslog サーバに送信するために使用される転送タイプ。

注:

管理ログを有効にすると、SysLogAction 構成はサーバーの IP アドレスとポート構成のみをサポートします。ドメインベースサービス (DBS) と負荷分散仮想サーバー名の構成はサポートされていません。

複数の外部Syslogサーバー (Splunk Syslogサーバーやエンドポイントなど) にエクスポートされる負荷分散管理ログには、次の設定例を使用できます。

add service syslog_server <server_ip> UDP <port>

add service syslog_server1 1.3.4.4 UDP 514

add service syslog_server2 1.3.4.5 UDP 514

add lb vserver lb1 UDP <lb_vip> <lb_port>

bind lb vserver lb1 syslog_server1

bind lb vserver lb1 syslog_server2

SyslogActionでは、次を設定します。

add syslogAction sys1 <server_ip> -serverPort <server_port> -transport UDP -loglevel <loglevel>

add syslogAction sys1 lb_vip -serverPort lb_port -transport UDP -loglevel <loglevel>

GUIを使用してNetScalerのsyslog監査アクションを構成するには、次の手順を実行します:

  1. [ システム] > [監査] > [Syslog] > [サーバー ] タブに移動し、[追加] をクリックします。
  2. 監査サーバーの作成 」ページで、次の詳細を入力します:
    1. Syslog サーバーの名前を入力します。
    2. **サーバータイプ」リストから「サーバーIP** 」を選択し、Syslog サーバーの IP アドレスとポートを入力します。
    3. [ログレベル]、[管理ログ]、[ **管理ログレベル** ] セクションから必要なログレベルを選択します
  3. [作成] をクリックします。

Syslog 監査ポリシーの設定

CLI を使用して Syslog 監査ポリシーを設定するには、次のコマンドを実行します。

    add audit syslogPolicy <name> TRUE <syslogAction>

例:

    add audit syslogPolicy test-policy TRUE test

GUI を使用して Syslog 監査ポリシーを設定するには、次の手順を実行します:

  1. [ システム] > [監査] > [Syslog] > [ポリシー ] タブに移動し、[追加] をクリックします。
  2. 監査Syslogポリシーの作成」ページで名前を入力し、「詳細ポリシー」を選択し、サーバーリストから作成した監査Syslogサーバーを選択します。

バインド監査ログポリシー

CLI を使用して Syslog 監査ログポリシーをバインドポイントSYSTEM_GLOBALにバインドするには、次のコマンドを実行します:

    bind audit syslogGlobal <policyname> -globalBindType SYSTEM_GLOBAL

例:

    bind audit syslogGlobal test-policy -globalBindType SYSTEM_GLOBAL

GUI を使用して syslog 監査ログポリシーをグローバルにバインドするには、次のコマンドを実行します:

  1. [ システム] > [監査] > [Syslog] > [ポリシー ] タブに移動し、作成した Syslog 監査ポリシーを選択します。
  2. 選択した Syslog 監査ポリシーを右クリックし、「 詳細ポリシーグローバルバインディング」をクリックします。
  3. 「ポリシーの選択」リストから、作成した Syslog 監査ポリシーを選択します
  4. 「優先度」 フィールドに優先度を入力します
  5. グローバルバインドタイプ」フィールドからSYSTEM_GLOBALを選択し、「バインド」をクリックします。
  6. Syslog監査ページで、Syslog監査ポリシーを選択し、[完了] をクリックします。

構成が成功すると、管理ログはSyslogペイロードとしてSplunkに送信され、Splunkアプリケーションのユーザーインターフェイスで表示できます。

追加情報

このセクションでは、このトピックで指定されている 3 種類のログについて詳しく説明します:

  • shell ログ: bash.log とが含まれます sh.log
  • accessログ: httpaccess.loghttperror.loghttpaccess-vpn.loghttperror-vpn.logvpndebug.lognsvpn.logおよびauth.logが含まれます 。
  • nsmgmt logs: notice.log、および ns.log (パケットエンジン以外のログのみを含む) が含まれます。

管理ログのエクスポートに関連する問題のトラブルシューティング

管理ログのエクスポートに関するトラブルシューティングのヒントについては、「 管理ログに関連する問題のトラブルシューティング」を参照してください。