NetScaler コンソールサービス

Splunkとの統合

NetScaler ConsoleをSplunkと統合して、以下の分析を表示できるようになりました。

  • WAF 違反

  • ボット違反

  • SSL 証明書インサイト

  • Gateway Insights

Splunk アドオンにより、次のことが可能になります:

  • 他のすべての外部データソースを結合します。

  • 一元化された場所で分析の可視性を高めます。

NetScalerコンソールは、ボット、WAF、SSLイベントを収集し、定期的にSplunkに送信します。Splunk 共通情報モデル (CIM) アドオンは、イベントを CIM 互換データに変換します。管理者は CIM 互換データを使用して、Splunk ダッシュボードでイベントを表示できます。

統合を成功させるには、次のことを行う必要があります:

NetScaler コンソールからデータを受信するようにSplunkを設定する

Splunkでは、次のことを行う必要があります:

  1. Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

  2. Splunk 共通情報モデル (CIM) アドオンをインストールする

  3. CIM ノーマライザーのインストール (WAF とBot Insightにのみ適用)

  4. Splunkでサンプルダッシュボードを用意する

Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

最初に Splunk で HTTP イベントコレクターを設定する必要があります。この設定により、NetScalerコンソールとSplunkを統合してWAFまたはボットデータを送信できるようになります。次に、Splunkで次のことを行うためのトークンを生成する必要があります:

  • NetScaler コンソールと Splunk 間の認証を有効にします。

  • イベントコレクターエンドポイントを介してデータを受信します。

  1. Splunk にログオンします。

  2. [ 設定] > [データ入力] > [HTTP イベントコレクター ] に移動し、[ 新規追加] をクリックします。

  3. 次のパラメータを指定します。

    1. 名前:任意の名前を指定します。

    2. ソース名の上書き (オプション): 値を設定すると、HTTP イベントコレクターのソース値が上書きされます。

    3. 説明 (オプション): 説明を指定します。

    4. 出力グループ (オプション): デフォルトでは、このオプションは「なし」に設定されています。

    5. インデクサー確認を有効にする:NetScaler Consoleはこのオプションをサポートしていません。このオプションは選択しないことをお勧めします。

      イベントコレクターのパラメーター

  4. [次へ] をクリックします。

  5. オプションで、 入力設定ページで追加の入力パラメータを設定できます

  6. 確認 」をクリックして入力内容を確認し、「 送信」をクリックします。

    トークンが生成されます。NetScaler コンソールに詳細を追加するときは、このトークンを使用する必要があります。

    Splunk トークン

Splunk 共通情報モデルのインストール

Splunk では、Splunk CIM アドオンをインストールする必要があります。このアドオンにより、NetScaler Consoleから受信したデータが取り込まれたデータを正規化し、同等のイベントに同じフィールド名とイベントタグを使用して共通の標準に一致させることができます。

Splunk CIM アドオンを既にインストールしている場合は、このステップは無視してかまいません。

  1. Splunk にログオンします。

  2. [ アプリ] > [その他のアプリを検索] に移動します。

    Splunk アプリをもっと探す

  3. 検索バーに CIM と入力し、 Enter キーを押して Splunk 共通情報モデル (CIM) アドオンを取得し、[ インストール] をクリックします。

    Splunk CIM

CIM ノーマライザーのインストール

CIM ノーマライザーは、Splunk で WAF とボットのインサイトを表示するためにインストールする必要がある追加プラグインです。

  1. Splunk ポータルで、[アプリ] > [その他のアプリを検索] に移動します。

    Splunk アプリをもっと探す

  2. 検索バーに「ADM サービスイベント/データの CIM 正規化」と入力し、Enterキーを押してアドオンを入手し、[インストール] をクリックします。

    CIM ノーマライザー

Splunkでサンプルダッシュボードを用意する

Splunk CIM をインストールしたら、WAF と Bot のテンプレートと SSL 証明書インサイトを使用してサンプルダッシュボードを準備する必要があります。ダッシュボードテンプレート (.tgz) ファイルをダウンロードし、任意のエディター (メモ帳など) を使用してその内容をコピーし、データを Splunk に貼り付けてダッシュボードを作成できます。

注:

サンプルダッシュボードを作成する以下の手順は、WAF と Bot、および SSL 証明書インサイトの両方に適用できます。必要なjsonファイルを使用する必要があります。

  1. Citrixd のダウンロードページにログオンし、 オブザーバビリティ統合にあるサンプルダッシュボードをダウンロードします

  2. jsonファイルを抽出し、任意のエディターを使用してファイルを開き、ファイルからデータをコピーします。

    注:

    抽出すると、2つのjsonファイルが作成されます。adm_splunk_security_violations.jsonを使用して WAF と Bot のサンプルダッシュボードを作成し、 adm_splunk_ssl_certificate.json を使用して SSL 証明書インサイトのサンプルダッシュボードを作成します。

  3. Splunk ポータルで、[ 検索とレポート] > [ダッシュボード ] に移動し、[ 新しいダッシュボードの作成] をクリックします。

    ダッシュボードの作成

  4. ダッシュボードの新規作成 」ページで、次のパラメータを指定します。

    1. ダッシュボードタイトル -任意のタイトルを入力します。

    2. 説明 -必要に応じて、参照用の説明を入力できます。

    3. 権限 -要件に応じて [ 非公開 ] または [ アプリ内で共有 ] を選択します。

    4. [ ダッシュボードStudio] を選択します。

    5. 任意のレイアウト ([絶対 ] または [ グリッド]) を選択し、[ 作成] をクリックします。

      ダッシュボードパラメーター

      作成」をクリックした後、レイアウトから「 ソース 」アイコンを選択します。

      ソースレイアウト

  5. 既存のデータを削除し、ステップ 2 でコピーしたデータを貼り付けて、[ 戻る] をクリックします。

  6. [Save] をクリックします。

    Splunkで次のサンプルダッシュボードを表示できます。

    サンプルダッシュボード

データをSplunkにエクスポートするようにNetScalerコンソールを設定する

これで、Splunkですべての準備が整いました。最後のステップは、サブスクリプションを作成してトークンを追加することによってNetScaler Consoleを構成することです。

次の手順を完了すると、NetScaler コンソールで現在利用できるSplunkの更新済みダッシュボードを表示できます。

  1. NetScaler コンソールにログオンします。

  2. [ 設定] > [オブザーバビリティ統合]に移動します。

  3. インテグレーション 」ページで、「 追加」をクリックします。

  4. サブスクリプションの作成 」ページで、次の詳細を指定します:

    1. [ サブスクリプション名] フィールドに任意の名前を指定します

    2. ソースとして「NetScaler コンソール」を選択し、[次へ] をクリックします。

    3. Splunk を選択し、「 設定」をクリックします。「 エンドポイントの設定 」ページで:

      1. エンドポイント URL — Splunk エンドポイントの詳細を指定します。終点はhttps://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event形式でなければなりません。

        注:

        セキュリティ上の理由から HTTPS を使用することをお勧めします。

        • SPLUNK_PUBLIC_IP — Splunk に設定された有効な IP アドレス。

        • SPLUNK_HEC_PORT — HTTP イベントエンドポイントの設定時に指定したポート番号を示します。デフォルトのポート番号は 8088 です。

        • サービス/コレクター/イベント — HEC アプリケーションのパスを示します。

      2. 認証トークン — Splunk から認証トークンをコピーして貼り付けます。

      3. [Submit] をクリックします。

    4. [次へ] をクリックします。

    5. [ インサイトの追加 ] をクリックすると、[ フィーチャの選択 ] タブでエクスポートするフィーチャを選択し、[ 選択項目の追加] をクリックします。

    6. [次へ] をクリックします。

    7. [インスタンスの選択 ] タブでは、[ すべてのインスタンスを選択] または [ カスタム選択] を選択し、[ 次へ] をクリックします。

      • すべてのインスタンスを選択 -すべてのNetScalerインスタンスからSplunkにデータをエクスポートします。

      • カスタム選択-一覧からNetScalerインスタンスを選択できます 。リストから特定のインスタンスを選択した場合、データは選択したNetScalerインスタンスからのみSplunkにエクスポートされます。

    8. [Submit] をクリックします。

      注:

      選択したインサイトのデータは、NetScaler コンソールで違反が検出された直後にSplunkにプッシュされます。

Splunk のダッシュボードを表示する

NetScalerコンソールで構成を完了すると、イベントがSplunkに表示されます。

これで、追加の手順なしに、更新されたダッシュボードを Splunk で表示する準備が整いました。

Splunk に移動し、作成したダッシュボードをクリックすると、更新されたダッシュボードが表示されます。

以下は、更新されたWAFとボットのダッシュボードの例です。

更新されたダッシュボード

次のダッシュボードは、更新された SSL 証明書インサイトダッシュボードの例です。

SSL証明書

ダッシュボードとは別に、サブスクリプションを作成した後にSplunkでデータを表示することもできます

  1. Splunk で [ 検索とレポート] をクリックします。

  2. 検索バーで:

    • sourcetype="bot"またはsourcetype="waf"を入力してリストから期間を選択すると、Bot/WAF データが表示されます。

    • SSL 証明書のインサイトデータを表示するには、sourcetype="ssl"を入力してリストから期間を選択します。

    • sourcetype="gateway_insights"を入力して期間をリストから選択すると、Gateway Insightデータが表示されます。