Application Delivery Management

Splunkとの統合

NetScaler ADMをSplunkと統合して、以下の分析を表示できるようになりました。

  • WAF 違反

  • ボット違反

  • SSL 証明書インサイト

Splunk アドオンにより、次のことが可能になります。

  • 他のすべての外部データソースを結合します。

  • 一元化された場所で分析の可視性を高めます。

NetScaler ADMはボット、WAF、SSLイベントを収集し、定期的にSplunkに送信します。Splunk 共通情報モデル (CIM) アドオンは、イベントを CIM 互換データに変換します。管理者は CIM 互換データを使用して、Splunk ダッシュボードでイベントを表示できます。

統合を成功させるには、次のことを行う必要があります。

NetScaler ADM からデータを受信するようにSplunkを設定

Splunkでは、次のことを行う必要があります。

  1. Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

  2. Splunk 共通情報モデル (CIM) アドオンをインストールする

  3. Splunkでサンプルダッシュボードを用意する

Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

最初に Splunk で HTTP イベントコレクターを設定する必要があります。この設定により、ADM と Splunk を統合してデータを送信できます。次に、Splunkで次のことを行うためのトークンを生成する必要があります。

  • ADM と Splunk 間の認証を有効にします。

  • イベントコレクターエンドポイントを介してデータを受信します。

  1. Splunk にログオンします。

  2. [ 設定] > [データ入力] > [HTTP イベントコレクター ] に移動し、[ 新規追加] をクリックします。

  3. 次のパラメータを指定します。

    1. 名前:任意の名前を指定します。

    2. ソース名の上書き (オプション): 値を設定すると、HTTP イベントコレクターのソース値が上書きされます。

    3. 説明 (オプション): 説明を指定します。

    4. 出力グループ (オプション): デフォルトでは、このオプションは「なし」に設定されています。

    5. インデクサーの確認を有効にする:デフォルトでは、このオプションは選択されていません。

      イベントコレクターのパラメーター

  4. [次へ] をクリックします。

  5. オプションで、 入力設定ページで追加の入力パラメータを設定できます

  6. 確認 」をクリックして入力内容を確認し、「 送信」をクリックします。

    トークンが生成されます。NetScaler ADM で詳細を追加するときは、このトークンを使用する必要があります。

    Splunk トークン

Splunk 共通情報モデルのインストール

Splunk では、Splunk CIM アドオンをインストールする必要があります。このアドオンにより、NetScaler ADMから受信したデータが取り込まれたデータを正規化し、同等のイベントに対して同じフィールド名とイベントタグを使用して共通の標準に一致するようにします。

  1. Splunk にログオンします。

  2. [ アプリ] > [その他のアプリを検索] に移動します。

    Splunk アプリをもっと探す

  3. 検索バーに CIM と入力し、 Enter キーを押して Splunk 共通情報モデル (CIM) アドオンを取得し、[ インストール] をクリックします。

    Splunk CIM

Splunkでサンプルダッシュボードを用意する

Splunk CIM をインストールしたら、WAF と Bot のテンプレートと SSL 証明書インサイトを使用してサンプルダッシュボードを準備する必要があります。ダッシュボードテンプレート (.tgz) ファイルをダウンロードし、任意のエディター (メモ帳など) を使用してその内容をコピーし、データを Splunk に貼り付けてダッシュボードを作成できます。

注:

サンプルダッシュボードを作成する以下の手順は、WAF と Bot、および SSL 証明書インサイトの両方に適用できます。必要なjsonファイルを使用する必要があります。

  1. Citrixd のダウンロードページにログオンし、 オブザーバビリティ統合にあるサンプルダッシュボードをダウンロードします

  2. jsonファイルを抽出し、任意のエディターを使用してファイルを開き、ファイルからデータをコピーします。

    注:

    抽出すると、2つのjsonファイルが作成されます。adm_splunk_security_violations.jsonを使用して WAF と Bot のサンプルダッシュボードを作成し、 adm_splunk_ssl_certificate.json を使用して SSL 証明書インサイトのサンプルダッシュボードを作成します。

  3. Splunk ポータルで、[ 検索とレポート] > [ダッシュボード ] に移動し、[ 新しいダッシュボードの作成] をクリックします。

    ダッシュボードの作成

  4. ダッシュボードの新規作成 」ページで、次のパラメータを指定します。

    1. ダッシュボードタイトル -任意のタイトルを入力します。

    2. 説明 -必要に応じて、参照用の説明を入力できます。

    3. 権限 -要件に応じて [ 非公開 ] または [ アプリ内で共有 ] を選択します。

    4. [ ダッシュボードStudio] を選択します。

    5. 任意のレイアウト ([絶対 ] または [ グリッド]) を選択し、[ 作成] をクリックします。

      ダッシュボードパラメーター

      作成」をクリックした後、レイアウトから「 ソース 」アイコンを選択します。

      ソースレイアウト

  5. 既存のデータを削除し、ステップ 2 でコピーしたデータを貼り付けて、[ 戻る] をクリックします。

  6. [保存] をクリックします。

    Splunkで次のサンプルダッシュボードを表示できます。

    サンプルダッシュボード

データをSplunkにエクスポートするようにNetScaler ADMを設定する

これで、Splunkですべての準備が整いました。最後のステップは、サブスクリプションを作成してトークンを追加することによってNetScaler ADMを構成することです。

次の手順を完了すると、NetScaler ADMで現在使用可能な更新されたダッシュボードをSplunkで表示できます。

  1. NetScaler ADM にログオンします。

  2. [ 設定] > [エコシステム統合]に移動します。

  3. 購読 」ページで、「 追加」をクリックします。

  4. [ 登録する機能の選択 ] タブで、エクスポートする機能を選択し、[ 次へ] をクリックします。

    • リアルタイムエクスポート -選択した違反は直ちに Splunk にエクスポートされます。

    • 定期エクスポート -選択した違反が、選択した期間に従って Splunk にエクスポートされます。

      フィーチャを選択

  5. エクスポート構成を指定 」タブで:

    1. エンドポイントタイプ — リストから Splunk を選択します。

    2. エンドポイント — Splunk エンドポイントの詳細を指定します。終点はhttps://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/eventの形式でなければなりません。

      セキュリティ上の理由から HTTPS を使用することをお勧めします。

      • SPLUNK_PUBLIC_IP — Splunk に設定された有効な IP アドレス。

      • SPLUNK_HEC_PORT — HTTP イベントエンドポイントの設定時に指定したポート番号を示します。デフォルトのポート番号は 8088 です。

      • サービス/コレクター/イベント — HEC アプリケーションのパスを示します。

    3. 認証トークン — Splunk ページから認証トークンをコピーして貼り付けます。

    4. [次へ] をクリックします。

      サブスクリプションの作成

  6. 購読 」ページで:

    1. エクスポート頻度 — リストから [毎日] または [毎時] を選択します。選択内容に基づいて、NetScaler ADM は詳細を Splunk にエクスポートします。

      注:

      定期エクスポートで違反を選択した場合にのみ適用されます

    2. サブスクリプション名 — 任意の名前を指定します。

    3. 通知を有効にする 」チェックボックスを選択します。

    4. [Submit] をクリックします。

      Subscribe

      • Periodic Export オプションで初めて設定すると、選択した機能のデータが直ちに Splunk にプッシュされます。次のエクスポート頻度は、選択内容に基づいて行われます (毎日または毎時)。

      • 初めてリアルタイムエクスポートオプションを使用して構成すると 、NetScaler ADMで違反が検出されるとすぐに、選択した機能のデータがSplunkにプッシュされます。

Splunk のダッシュボードを表示する

NetScaler ADM で構成を完了すると、イベントがSplunkに表示されます。これで、追加の手順なしに、更新されたダッシュボードを Splunk で表示する準備が整いました。

Splunk に移動し、作成したダッシュボードをクリックすると、更新されたダッシュボードが表示されます。

以下は、更新されたWAFとボットのダッシュボードの例です。

更新されたダッシュボード

次のダッシュボードは、更新された SSL 証明書インサイトダッシュボードの例です。

SSL証明書