Splunkとの統合

NetScaler Console を Splunk と統合して、次の分析を表示できるようになりました。

• WAF違反

• ボット違反

• SSL証明書の洞察

• ゲートウェイの洞察

• イベントとメトリクス

• HDXインサイト

• NetScaler コンソール監査ログ

Splunk アドオンを使用すると、次のことが可能になります。

• 他のすべての外部データ ソースを結合します。

• 一元化された場所で分析の可視性を高めます。

NetScaler コンソールは、ボット、WAF、SSL イベントを収集し、定期的に Splunk に送信します。 Splunk Common Information Model (CIM) アドオンは、イベントを CIM 互換データに変換します。 管理者は、CIM 互換データを使用して、Splunk ダッシュボードでイベントを表示できます。

統合を成功させるには、次のことが必要です。

• NetScalerコンソールからデータを受信するようにSplunkを構成する

• NetScalerコンソールを設定してデータをSplunkにエクスポートする

• Splunkでダッシュボードを表示する

オンプレミスの NetScaler コンソールからデータを受信するように Splunk を構成する

Splunk では、次の操作を行う必要があります。

1. Splunk HTTPイベントコレクターエンドポイントを設定し、トークンを生成する

2. Splunk Common Information Model (CIM)アドオンをインストールする

3. CIM ノーマライザーをインストールする（WAF とボットインサイトにのみ適用）

4. Splunkでサンプルダッシュボードを準備する

Splunk HTTPイベントコレクターエンドポイントを設定し、トークンを生成する

まず、Splunk で HTTP イベント コレクターを設定する必要があります。 この設定により、NetScaler コンソールと Splunk の統合が可能になり、データを送信できるようになります。 次に、Splunk でトークンを生成する必要があります。

• NetScaler コンソールと Splunk 間の認証を有効にします。

• イベント コレクター エンドポイントを通じてデータを受信します。

1. Splunk にログオンします。

2. 設定 > データ入力 > HTTP イベント コレクター に移動し、 新規追加をクリックします。

3. 次のパラメータを指定します。

   1. 名前: 任意の名前を指定します。

   2. ソース名のオーバーライド (オプション): 値を設定すると、HTTP イベント コレクターのソース値がオーバーライドされます。

   3. 説明（オプション）：説明を指定します。

   4. 出力グループ (オプション): デフォルトでは、このオプションは「なし」として選択されています。

   5. インデクサー確認を有効にする: NetScaler コンソールはこのオプションをサポートしていません。 このオプションを選択しないことをお勧めします。

      

4. 次へをクリックします。

5. オプションで、 入力設定 ページで追加の入力パラメータを設定できます。

6. レビュー をクリックして入力内容を確認し、 送信をクリックします。

   トークンが生成されます。 NetScaler コンソールで詳細を追加するときは、このトークンを使用する必要があります。

   

Splunk共通情報モデルをインストールする

Splunk では、Splunk CIM アドオンをインストールする必要があります。 このアドオンは、NetScaler コンソールから受信したデータが、取り込まれたデータを正規化し、同等のイベントに対して同じフィールド名とイベント タグを使用して共通の標準と一致するようにします。

注記

Splunk CIM アドオンがすでにインストールされている場合は、この手順を無視できます。

1. Splunk にログオンします。

2. アプリ > その他のアプリを検索に移動します。

   

3. 検索バーに「 CIM 」と入力し、「 Enter 」を押して「 Splunk Common Information Model (CIM) アドオン」を取得し、「 インストール」をクリックします。

   

CIMノーマライザーをインストールする

CIM ノーマライザーは、Splunk で WAF と