Application Delivery Management

Splunkとの統合

NetScaler ConsoleをSplunkと統合して、以下の分析を表示できるようになりました。

  • WAF 違反

  • ボット違反

  • SSL 証明書インサイト

  • Gateway insights

  • イベントと指標

  • HDX insights

Splunk アドオンにより、次のことが可能になります:

  • 他のすべての外部データソースを結合します。

  • 一元化された場所で分析の可視性を高めます。

NetScalerコンソールは、ボット、WAF、SSLイベントを収集し、定期的にSplunkに送信します。Splunk 共通情報モデル (CIM) アドオンは、イベントを CIM 互換データに変換します。管理者は CIM 互換データを使用して、Splunk ダッシュボードでイベントを表示できます。

統合を成功させるには、次のことを行う必要があります:

オンプレミスのNetScalerコンソールからデータを受信するようにSplunkを構成

Splunkでは、次のことを行う必要があります:

  1. Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

  2. Splunk 共通情報モデル (CIM) アドオンをインストールする

  3. CIM ノーマライザーのインストール (WAF とボットインサイトにのみ適用)

  4. Splunkでサンプルダッシュボードを用意する

Splunk HTTP イベントコレクターエンドポイントをセットアップしてトークンを生成する

最初に Splunk で HTTP イベントコレクターを設定する必要があります。この設定により、NetScalerコンソールとSplunkを統合してデータを送信できるようになります。次に、Splunkで次のことを行うためのトークンを生成する必要があります:

  • NetScaler コンソールと Splunk 間の認証を有効にします。

  • イベントコレクターエンドポイントを介してデータを受信します。

  1. Splunk にログオンします。

  2. [ 設定] > [データ入力] > [HTTP イベントコレクター ] に移動し、[ 新規追加] をクリックします。

  3. 次のパラメータを指定します。

    1. 名前:任意の名前を指定します。

    2. ソース名の上書き (オプション): 値を設定すると、HTTP イベントコレクターのソース値が上書きされます。

    3. 説明 (オプション): 説明を指定します。

    4. 出力グループ (オプション): デフォルトでは、このオプションは「なし」に設定されています。

    5. インデクサー確認を有効にする:NetScaler Consoleはこのオプションをサポートしていません。このオプションは選択しないことをお勧めします。

      イベントコレクターのパラメーター

  4. [次へ] をクリックします。

  5. オプションで、 入力設定ページで追加の入力パラメータを設定できます

  6. 確認 」をクリックして入力内容を確認し、「 送信」をクリックします。

    トークンが生成されます。NetScaler コンソールに詳細を追加するときは、このトークンを使用する必要があります。

    Splunk トークン

Splunk 共通情報モデルのインストール

Splunk では、Splunk CIM アドオンをインストールする必要があります。このアドオンにより、NetScaler Consoleから受信したデータが取り込まれたデータを正規化し、同等のイベントに同じフィールド名とイベントタグを使用して共通の標準に一致させることができます。

Splunk CIM アドオンを既にインストールしている場合は、このステップは無視してかまいません。

  1. Splunk にログオンします。

  2. [ アプリ] > [その他のアプリを検索] に移動します。

    Splunk アプリをもっと探す

  3. 検索バーに CIM と入力し、 Enter キーを押して Splunk 共通情報モデル (CIM) アドオンを取得し、[ インストール] をクリックします。

    Splunk CIM

CIM ノーマライザーのインストール

CIM ノーマライザーは、Splunk で WAF とボットのインサイトを表示するためにインストールする必要がある追加プラグインです。

  1. Splunk ポータルで、[アプリ] > [その他のアプリを検索] に移動します。

    Splunk アプリをもっと探す

  2. 検索バーに「NetScaler Consoleサービスイベント/データのCIM正規化」と入力し、Enterキーを押してアドオンを取得し 、[インストール] をクリックします。

    CIM ノーマライザー

Splunkでサンプルダッシュボードを用意する

Splunk CIM をインストールしたら、WAF と Bot、SSL 証明書のインサイト、イベントとメトリクスのテンプレートを使用してサンプルダッシュボードを準備する必要があります。ダッシュボードテンプレート (.tgz) ファイルをダウンロードし、任意のエディター (メモ帳など) を使用してその内容をコピーし、データを Splunk に貼り付けてダッシュボードを作成できます。

Note:

サンプルダッシュボードを作成する以下の手順は、すべてのユースケースに適用できます。必要なjsonファイルを使用する必要があります。

  1. Citrix のダウンロードページにログオンし、「 サードパーティ製エンドポイントのサンプルダッシュボード」にあるサンプルダッシュボードをダウンロードします。

  2. jsonファイルを抽出し、任意のエディターを使用してファイルを開き、ファイルからデータをコピーします。

    解凍すると、3つのjsonファイルが作成されます。以下を使用してください。

    • WAF と Bot のサンプルダッシュボードを作成するためのadm_splunk_security_violations.jsonファイル。

    • SSL 証明書インサイトサンプルダッシュボードを作成するためのadm_splunk_ssl_certificate.jsonファイル。

    • adm_splunk_events_and_metrics_history.json ファイルを使用して、NetScaler Consoleのイベントとメトリックダッシュボードを作成します。

  3. Splunk ポータルで、[ 検索とレポート] > [ダッシュボード ] に移動し、[ 新しいダッシュボードの作成] をクリックします。

    ダッシュボードの作成

  4. ダッシュボードの新規作成 」ページで、次のパラメータを指定します。

    1. ダッシュボードタイトル -任意のタイトルを入力します。

    2. 説明 -必要に応じて、参照用の説明を入力できます。

    3. 権限 -要件に応じて [ 非公開 ] または [ アプリ内で共有 ] を選択します。

    4. [ ダッシュボードStudio] を選択します。

    5. 任意のレイアウト ([絶対 ] または [ グリッド]) を選択し、[ 作成] をクリックします。

      ダッシュボードパラメーター

      作成」をクリックした後、レイアウトから「 ソース 」アイコンを選択します。

      ソースレイアウト

  5. 既存のデータを削除し、ステップ 2 でコピーしたデータを貼り付けて、[ 戻る] をクリックします。

  6. [Save] をクリックします。

    サンプルダッシュボードを表示できます。

    以下は、WAF と bot のサンプルダッシュボードの例です。

    サンプルダッシュボード

データをSplunkにエクスポートするようにオンプレミスでNetScalerコンソールを設定

これで、Splunkですべての準備が整いました。最後のステップは、サブスクリプションを作成してトークンを追加することによってNetScaler Consoleを構成することです。

次の手順を完了すると、NetScaler コンソールで現在利用できるSplunkの更新済みダッシュボードを表示できます。

  1. NetScaler コンソールにログオンします。

  2. [ 設定] > [オブザーバビリティ統合]に移動します。

  3. インテグレーション 」ページで、「 追加」をクリックします。

  4. サブスクリプションの作成 」ページで、次の詳細を指定します:

    1. [ サブスクリプション名] フィールドに任意の名前を指定します

    2. ソースとして「NetScaler コンソール」を選択し、[次へ] をクリックします。

    3. Splunk を選択し、「 設定」をクリックします。「 エンドポイントの設定 」ページで:

      1. エンドポイント URL — Splunk エンドポイントの詳細を指定します。終点はhttps://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event形式でなければなりません。

        Note:

        セキュリティ上の理由から HTTPS を使用することをお勧めします。

        • SPLUNK_PUBLIC_IP — Splunk に設定された有効な IP アドレス。

        • SPLUNK_HEC_PORT — HTTP イベントエンドポイントの設定時に指定したポート番号を示します。デフォルトのポート番号は 8088 です。

        • サービス/コレクター/イベント — HEC アプリケーションのパスを示します。

      2. 認証トークン — Splunk から認証トークンをコピーして貼り付けます。

      3. [Submit] をクリックします。

    4. [次へ] をクリックします。

    5. [ インサイトの追加 ] をクリックすると、[ フィーチャの選択 ] タブでエクスポートするフィーチャを選択し、[ 選択項目の追加] をクリックします。

      • リアルタイムエクスポート -選択した違反は直ちに Splunk にエクスポートされます。

      • 定期エクスポート -選択した違反が、選択した期間に従って Splunk にエクスポートされます。

      • 頻度リストから [ 毎日 ] または [ 毎時 ] を選択します。選択内容に基づいて、NetScalerコンソールは詳細をSplunkにエクスポートします。

      • [次へ] をクリックします。

    6. [インスタンスの選択 ] タブでは、[ すべてのインスタンスを選択] または [ カスタム選択] を選択し、[ 次へ] をクリックします。

      • すべてのインスタンスを選択 -すべてのNetScalerインスタンスからSplunkにデータをエクスポートします。

      • カスタム選択-一覧からNetScalerインスタンスを選択できます 。リストから特定のインスタンスを選択した場合、データは選択したNetScalerインスタンスからのみSplunkにエクスポートされます。

    7. [Submit] をクリックします。

      • Periodic Export オプションで初めて設定すると、選択した機能のデータが直ちに Splunk にプッシュされます。次のエクスポート頻度は、選択内容に基づいて行われます (毎日または毎時)。

      • リアルタイムエクスポートオプションを使用して初めて構成する場合 、NetScaler Consoleで違反が検出されるとすぐに、選択した機能のデータがSplunkにプッシュされます。

Splunk のダッシュボードを表示する

NetScalerコンソールで構成を完了すると、データがNetScalerコンソールからエクスポートされ、イベントがSplunkに表示されます。

これで、追加の手順なしに、更新されたダッシュボードを Splunk で表示する準備が整いました。

Splunk に移動し、作成したダッシュボードをクリックすると、更新されたダッシュボードが表示されます。

以下は、更新されたWAFとボットのダッシュボードの例です。

更新されたダッシュボード

次のダッシュボードは、更新された SSL 証明書インサイトダッシュボードの例です。

SSL証明書

次のダッシュボードは、更新されたイベントとメトリクスダッシュボードの例です。

Note:

メモリ、CPU、ディスクの使用状況データには、NetScaler コンソールからの現在の値が表示されます。これらの値の上昇傾向と下降傾向は、5 分ごとの前回の値の比較に基づいて表示されます。

イベントダッシュボード

ダッシュボードとは別に、 サブスクリプションの作成後にSplunkでデータを表示することもできます

  1. Splunk で [ 検索とレポート] をクリックします。

  2. 検索バーで:

    • sourcetype="metrics"を入力して一覧から期間を選択すると、NetScaler Consoleのメトリックデータが表示されます。

    • sourcetype="event"を入力して一覧から期間を選択すると、NetScaler Consoleのイベントデータが表示されます。

    • sourcetype="bot"またはsourcetype="waf"を入力してリストから期間を選択すると、Bot/WAF データが表示されます。

    • SSL 証明書のインサイトデータを表示するには、sourcetype="ssl"を入力してリストから期間を選択します。

    • sourcetype="gateway_insights"を入力して期間をリストから選択すると、Gateway Insightデータが表示されます。

      • sourcetype="hdx_insights"を入力して期間をリストから選択すると、Gateway Insightデータが表示されます。