Splunkとの統合

NetScaler Console を Splunk と統合して、次の分析を表示できるようになりました。

Splunk アドオンを使用すると、次のことが可能になります。

NetScaler コンソールは、ボット、WAF、SSL イベントを収集し、定期的に Splunk に送信します。 Splunk Common Information Model (CIM) アドオンは、イベントを CIM 互換データに変換します。 管理者は、CIM 互換データを使用して、Splunk ダッシュボードでイベントを表示できます。

統合を成功させるには、次のことが必要です。

オンプレミスの NetScaler コンソールからデータを受信するように Splunk を構成する

Splunk では、次の操作を行う必要があります。

  1. Splunk HTTPイベントコレクターエンドポイントを設定し、トークンを生成する

  2. Splunk Common Information Model (CIM)アドオンをインストールする

  3. CIM ノーマライザーをインストールする(WAF とボットインサイトにのみ適用)

  4. Splunkでサンプルダッシュボードを準備する

Splunk HTTPイベントコレクターエンドポイントを設定し、トークンを生成する

まず、Splunk で HTTP イベント コレクターを設定する必要があります。 この設定により、NetScaler コンソールと Splunk の統合が可能になり、データを送信できるようになります。 次に、Splunk でトークンを生成する必要があります。

  1. Splunk にログオンします。

  2. 設定 > データ入力 > HTTP イベント コレクター に移動し、 新規追加をクリックします。

  3. 次のパラメータを指定します。

    1. 名前: 任意の名前を指定します。

    2. ソース名のオーバーライド (オプション): 値を設定すると、HTTP イベント コレクターのソース値がオーバーライドされます。

    3. 説明(オプション):説明を指定します。

    4. 出力グループ (オプション): デフォルトでは、このオプションは「なし」として選択されています。

    5. インデクサー確認を有効にする: NetScaler コンソールはこのオプションをサポートしていません。 このオプションを選択しないことをお勧めします。

      イベントコレクターパラメータ

  4. 次へをクリックします。

  5. オプションで、 入力設定 ページで追加の入力パラメータを設定できます。

  6. レビュー をクリックして入力内容を確認し、 送信をクリックします。

    トークンが生成されます。 NetScaler コンソールで詳細を追加するときは、このトークンを使用する必要があります。

    Splunkトークン

Splunk共通情報モデルをインストールする

Splunk では、Splunk CIM アドオンをインストールする必要があります。 このアドオンは、NetScaler コンソールから受信したデータが、取り込まれたデータを正規化し、同等のイベントに対して同じフィールド名とイベント タグを使用して共通の標準と一致するようにします。

注記

Splunk CIM アドオンがすでにインストールされている場合は、この手順を無視できます。

  1. Splunk にログオンします。

  2. アプリ > その他のアプリを検索に移動します。

    Splunkでさらに多くのアプリを見つける

  3. 検索バーに「 CIM 」と入力し、「 Enter 」を押して「 Splunk Common Information Model (CIM) アドオン」を取得し、「 インストール」をクリックします。

    スプランクCIM

CIMノーマライザーをインストールする

CIM ノーマライザーは、Splunk で WAF と