This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 高级分析
NetScaler 高级分析会检查 NetScaler 收集的数据,并提取有关其性能的宝贵见解。通过利用高级分析的力量,管理员可以深入了解网络的性能,并可以采取主动措施来增强整体网络的可靠性、性能和安全性。
分析通常包括检查历史数据,以深入了解过去的事件和行为。高级分析使用更复杂的技术来深入了解过去的事件,并预测未来的趋势和潜在结果。
NetScaler 高级分析的优势
NetScaler 高级分析为您提供以下好处:
- 尽早发现异常网络行为
- 改善安全态势
- 优化资源分配
- 对应用程序级流量模式的更深入理解
Splunk 上的 NetScaler 高级分析
NetScaler 高级分析使用第三方观察工具(例如 Splunk)收集和分析网络流量数据。NetScaler 高级分析旨在开发一个强大的系统,该系统能够持续监视网络流量,分析应用层的交易,并标记交易字节超过预定义阈值(上载和下载交易字节)的实例。
NetScaler 采用包括统计方法在内的异常检测技术来识别任何异常行为。这些技术利用过去21天的数据为所谓的正常行为建立可靠的基线。NetScaler 会实时密切关注传入流量。它采用先进的算法来定义正常交易的阈值。这些阈值是动态的,这意味着它们会根据历史数据和领域知识进行持续调整。每当交易超过预定义的阈值时,系统会立即将其标记以供进一步调查。
当检测到异常时,NetScaler 会通知管理员进行调查并采取操作。该通知可确保及时识别和处理任何潜在的欺诈或可疑活动,从而为所有用户提供更安全、更有保障的环境。您可以使用电子邮件或 Splunk 支持的任何通知选项进行通知。要了解有关通知选项的更多信息,请参阅配置警报操作。
在 Splunk 上配置 NetScaler 高级分析
要在 Splunk 上配置 NetScaler 高级分析应用程序,请执行以下步骤:
必备条件
-
确保 NetScaler 正在将指标和交易数据导出到 Splunk。
-
交易数据:有关如何配置将数据从 NetScaler 导出到 Splunk 的信息,请参阅直接将事务日志从 NetScaler 导出到 Splunk。除此配置外,您还必须启用以下参数才能在分析配置文件中导出 UserAgent 和 URL 变量:
-httpURL ENABLED -httpUserAgent ENABLED <!--NeedCopy-->命令示例
set analytics profile <http analytics profile name> -collectors <splunk hec endpoint service name> -type webinsight -httpURL ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -analyticsAuthToken "Splunk <HEC_TOKEN HERE>" -analyticsEndpointUrl "/services/collector/event" -analyticsEndpointContentType "application/json" <!--NeedCopy-->启用现有分析配置文件中的用户代理和 URL 的导出:
set analytics profile <http analytics profile name> --httpClientSideMeasurements ENABLED -httpURL ENABLED -httpUserAgent ENABLED <!--NeedCopy--> -
指标:有关如何将指标直接从 NetScaler 导出到 Splunk 的信息,请参阅将指标直接从 NetScaler 导出到 Splunk。
-
-
确保在 Splunk 上安装了 Python for Scientific computing 应用程序。要安装此应用程序,请导航至“应用程序”>“管理应用程序”,单击“浏览更多应用程序”,搜索 Python for Scientific computing 应用程序,然后单击“安装”。
-
从 https://www.citrix.com/downloads/citrix-adc/splunk-apps/list-of-apps.html 下载
.spl文件。
配置
- 登录 Splunk。
- 导航到“应用程序”>“管理应用程序”,然后单击“从文件安装”。
-
单击“选择文件”并上载
.spl文件。
- 单击“上载”,然后单击“继续到应用程序设置页面”。
- 在适用于 Splunk 的 NetScaler 高级分析应用程序配置页面上,在以下字段中输入数据:
- 输入收集 Netscaler 事件的索引名称:存储来自 NetScaler 的数据的索引。
- 输入索引名称以保存从 Netscaler 高级分析应用生成的结果:保存 Splunk 应用生成的数据的索引(保存的索引必须至少保存 21 天的数据)。
-
单击“完成应用程序设置”。
- 上载完成后,导航到应用程序,然后单击 NetScaler 高级分析。
注意:
应用程序至少需要 20 天才能开始预测异常情况。
Splunk 上的 NetScaler 高级分析控制板
NetScaler 高级分析见解由多个控制板组成,这些控制板提供有关各种用例的数据。
异常大的下载交易
您可以使用“异常大的下载交易”控制板来分析从应用程序中下载了异常大量数据的交易。
示例:如果攻击者设法侵入应用程序并尝试下载包含敏感信息的大型数据库,则在异常大的下载事务控制板中将这种情况捕捉为异常情况。使用控制面板,您可以获得交易的详细信息,例如客户端 IP 地址、事件时间、请求 URL 和用户代理。
您可以根据以下类别筛选数据:
- Time(时间)
- NetScaler IP 地址
- 应用程序名称
在选定的时间范围内,控制板显示排名靠前的客户端 IP 地址、排名靠前的 UserAgent 和出现异常的顶级 URL。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。
对于选定的 NetScaler IP 地址和应用程序名称,将显示一个图表,其中显示了所有交易,包括下载大小较大的交易。该图包含已下载字节、最大 预测下载字节数和异常情况的详细信息。
您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。
异常大的上载交易
您可以使用异常大的上载交易控制板来分析向应用程序上载的数据量异常高的交易。
示例:如果攻击者设法入侵应用程序并尝试上载希望耗尽存储空间的大型文件,则在异常大的上载交易控制板中,这种情况会被报告为异常情况。使用此控制面板,您可以获得异常交易的详细信息,例如客户端 IP 地址、事件时间、请求 URL 和用户代理。
您可以根据以下类别筛选数据:
- Time(时间)
- NetScaler IP 地址
- 应用程序名称
在选定的时间范围内,控制板显示顶级客户端 IP 地址、热门用户代理和出现异常的顶级 URL。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。
对于选定的 NetScaler IP 地址和应用程序名称,将显示一个图表,其中显示了所有交易,包括上载大小较大的交易。该图包含上载字节数、最大预测上载字节数和异常情况的详细信息。
您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。
流量激增 - 下载量
您可以使用流量激增 - 下载量控制板来分析通过机器人从应用程序下载数据的异常场景。控制板会突出显示下载速率是否异常增加。
示例:如果用户或机器人尝试以比通常的下载速度更快地下载大量数据,则这种情况被视为流量激增并报告为异常。假设每天的平均下载数据为 500 MB,如果机器人尝试下载 2 GB 的数据,则这种情况被视为异常高的下载数据量。
您可以根据以下类别筛选数据:
- Time(时间)
- NetScaler IP 地址
- 应用程序名称
在选定的时间范围内,控制面板显示已报告异常的 NetScaler IP 地址和应用程序名称列表。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。
对于选定的 NetScaler IP 地址和应用程序名称,将显示一个显示数据下载量、最大预测数据下载量和异常情况的图表。
您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。
流量激增 - 请求率
您可以使用“流量激增 - 请求率”控制板来分析应用程序收到的异常请求率。您可以控制来自或流向应用程序的传入和传出流量。机器人攻击可以执行异常的高请求速率。
示例:如果您将应用程序配置为每分钟允许 100 个请求,并且观察到每分钟 350 个请求,则将这种情况视为可能的机器人攻击并报告为异常。
您可以根据以下类别筛选数据:
- Time(时间)
- NetScaler IP 地址
- 应用程序名称
您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。
对于选定的 NetScaler IP 地址和应用程序名称,将显示一个显示请求速率、最大预测请求速率和异常情况的图表。
您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.