ADC

NetScaler 高级分析

NetScaler 高级分析会检查 NetScaler 收集的数据,并提取有关其性能的宝贵见解。通过利用高级分析的力量,管理员可以深入了解网络的性能,并可以采取主动措施来增强整体网络的可靠性、性能和安全性。

分析通常包括检查历史数据,以深入了解过去的事件和行为。高级分析使用更复杂的技术来深入了解过去的事件,并预测未来的趋势和潜在结果。

NetScaler 高级分析的优势

NetScaler 高级分析为您提供以下好处:

  • 尽早发现异常网络行为
  • 改善安全态势
  • 优化资源分配
  • 对应用程序级流量模式的更深入理解

Splunk 上的 NetScaler 高级分析

NetScaler 高级分析使用第三方观察工具(例如 Splunk)收集和分析网络流量数据。NetScaler 高级分析旨在开发一个强大的系统,该系统能够持续监视网络流量,分析应用层的事务,并标记事务字节超过预定义阈值(上载和下载事务字节)的实例。

NetScaler 采用包括统计方法在内的异常检测技术来识别任何异常行为。这些技术利用过去21天的数据为所谓的正常行为建立可靠的基线。NetScaler 会实时密切关注传入流量。它采用先进的算法来定义正常事务的阈值。这些阈值是动态的,这意味着它们会根据历史数据和领域知识进行持续调整。每当事务超过预定义的阈值时,系统会立即将其标记以供进一步调查。

当检测到异常时,NetScaler 会通知管理员进行调查并采取操作。该通知可确保及时识别和处理任何潜在的欺诈或可疑活动,从而为所有用户提供更安全、更有保障的环境。您可以使用电子邮件或 Splunk 支持的任何通知选项进行通知。要了解有关通知选项的更多信息,请参阅配置警报操作

在 Splunk 上配置 NetScaler 高级分析

要在 Splunk 上配置 NetScaler 高级分析应用程序,请执行以下步骤:

必备条件

  • 确保 NetScaler 正在将指标和事务数据导出到 Splunk。

    • 事务数据:有关如何配置将数据从 NetScaler 导出到 Splunk 的信息,请参阅直接将事务日志从 NetScaler 导出到 Splunk。除此配置外,您还必须启用以下参数才能在分析配置文件中导出 UserAgent 和 URL 变量:

       -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      

      命令示例

       set analytics profile <http analytics profile name> -collectors <splunk hec endpoint service name> -type webinsight -httpURL ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -analyticsAuthToken "Splunk <HEC_TOKEN HERE>" -analyticsEndpointUrl "/services/collector/event" -analyticsEndpointContentType "application/json"
       <!--NeedCopy-->
      

      启用现有分析配置文件中的用户代理和 URL 的导出:

       set analytics profile  <http analytics profile name> --httpClientSideMeasurements ENABLED -httpURL ENABLED -httpUserAgent ENABLED
       <!--NeedCopy-->
      
    • 指标:有关如何将指标直接从 NetScaler 导出到 Splunk 的信息,请参阅将指标直接从 NetScaler 导出到 Splunk

  • 确保在 Splunk 上安装了 Python for Scientific computing 应用程序。要安装此应用程序,请导航至“应用程序”>“管理应用程序”,单击“浏览更多应用程序”,搜索 Python for Scientific computing 应用程序,然后单击“安装”。

  • https://www.citrix.com/downloads/citrix-adc/splunk-apps/list-of-apps.html 下载 .spl 文件。

  • 确保 Splunk 上存在可以存储 21 天数据的索引。您可以使用现有索引或创建类型为事件的新索引。有关如何创建索引的信息,请参阅 Splunk 文档

配置

  1. 登录 Splunk。
  2. 导航到“应用程序”>“管理应用程序”,然后单击“从文件安装”。
  3. 单击“选择文件”并上载 .spl 文件。

    从文件安装应用

  4. 单击“上载”,然后单击“继续到应用程序设置页面”
  5. 适用于 Splunk 的 NetScaler 高级分析应用程序配置页面上,在以下字段中输入数据:
    1. 输入收集 NetScaler 事件的索引名称:存储来自 NetScaler 的数据的索引。
    2. 输入索引名称以保存从 NetScaler 高级分析应用生成的结果:保存 Splunk 应用生成的数据的索引。该索引必须存储至少 21 天的数据。

    高级分析配置索引

  6. 单击“完成应用程序设置”

  7. 上载完成后,导航到应用程序,然后单击 NetScaler 高级分析

注意:

应用程序至少需要 20 天才能开始预测异常情况。

Splunk 上的 NetScaler 高级分析控制板

NetScaler 高级分析见解由多个控制板组成,这些控制板提供有关各种用例的数据。

异常大的下载事务

您可以使用“异常大的下载事务”控制板来分析从应用程序中下载了异常大量数据的事务。

示例:如果攻击者设法侵入应用程序并尝试下载包含敏感信息的大型数据库,则在异常大的下载事务控制板中将这种情况捕捉为异常情况。使用控制面板,您可以获得事务的详细信息,例如客户端 IP 地址、事件时间、请求 URL 和用户代理。

您可以根据以下类别筛选数据:

  • Time(时间)
  • NetScaler IP 地址
  • 应用程序名称

在选定的时间范围内,控制板显示排名靠前的客户端 IP 地址、排名靠前的 UserAgent 和出现异常的顶级 URL。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。

异常大的下载事务

对于选定的 NetScaler IP 地址和应用程序名称,将显示一个图表,其中显示了所有事务,包括下载大小较大的事务。该图包含已下载字节、最大 预测下载字节数和异常情况的详细信息。

异常大的下载事务图

您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。

异常大的上载事务

您可以使用异常大的上载事务控制板来分析向应用程序上载的数据量异常高的事务。

示例:如果攻击者设法入侵应用程序并尝试上载希望耗尽存储空间的大型文件,则在异常大的上载事务控制板中,这种情况会被报告为异常情况。使用此控制面板,您可以获得异常事务的详细信息,例如客户端 IP 地址、事件时间、请求 URL 和用户代理。

您可以根据以下类别筛选数据:

  • Time(时间)
  • NetScaler IP 地址
  • 应用程序名称

在选定的时间范围内,控制板显示顶级客户端 IP 地址、热门用户代理和出现异常的顶级 URL。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。

对于选定的 NetScaler IP 地址和应用程序名称,将显示一个图表,其中显示了所有事务,包括上载大小较大的事务。该图包含上载字节数、最大预测上载字节数和异常情况的详细信息。

您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。

流量激增 - 下载量

您可以使用流量激增 - 下载量控制板来分析通过机器人从应用程序下载数据的异常场景。控制板会突出显示下载速率是否异常增加。

示例:如果用户或机器人尝试以比通常的下载速度更快地下载大量数据,则这种情况被视为流量激增并报告为异常。假设每天的平均下载数据为 500 MB,如果机器人尝试下载 2 GB 的数据,则这种情况被视为异常高的下载数据量。

您可以根据以下类别筛选数据:

  • Time(时间)
  • NetScaler IP 地址
  • 应用程序名称

在选定的时间范围内,控制面板显示已报告异常的 NetScaler IP 地址和应用程序名称列表。您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。

流量激增 - 下载量

对于选定的 NetScaler IP 地址和应用程序名称,将显示一个显示数据下载量、最大预测数据下载量和异常情况的图表。

您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。

流量激增 - 请求率

您可以使用“流量激增 - 请求率”控制板来分析应用程序收到的异常请求率。您可以控制来自或流向应用程序的传入和传出流量。机器人攻击可以执行异常的高请求速率。

示例:如果您将应用程序配置为每分钟允许 100 个请求,并且观察到每分钟 350 个请求,则将这种情况视为可能的机器人攻击并报告为异常。

您可以根据以下类别筛选数据:

  • Time(时间)
  • NetScaler IP 地址
  • 应用程序名称

您可以根据 NetScaler IP 地址和应用程序名称筛选数据,进一步深入了解异常情况。

对于选定的 NetScaler IP 地址和应用程序名称,将显示一个显示请求速率、最大预测请求速率和异常情况的图表。

您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。

流量激增 - 请求率

服务器延迟异常

您可以使用“服务器延迟异常”控制板来实时查看服务器延迟指标,还可以检测服务器延迟的异常偏差。控制板可突出显示异常延迟模式,支持主动调查,并有助于解决问题。

您可以根据以下类别筛选数据:

  • Time(时间)
  • NetScaler IP 地址
  • 服务名称

您可以根据 NetScaler IP 地址和服务名称筛选数据,进一步深入了解异常情况。

对于选定的 NetScaler IP 地址和服务名称,将显示显示服务器延迟的图表。

该图显示延迟、最大预测延迟和异常。

您可以将数据导出为 PDF,克隆控制板并将控制板设置为主控制板。

服务器延迟异常