-
-
-
-
-
-
-
-
-
-
-
-
-
-
将管理日志直接从 NetScaler 导出到 Splunk
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
将管理日志直接从 NetScaler 导出到 Splunk
现在,您可以按类别将管理日志(非数据包引擎日志,例如 shell、access 和 nsmgmt)从 NetScaler 导出到 Splunk 等行业标准日志聚合器平台。使用 Splunk 的可视化工具,您可以获得有关导出数据的有意义的见解。
有多种方法可以将管理日志从 NetScaler 导出到 Splunk。您可以将 Splunk 配置为 HTTP 服务器或系统日志服务器。在 HTTP 服务器配置中,您可以使用 HTTP 事件收集器通过 HTTP(或 HTTPS)将管理日志从 NetScaler 直接发送到 Splunk 平台。在系统日志服务器配置中,管理日志作为系统日志有效负载从 NetScaler 发送到 Splunk。
将管理日志导出到配置为 HTTP 服务器的 Splunk
要配置管理日志的导出,必须执行以下步骤:
- 在 Splunk 上配置 HTTP 事件收集器。
- 在 NetScaler 上创建收集器服务和时间序列分析配置文件。
在 Splunk 上配置 HTTP 事件收集器
您可以通过配置 HTTP 事件收集器将管理日志转发到 Splunk。配置 HTTP 事件收集器包括创建身份验证令牌、将事件索引与发送事件的令牌关联以及设置 HTTP 端口号。
有关如何配置 HTTP 事件收集器的信息,请参阅 Splunk 文档。
配置 HTTP 事件收集器后,复制身份验证令牌并将其保存以供参考。在 NetScaler 上配置分析配置文件时,您需要指定此标记。
使用 CLI 在 NetScaler 上配置时间序列分析配置文件
执行以下操作将 NetScaler 管理日志导出到 Splunk。
-
为 Splunk 创建收集器服务。
add service <collector> <splunk-server-ip-address> <protocol> <port>示例:
add service splunk_service 10.102.34.155 HTTP 8088在此配置中:
-
ip-address: Splunk 服务器 IP 地址。 -
collector-name:收集器的名称。 -
protocol: 将协议指定为 HTTP 或 HTTPS -
port:端口号。
-
-
创建时间序列分析配置文件。
add analytics profile `profile-name` -type time series -managementlog <management-log-type> -collectors `collector-name` -analyticsAuthToken `auth-tocken`-analyticsEndpointContentType `Application/json` -analyticsEndpointMetadata `meta-data-for-endpoint` -analyticsEndpointUrl `endpoint-url`示例:
add analytics profile managementlogs_profile -type timeseries -managementlog ACCESS -collectors splunk -analyticsAuthToken "Splunk 1234-5678-12345" -analyticsEndpointContentType "application/json" -analyticsEndpointMetadata "{\"sourcetype\":\"logs-and-events-directly-from-netscaler\", \"source\":\"test\",\"event\":}" -analyticsEndpointUrl "/services/collector/event"在此配置中:
-
managementlog:必须导出的管理日志类型。 以下选项可用:-
ALL:包括所有类别的管理和主机日志。 -
SHELL:包括bash.log和sh.log。 -
Access:包括auth.log、nsvpn.log、vpndebug.log、httpaccess.log、httperror.log、httpaccess-vpn.log和httperror-vpn.log等日志。 -
NSMGMT:包括ns.log和notice.log。 -
NONE:不导出任何日志。
-
-
analyticsAuthToken:在向 Splunk 发送日志时,指定要包含在授权标头中的身份验证令牌,前缀为“Splunk”。此令牌是配置 HTTP 事件收集器时在 Splunk 服务器上创建的身份验证令牌。 -
analyticsEndpointContentType:日志的格式。 -
analyticsEndpointMetadata:特定于端点的元数据。 -
analyticsEndpointUrl:端点中用于导出日志的位置。
注意:
您可以使用
set analytics profile命令修改时间序列分析配置文件参数。 -
-
使用
show analytics profile命令验证分析配置文件配置。# show analytics profile splunkexport 1) Name: audit_profile Collector: splunk Profile-type: timeseries Output Mode: avro Metrics: DISABLED Schema File: schema.json Metrics Export Frequency: 30 Events: DISABLED Auditlog: DISABLED Serve mode: Push Authentication Token: <auth-tocken> Endpoint URL: /services/collector/event Endpoint Content-type: Application/json Endpoint Metadata: Event: Reference Count: 0 Managementlog: ACCESS
配置成功后,管理日志将作为 HTTP 有效负载发送到 Splunk,您可以在 Splunk 应用用户界面上查看该日志。
使用 GUI 在 NetScaler 上配置时间序列分析配置文件
请执行以下步骤:
- 创建收集器服务。
- 导航到流量管理 > 负载平衡 > 服务,然后单击添加。
- 在“负载平衡服务”页面上,在必填字段中输入详细信息,单击“确定”,然后单击“完成”。
-
创建时间序列分析配置文件。
- 导航到“系统”>“配置文件”>“分析配置文件”,然后单击“添加”。
-
在“创建分析配置文件”页面上,提供以下详细信息:
- 输入配置文件的名称。
- 从收集器列表中,选择您创建的服务。
- 从“类型”列表中选择一个时间序列。
- 输入您从 Splunk 收到的带有“Splunk”前缀的分析身份验证令牌。
- 输入分析终端节点 URL、分析端点内容类型和分析终端节点元数据的详细信息。
- 选择要导出的管理日志,以及要导出的输出模式。
- 单击创建。
将管理日志导出到配置为系统日志服务器的 Splunk
要配置管理日志的导出,必须执行以下步骤:
- 在 Splunk 上配置系统日志端口。
- 使用管理日志选项在 NetScaler 上创建审核 syslog 操作。
- 使用 syslog 操作创建系统日志审核策略。
- 将 syslog 审核策略与系统全局实体绑定以启用所有 NetScaler 系统事件的记录。
将 Splunk 配置为外部系统日志服务器
您可以通过在 Splunk 上配置外部系统日志服务器来将管理日志转发到 Splunk。
有关如何配置 syslog 端口的信息,请参阅 Splunk 文档。配置 syslog 端口后,将其保存以供参考。在 NetScaler 上配置 audit syslogaction 时,您需要指定此端口。
配置 syslog 审核操作
要使用 CLI 在 NetScaler 上配置系统日志审核操作,请运行以下命令:
add audit syslogAction <name> \(<serverIP> \[-serverPort <port>] -logLevel <logLevel> ... \[-managementlog <managementlog> ...] ... \[-managementloglevel <managementloglevel> ...]\[-transport \( TCP | UDP )])
示例:
add audit syslogAction test 10.106.186.102 -serverPort 514 -logLevel ALL -managementlog SHELL NSMGMT -managementloglevel ALL -transport TCP
在此配置中:
-
name: syslog 操作的名称 -
serverIP: 系统日志服务器的 IP 地址。 -
serverPort: syslog 服务器接受连接的端口。 -
logLevel:审核日志级别。 -
managementlog:必须导出的管理日志类型。 -
managementloglevel:您要为导出设置的管理日志级别。 -
transport:用于向 syslog 服务器发送审核日志的传输类型。
注意:
启用管理日志后,syslogAction 配置仅支持服务器 IP 地址和端口配置。不支持基于域的服务 (DBS) 和负载平衡虚拟服务器名称配置。
对于跨多个外部系统日志服务器(例如 Splunk 系统日志服务器或端点)导出的负载平衡管理日志,您可以使用以下示例配置:
add service syslog_server <server_ip> UDP <port>
add service syslog_server1 1.3.4.4 UDP 514
add service syslog_server2 1.3.4.5 UDP 514
add lb vserver lb1 UDP <lb_vip> <lb_port>
bind lb vserver lb1 syslog_server1
bind lb vserver lb1 syslog_server2在 syslogAction 中,配置以下内容:
add syslogAction sys1 <server_ip> -serverPort <server_port> -transport UDP -loglevel <loglevel>
add syslogAction sys1 lb_vip -serverPort lb_port -transport UDP -loglevel <loglevel>
要使用 GUI 在 NetScaler 上配置系统日志审核操作,请执行以下步骤:
- 导航到“系统”>“审核”>“系统日志”>“服务器”选项卡,然后单击“添加”。
- 在“创建审核服务器”页面上,提供以下详细信息:
- 输入 Syslog 服务器的名称。
- 从“服务器类型”列表中选择“服务器 IP”,然后输入 syslog 服务器 IP 地址和端口。
- 从“日志级别”、“管理日志”和“管理日志级别”部分中选择所需的日志级别。
- 单击创建。
配置 syslog 审核策略
要使用 CLI 配置 syslog 审核策略,请运行以下命令:
add audit syslogPolicy <name> TRUE <syslogAction>
示例:
add audit syslogPolicy test-policy TRUE test
要使用 GUI 配置 syslog 审核策略,请执行以下步骤:
- 导航到“系统”>“审核”>“系统日志”>“策略”选项卡,然后单击“添加”。
- 在“创建审核 Syslog 策略”页面上,输入名称,选择“高级策略”,然后从“服务器”列表中选择您创建的审核 syslog 服务器。
绑定审核日志策略
要使用 CLI 将 syslog 审核日志策略绑定到绑定点 SYSTEM_GLOBAL,请运行以下命令:
bind audit syslogGlobal <policyname> -globalBindType SYSTEM_GLOBAL
示例:
bind audit syslogGlobal test-policy -globalBindType SYSTEM_GLOBAL
要使用 GUI 全局绑定 syslog 审核日志策略,请运行以下命令:
- 导航到“系统”>“审核”>“系统日志”>“策略”选项卡,然后选择您创建的 syslog 审核策略。
- 右键单击选定的 syslog 审核策略,然后单击“高级策略全局绑定”。
- 从“选择策略”列表中选择您创建的 syslog 审核策略。
- 在“优先级”字段中输入优先级。
- 从“全局绑定类型”字段中选择 SYSTEM_GLOBAL,然后单击“绑定”。
- 在“系统日志审核”页面上,选择 syslog 审核策略,然后单击“完成”。
配置成功后,管理日志将作为 syslog 有效负载发送到 Splunk,您可以在 Splunk 应用用户界面上查看该日志。
其他信息
本节提供有关本主题中指定的三种日志类型的更多信息:
-
shell日志:包括bash.log和sh.log。 -
access日志:包括httpaccess.log、httperror.log、httpaccess-vpn.log、httperror-vpn.log、vpndebug.log、nsvpn.log和auth.log。 -
nsmgmt日志:包括notice.log和ns.log(仅包括非数据包引擎日志)。
解决与管理日志导出相关的问题
有关与管理日志导出相关的故障排除提示,请参阅解决与管理日志相关的问题。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.