Application Delivery Management

与 Splunk 集成

您现在可以将 NetScaler ADM 与 Splunk 集成,以查看以下方面的分析:

  • WAF 违规行为

  • 机器人违规行为

  • SSL 证书见解

Splunk 插件使您能够:

  • 合并所有其他外部数据源。

  • 集中提供更高的分析可见性。

NetScaler ADM 收集 Bot、WAF、SSL 事件,然后定期发送给 Splunk。Splunk 通用信息模型 (CIM) 插件将事件转换为 CIM 兼容数据。作为管理员,您可以使用与 CIM 兼容的数据在 Splunk 控制板中查看事件。

要成功集成,您必须:

将 Splunk 配置为从 NetScaler ADM 接收数据

在 Splunk 中,您必须:

  1. 设置 Splunk HTTP 事件收集器端点并生成令牌

  2. 安装 Splunk 通用信息模型 (CIM) 插件

  3. 在 Splunk 中准备一个示例控制板

设置 Splunk HTTP 事件收集器端点并生成令牌

您必须先在 Splunk 中设置 HTTP 事件收集器。此设置允许在 ADM 和 Splunk 之间进行集成以发送数据。接下来,您必须在 Splunk 中生成一个令牌以:

  • 在 ADM 和 Splunk 之间启用身份验证。

  • 通过事件收集器端点接收数据。

  1. 登录 Splunk。

  2. 导航到“设置”>“数据输入”>“HTTP 事件收集器”,然后单击“新增”。

  3. 指定以下参数:

    1. 名称:指定您选择的名称。

    2. 源名称覆盖(可选):如果设置一个值,它将覆盖 HTTP 事件收集器的源值。

    3. 描述(可选):指定描述。

    4. 输出组(可选):默认情况下,此选项被选为无。

    5. 启用索引器确认:默认情况下,未选择此选项。

      事件收集器参数

  4. 单击下一步

  5. 或者,您可以在“输入设置”页面中设置其他输入参数。

  6. 单击“审阅”以验证参赛作品,然后单击“提交”。

    生成令牌。在 NetScaler ADM 中添加详细信息时,必须使用此令牌。

    Splunk 票证

安装 Splunk 通用信息模型

在 Splunk 中,您必须安装 Splunk CIM 附加组件。此插件可确保从 NetScaler ADM 接收的数据对采集的数据进行标准化处理,并匹配使用相同字段名称和等效事件的事件标签的通用标准。

  1. 登录 Splunk。

  2. 导航到 应用程序 > 查找更多应用程序

    Splunk 查找更多应用程序

  3. 在搜索栏中键入 CIM ,然后按 Enter 获取 Splunk 通用信息模型 (CIM) 插件,然后单击“安装”。

    Splunk CIM

在 Splunk 中准备一个示例控制板

安装 Splunk CIM 后,必须使用 WAF 和 Bot 模板以及 SSL 证书见解准备示例控制板。您可以下载控制板模板 (.tgz) 文件,使用任何编辑器(例如,记事本)复制其内容,并通过在 Splunk 中粘贴数据来创建控制板。

注意:

以下创建示例控制板的步骤适用于 WAF 和 Bot 以及 SSL 证书见解。必须使用所需的 json 文件。

  1. 登录 Citrix 下载页面,下载可 观测性集成下提供的示例控制板。

  2. 提取文件,使用任意编辑器打开 json 文件,然后从文件中复制数据。

    注意:

    解压缩后,您会得到两个 json 文件。使用 adm_splunk_security_violations.json 创建 WAF 和 Bot 示例控制板,使用 adm_splunk_ssl_certificate.json 创建 SSL 证书洞察示例控制板。

  3. 在 Splunk 门户中,导航到“搜索和报告”>“控制板”,然后单击“创建新控制板”。

    创建控制板

  4. 在“创建新控制板”页面中,指定以下参数:

    1. 控制板标题 -提供您选择的标题。

    2. 说明 -(可选)您可以提供描述以供参考。

    3. 权限 -根据您的要求选择“专用”或“在应用程序中共享”。

    4. 选择“控制板 Studio”。

    5. 选择任意一种布局(绝对网格),然后单击“创建”。

      控制板参数

      单击“创建”后,从布局中选择“”图标。

      源代码布局

  5. 删除现有数据,粘贴您在步骤 2 中复制的数据,然后单击“返回”。

  6. 单击保存

    您可以在 Splunk 中查看以下示例控制板。

    控制板示例

配置 NetScaler ADM 将数据导出到 Splunk

现在,您已经在 Splunk 中准备好一切了。最后一步是通过创建订阅并添加令牌来配置 NetScaler ADM。

完成以下步骤后,您可以在 Splunk 中查看 NetScaler ADM 中当前可用的更新控制板:

  1. 登录到 NetScaler ADM。

  2. 导航到 设置 > 生态系统集成

  3. 在“订阅”页面中,单击“添加”。

  4. 在“选择要订阅的功能”选项卡中,选择要导出的功能,然后单击“下一步”。

    • 实时导出 -选定的违规将立即导出到 Splunk。

    • 定期导出 -根据您选择的持续时间,将选定的违规行为导出到 Splunk。

      选择功能

  5. 在“指定导出配置”选项卡中:

    1. 端点类型 -从列表中选择 Splunk

    2. 终点 — 指定 Splunk 端点的详细信息。终点必须采用以下 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。

      注意

      出于安全考虑,建议使用 HTTPS。

      • SPLUNK_PUBLIC_IP — 为 Splunk 配置的有效 IP 地址。

      • SPLUNK_HEC_PORT — 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。

      • 服务/收集器/事件 — 表示 HEC 应用程序的路径。

    3. 身份验证令牌 -从 Splunk 页面复制并粘贴身份验证令牌。

    4. 单击下一步

      创建订阅

  6. 在“订 ”页面中:

    1. 导出频率 -从列表中选择“每天”或“每小时”。根据选择,NetScaler ADM 会将详细信息导出到 Splunk。

      注意:

      仅当您在“定期导出”中选择了违规行为时才适用。

    2. 订阅名称 — 指定您选择的名称。

    3. 选中“启用通知”复选框。

    4. 单击 Submit(提交)。

      Subscribe

      注意

      • 首次使用“定期导出”选项进行配置时,所选要素数据会立即推送到 Splunk。下一次导出频率取决于您的选择(每天或每小时)。

      • 首次配置“实时导出”选项时,在 NetScaler ADM 中检测到违规行为时,所选要素的数据会立即推送到 Splunk。

在 Splunk 中查看控制板

在 NetScaler ADM 中完成配置后,事件将出现在 Splunk 中。您无需任何其他步骤即可在 Splunk 中查看更新的控制板。

转到 Splunk 并单击您创建的控制板以查看更新的控制板。

以下是更新后的 WAF 和 Bot 控制板的示例:

更新了控制板

以下控制板是更新后的 SSL 证书见解控制板的示例。

SSL 证书