-
-
-
与 Splunk 集成
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
与 Splunk 集成
您现在可以将 NetScaler ADM 与 Splunk 集成,以查看以下方面的分析:
-
WAF 违规行为
-
机器人违规行为
-
SSL 证书见解
Splunk 插件使您能够:
-
合并所有其他外部数据源。
-
集中提供更高的分析可见性。
NetScaler ADM 收集 Bot、WAF、SSL 事件,然后定期发送给 Splunk。Splunk 通用信息模型 (CIM) 插件将事件转换为 CIM 兼容数据。作为管理员,您可以使用与 CIM 兼容的数据在 Splunk 控制板中查看事件。
要成功集成,您必须:
将 Splunk 配置为从 NetScaler ADM 接收数据
在 Splunk 中,您必须:
设置 Splunk HTTP 事件收集器端点并生成令牌
您必须先在 Splunk 中设置 HTTP 事件收集器。此设置允许在 ADM 和 Splunk 之间进行集成以发送数据。接下来,您必须在 Splunk 中生成一个令牌以:
-
在 ADM 和 Splunk 之间启用身份验证。
-
通过事件收集器端点接收数据。
-
登录 Splunk。
-
导航到“设置”>“数据输入”>“HTTP 事件收集器”,然后单击“新增”。
-
指定以下参数:
-
名称:指定您选择的名称。
-
源名称覆盖(可选):如果设置一个值,它将覆盖 HTTP 事件收集器的源值。
-
描述(可选):指定描述。
-
输出组(可选):默认情况下,此选项被选为无。
-
启用索引器确认:默认情况下,未选择此选项。
-
-
单击下一步。
-
或者,您可以在“输入设置”页面中设置其他输入参数。
-
单击“审阅”以验证参赛作品,然后单击“提交”。
生成令牌。在 NetScaler ADM 中添加详细信息时,必须使用此令牌。
安装 Splunk 通用信息模型
在 Splunk 中,您必须安装 Splunk CIM 附加组件。此插件可确保从 NetScaler ADM 接收的数据对采集的数据进行标准化处理,并匹配使用相同字段名称和等效事件的事件标签的通用标准。
-
登录 Splunk。
-
导航到 应用程序 > 查找更多应用程序。
-
在搜索栏中键入 CIM ,然后按 Enter 获取 Splunk 通用信息模型 (CIM) 插件,然后单击“安装”。
在 Splunk 中准备一个示例控制板
安装 Splunk CIM 后,必须使用 WAF 和 Bot 模板以及 SSL 证书见解准备示例控制板。您可以下载控制板模板 (.tgz
) 文件,使用任何编辑器(例如,记事本)复制其内容,并通过在 Splunk 中粘贴数据来创建控制板。
注意:
以下创建示例控制板的步骤适用于 WAF 和 Bot 以及 SSL 证书见解。必须使用所需的
json
文件。
-
登录 Citrix 下载页面,下载可 观测性集成下提供的示例控制板。
-
提取文件,使用任意编辑器打开
json
文件,然后从文件中复制数据。注意:
解压缩后,您会得到两个
json
文件。使用adm_splunk_security_violations.json
创建 WAF 和 Bot 示例控制板,使用adm_splunk_ssl_certificate.json
创建 SSL 证书洞察示例控制板。 -
在 Splunk 门户中,导航到“搜索和报告”>“控制板”,然后单击“创建新控制板”。
-
在“创建新控制板”页面中,指定以下参数:
-
控制板标题 -提供您选择的标题。
-
说明 -(可选)您可以提供描述以供参考。
-
权限 -根据您的要求选择“专用”或“在应用程序中共享”。
-
选择“控制板 Studio”。
-
选择任意一种布局(绝对或网格),然后单击“创建”。
单击“创建”后,从布局中选择“源”图标。
-
-
删除现有数据,粘贴您在步骤 2 中复制的数据,然后单击“返回”。
-
单击保存。
您可以在 Splunk 中查看以下示例控制板。
配置 NetScaler ADM 将数据导出到 Splunk
现在,您已经在 Splunk 中准备好一切了。最后一步是通过创建订阅并添加令牌来配置 NetScaler ADM。
完成以下步骤后,您可以在 Splunk 中查看 NetScaler ADM 中当前可用的更新控制板:
-
登录到 NetScaler ADM。
-
导航到 设置 > 生态系统集成。
-
在“订阅”页面中,单击“添加”。
-
在“选择要订阅的功能”选项卡中,选择要导出的功能,然后单击“下一步”。
-
实时导出 -选定的违规将立即导出到 Splunk。
-
定期导出 -根据您选择的持续时间,将选定的违规行为导出到 Splunk。
-
-
在“指定导出配置”选项卡中:
-
端点类型 -从列表中选择 Splunk 。
-
终点 — 指定 Splunk 端点的详细信息。终点必须采用以下 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。
注意
出于安全考虑,建议使用 HTTPS。
-
SPLUNK_PUBLIC_IP — 为 Splunk 配置的有效 IP 地址。
-
SPLUNK_HEC_PORT — 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。
-
服务/收集器/事件 — 表示 HEC 应用程序的路径。
-
-
身份验证令牌 -从 Splunk 页面复制并粘贴身份验证令牌。
-
单击下一步。
-
-
在“订 阅”页面中:
-
导出频率 -从列表中选择“每天”或“每小时”。根据选择,NetScaler ADM 会将详细信息导出到 Splunk。
注意:
仅当您在“定期导出”中选择了违规行为时才适用。
-
订阅名称 — 指定您选择的名称。
-
选中“启用通知”复选框。
-
单击 Submit(提交)。
注意
-
首次使用“定期导出”选项进行配置时,所选要素数据会立即推送到 Splunk。下一次导出频率取决于您的选择(每天或每小时)。
-
首次配置“实时导出”选项时,在 NetScaler ADM 中检测到违规行为时,所选要素的数据会立即推送到 Splunk。
-
-
在 Splunk 中查看控制板
在 NetScaler ADM 中完成配置后,事件将出现在 Splunk 中。您无需任何其他步骤即可在 Splunk 中查看更新的控制板。
转到 Splunk 并单击您创建的控制板以查看更新的控制板。
以下是更新后的 WAF 和 Bot 控制板的示例:
以下控制板是更新后的 SSL 证书见解控制板的示例。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.