-
-
-
与 Splunk 集成
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
与 Splunk 集成
现在,您可以将 NetScaler® ADM 与 Splunk 集成,以查看以下各项的分析数据:
- WAF 违规
- Bot 违规
- SSL 证书洞察
Splunk 附加组件使您能够:
- 组合所有其他外部数据源。
- 在集中位置提供更高的分析可见性。
NetScaler ADM 收集 Bot、WAF、SSL 事件,并定期将其发送到 Splunk。Splunk 通用信息模型 (CIM) 附加组件将事件转换为 CIM 兼容数据。作为管理员,您可以使用 CIM 兼容数据在 Splunk 控制板中查看事件。
要成功集成,您必须:
配置 Splunk 以接收来自 NetScaler ADM 的数据
在 Splunk 中,您必须:
设置 Splunk HTTP 事件收集器端点并生成令牌
您必须首先在 Splunk 中设置 HTTP 事件收集器。此设置可实现 ADM 和 Splunk 之间的集成以发送数据。接下来,您必须在 Splunk 中生成一个令牌,以:
- 启用 ADM 和 Splunk 之间的身份验证。
- 通过事件收集器端点接收数据。
-
登录到 Splunk。
-
导航到“Settings”(设置)>“Data Inputs”(数据输入)>“HTTP event collector”(HTTP 事件收集器),然后单击“Add new”(添加新项)。
-
指定以下参数:
-
Name(名称):指定您选择的名称。
-
Source name override (optional)(源名称覆盖(可选)):如果设置了值,它将覆盖 HTTP 事件收集器的源值。
-
Description (optional)(描述(可选)):指定描述。
-
Output Group (optional)(输出组(可选)):默认情况下,此选项选择为“None”(无)。
-
Enable indexer acknowledgement(启用索引器确认):默认情况下,此选项未选中。
-
-
单击“Next”(下一步)。
-
(可选)您可以在“Input Settings”(输入设置)页面中设置其他输入参数。
-
单击“Review”(查看)以验证条目,然后单击“Submit”(提交)。
将生成一个令牌。在 NetScaler ADM 中添加详细信息时,必须使用此令牌。
安装 Splunk 通用信息模型
在 Splunk 中,您必须安装 Splunk CIM 附加组件。此附加组件可确保从 NetScaler ADM 接收的数据通过使用相同的字段名称和事件标签来规范化摄取的数据并匹配通用标准,以实现等效事件。
-
登录到 Splunk。
-
导航到“Apps”(应用程序)>“Find More Apps”(查找更多应用程序)。
-
在搜索栏中键入 CIM,然后按 Enter 键以获取“Splunk Common Information Model (CIM)”附加组件,然后单击“Install”(安装)。
在 Splunk 中准备示例控制板
安装 Splunk CIM 后,您必须使用 WAF 和 Bot 以及 SSL 证书洞察的模板准备一个示例控制板。您可以下载控制板模板 (.tgz) 文件,使用任何编辑器(例如记事本)复制其内容,然后通过将数据粘贴到 Splunk 中来创建控制板。
注意:
以下创建示例控制板的过程适用于 WAF 和 Bot 以及 SSL 证书洞察。您必须使用所需的
json文件。
-
登录到 Citrix 下载页面,并下载 Observability Integration 下提供的示例控制板。
-
提取文件,使用任何编辑器打开
json文件,然后从文件中复制数据。注意:
提取后,您将获得两个
json文件。使用adm_splunk_security_violations.json创建 WAF 和 Bot 示例控制板,并使用adm_splunk_ssl_certificate.json创建 SSL 证书洞察示例控制板。 -
在 Splunk 门户中,导航到“Search & Reporting”(搜索和报告)>“Dashboards”(控制板),然后单击“Create New Dashboard”(创建新控制板)。
-
在“Create New Dashboard”(创建新控制板)页面中,指定以下参数:
-
Dashboard Title(控制板标题)- 提供您选择的标题。
-
Description(描述)- (可选)您可以提供描述以供参考。
-
Permission(权限)- 根据您的要求选择“Private”(私有)或“Shared in App”(在应用程序中共享)。
-
选择“Dashboard Studio”(控制板工作室)。
-
选择任何一个布局(“Absolute”(绝对)或“Grid”(网格)),然后单击“Create”(创建)。
单击“Create”(创建)后,从布局中选择“Source”(源)图标。
-
-
删除现有数据,粘贴您在步骤 2 中复制的数据,然后单击“Back”(返回)。
-
单击“Save”(保存)。
您可以在 Splunk 中查看以下示例控制板。
配置 NetScaler ADM 以将数据导出到 Splunk
现在您已在 Splunk 中准备好一切。最后一步是通过创建订阅和添加令牌来配置 NetScaler ADM。
完成以下过程后,您可以在 Splunk 中查看当前在 NetScaler ADM 中可用的更新控制板:
-
登录到 NetScaler ADM。
-
导航到“Settings”(设置)>“Ecosystem Integration”(生态系统集成)。
-
在“Subscriptions”(订阅)页面中,单击“Add”(添加)。
-
在“Select features to subscribe”(选择要订阅的功能)选项卡中,选择要导出的功能,然后单击“Next”(下一步)。
-
Realtime Export(实时导出)- 选定的违规立即导出到 Splunk。
-
Periodic Export(定期导出)- 选定的违规根据您选择的持续时间导出到 Splunk。
-
-
在“Specify export configuration”(指定导出配置)选项卡中:
-
End Point Type(端点类型)– 从列表中选择“Splunk”。
-
End Point(端点)– 指定 Splunk 端点详细信息。端点必须采用 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。
注意
建议出于安全原因使用 HTTPS。
-
SPLUNK_PUBLIC_IP – 为 Splunk 配置的有效 IP 地址。
-
SPLUNK_HEC_PORT – 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。
-
Services/collector/event – 表示 HEC 应用程序的路径。
-
-
Authentication token(身份验证令牌)– 从 Splunk 页面复制并粘贴身份验证令牌。
-
单击“Next”(下一步)。
-
-
在“Subscribe”(订阅)页面中:
-
Export Frequency(导出频率)– 从列表中选择“Daily”(每日)或“Hourly”(每小时)。根据选择,NetScaler ADM 将详细信息导出到 Splunk。
注意:
仅当您在“Periodic Export”(定期导出)中选择了违规时才适用。
-
Subscription Name(订阅名称)– 指定您选择的名称。
-
选中“Enable Notifications”(启用通知)复选框。
-
单击“Submit”(提交)。
注意
- 首次使用“Periodic Export”(定期导出)选项进行配置时,选定的功能数据会立即推送到 Splunk。下一次导出频率将根据您的选择(每日或每小时)发生。
- 首次使用“Realtime Export”(实时导出)选项进行配置时,当 NetScaler ADM 中检测到违规时,选定的功能数据会立即推送到 Splunk。
-
在 Splunk 中查看控制板
在 NetScaler ADM 中完成配置后,事件将显示在 Splunk 中。您已准备好在 Splunk 中查看更新的控制板,无需任何其他步骤。
转到 Splunk 并单击您创建的控制板以查看更新的控制板。
以下是更新后的 WAF 和 Bot 控制板的示例:
以下控制板是更新后的 SSL 证书洞察控制板的示例。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.