-
-
-
与 Splunk 集成
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
与 Splunk 集成
您现在可以将 NetScaler ADM 与 Splunk 集成,以查看以下方面的分析:
-
WAF 违规行为
-
机器人违规行为
-
SSL 证书见解
-
事件和指标
Splunk 插件使您能够:
-
合并所有其他外部数据源。
-
集中提供更高的分析可见性。
NetScaler ADM 收集 Bot、WAF、SSL 事件,然后定期发送给 Splunk。Splunk 通用信息模型 (CIM) 插件将事件转换为 CIM 兼容数据。作为管理员,您可以使用与 CIM 兼容的数据在 Splunk 控制板中查看事件。
要成功集成,您必须:
将 Splunk 配置为从 NetScaler ADM 接收数据
在 Splunk 中,您必须:
设置 Splunk HTTP 事件收集器端点并生成令牌
您必须先在 Splunk 中设置 HTTP 事件收集器。此设置允许在 ADM 和 Splunk 之间进行集成以发送数据。接下来,您必须在 Splunk 中生成一个令牌以:
-
在 ADM 和 Splunk 之间启用身份验证。
-
通过事件收集器端点接收数据。
-
登录 Splunk。
-
导航到“设置”>“数据输入”>“HTTP 事件收集器”,然后单击“新增”。
-
指定以下参数:
-
名称:指定您选择的名称。
-
源名称覆盖(可选):如果设置一个值,它将覆盖 HTTP 事件收集器的源值。
-
描述(可选):指定描述。
-
输出组(可选):默认情况下,此选项被选为无。
-
启用索引器确认:默认情况下,未选择此选项。
-
-
单击下一步。
-
或者,您可以在“输入设置”页面中设置其他输入参数。
-
单击“审阅”以验证参赛作品,然后单击“提交”。
生成令牌。在 NetScaler ADM 中添加详细信息时,必须使用此令牌。
安装 Splunk 通用信息模型
在 Splunk 中,您必须安装 Splunk CIM 附加组件。此插件可确保从 NetScaler ADM 接收的数据对采集的数据进行标准化处理,并匹配使用相同字段名称和等效事件的事件标签的通用标准。
-
登录 Splunk。
-
导航到 应用程序 > 查找更多应用程序。
-
在搜索栏中键入 CIM ,然后按 Enter 获取 Splunk 通用信息模型 (CIM) 插件,然后单击“安装”。
安装 CIM 标准化器
CIM 标准化器是一个附加插件,您必须安装该插件才能在 Splunk 中查看 WAF 和机器人见解。
-
在 Splunk 门户中,导航到“应用程序”>“查找更多应用程序”。
-
在搜索栏中键入 ADM 服务事件/数据的 CIM 标准化,然后按 Enter 获取插件,然后单击“安装”。
在 Splunk 中准备一个示例控制板
安装 Splunk CIM 后,必须使用 WAF 和 Bot、SSL 证书见解以及事件和指标的模板准备示例控制板。您可以下载控制板模板 (.tgz) 文件,使用任何编辑器(例如,记事本)复制其内容,并通过在 Splunk 中粘贴数据来创建控制板。
注意:
以下创建示例控制板的过程适用于所有用例。必须使用所需的
json文件。
-
登录 Citrix 下载页面,下载第三方端点示例控制板下提供的示例控制板。
-
提取文件,使用任意编辑器打开
json文件,然后从文件中复制数据。解压后,您会得到三个
json文件。使用:-
adm_splunk_security_violations.json文件用于创建 WAF 和 Bot 示例控制板。 -
adm_splunk_ssl_certificate.json文件创建 SSL 证书洞察示例控制板。 -
adm_splunk_events_and_metrics_history.json文件用于创建 ADM 事件和指标控制板。
-
-
在 Splunk 门户中,导航到“搜索和报告”>“控制板”,然后单击“创建新控制板”。
-
在“创建新控制板”页面中,指定以下参数:
-
控制板标题 -提供您选择的标题。
-
说明 -(可选)您可以提供描述以供参考。
-
权限 -根据您的要求选择“专用”或“在应用程序中共享”。
-
选择“控制板 Studio”。
-
选择任意一种布局(绝对或网格),然后单击“创建”。
单击“创建”后,从布局中选择“源”图标。
-
-
删除现有数据,粘贴您在步骤 2 中复制的数据,然后单击“返回”。
-
单击保存。
您可以查看示例控制板。
以下是 WAF 和 bot 的示例控制板示例。
配置 NetScaler ADM 将数据导出到 Splunk
现在,您已经在 Splunk 中准备好一切了。最后一步是通过创建订阅并添加令牌来配置 NetScaler ADM。
完成以下步骤后,您可以在 Splunk 中查看 NetScaler ADM 中当前可用的更新控制板:
-
登录到 NetScaler ADM。
-
导航到 设置 > 生态系统集成。
-
在“订阅”页面中,单击“添加”。
-
在“订阅名称”字段中指定您选择的名称 。
-
在“选择功能”选项卡中,可以选择要导出的功能,然后单击“下一步”。
-
实时导出 -选定的违规将立即导出到 Splunk。
-
定期导出 -根据您选择的持续时间,将选定的违规行为导出到 Splunk。
-
-
在“选择实例”选项卡中,可以选择“选择所有实例”或“自定义选择”,然后单击“下一步”。
-
选择所有实例 -将数据从所有 NetScaler 实例导出到 Splunk。
-
自定义选择 - 允许您从列表中选择 NetScaler 实例。如果您从列表中选择特定实例,则仅将数据从选定的 NetScaler 实例导出到 Splunk。
-
-
在“订阅设置”选项卡中:
-
端点类型 — 选择 Splunk。
-
端点 URL - 指定 Splunk 端点详细信息。终点必须采用以下 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。
注意
出于安全考虑,建议使用 HTTPS。
-
SPLUNK_PUBLIC_IP — 为 Splunk 配置的有效 IP 地址。
-
SPLUNK_HEC_PORT — 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。
-
服务/收集器/事件 — 表示 HEC 应用程序的路径。
-
-
身份验证令牌 -从 Splunk 页面复制并粘贴身份验证令牌。
-
选择频率 -从列表中选择每日或每小时。根据选择,NetScaler ADM 会将详细信息导出到 Splunk。
注意
仅当您在“定期导出”中选择了违规行为时才适用。
-
单击 Submit(提交)。
注意
-
首次使用“定期导出”选项进行配置时,所选要素数据会立即推送到 Splunk。下一次导出频率取决于您的选择(每天或每小时)。
-
首次使用 实时导出 选项进行配置时,一旦在 NetScaler ADM 中检测到违规行为,所选要素数据就会立即推送到 Splunk。
-
-
在 Splunk 中查看控制板
在 NetScaler ADM 中完成配置后,数据将从 NetScaler ADM 导出,事件将显示在 Splunk 中。
注意:
要立即在 Splunk 中查看更新的 SSL 证书见解数据,请在 NetScaler ADM SSL 控制板(基础结构 > SSL 控制板)中单击“立即投票”。
您无需任何其他步骤即可在 Splunk 中查看更新的控制板。
转到 Splunk 并单击您创建的控制板以查看更新的控制板。
以下是更新后的 WAF 和 Bot 控制板的示例:
以下控制面板是更新后的 SSL 证书见解控制面板的示例。
以下控制面板是更新的事件和指标控制板的示例。
注意:
内存、CPU 和磁盘的使用情况数据显示 NetScaler ADM 的当前值。这些值的上升和下降趋势是根据每隔 5 分钟与先前值的比较来显示的。
除了控制板外,您还可以在创建 订阅后在 Splunk 中查看数据。
-
在 Splunk 中,单击“搜索和报告”。
-
在搜索栏中:
-
键入
sourcetype="metrics"并从列表中选择持续时间以查看 ADM 指标数据。 -
键入
sourcetype="event"并从列表中选择持续时间以查看 ADM 事件数据。 -
键入
sourcetype="bot"或sourcetype="waf"并从列表中选择持续时间以查看 bot/WAF 数据。 -
在列表中键入
sourcetype="ssl"并选择持续时间以查看 SSL 证书见解数据。
-
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.