This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
与 Splunk 集成
现在,您可以将 NetScaler Console 与 Splunk 集成,以查看以下分析数据:
- WAF 违规
- Bot 违规
- SSL 证书洞察
- Gateway 洞察
- NetScaler Console 审计日志
Splunk 附加组件使您能够:
- 合并所有其他外部数据源。
- 在集中位置提供更高的分析可见性。
NetScaler Console 会收集 Bot、WAF、SSL、Gateway、审计日志事件,并定期将其发送到 Splunk。Splunk Common Information Model (CIM) 附加组件会将事件转换为 CIM 兼容数据。作为管理员,您可以使用 CIM 兼容数据在 Splunk 控制面板中查看事件。
要成功集成,您必须:
配置 Splunk 以从 NetScaler Console 接收数据
在 Splunk 中,您必须:
- 设置 Splunk HTTP 事件收集器端点并生成令牌
- 安装 Splunk Common Information Model (CIM) 附加组件
- 安装 CIM 规范化器(仅适用于 WAF 和 Bot 洞察)
- 在 Splunk 中准备示例控制面板
设置 Splunk HTTP 事件收集器端点并生成令牌
您必须首先在 Splunk 中设置 HTTP 事件收集器。此设置可实现 NetScaler Console 与 Splunk 之间的集成,以发送 WAF 或 Bot 数据。接下来,您必须在 Splunk 中生成一个令牌,以便:
- 启用 NetScaler Console 和 Splunk 之间的身份验证。
- 通过事件收集器端点接收数据。
-
登录到 Splunk。
-
导航到 Settings(设置)> Data Inputs(数据输入)> HTTP event collector(HTTP 事件收集器),然后单击 Add new(添加新项)。
-
指定以下参数:
-
Name(名称):指定您选择的名称。
-
Source name override (optional)(源名称覆盖(可选)):如果设置了值,它将覆盖 HTTP 事件收集器的源值。
-
Description (optional)(描述(可选)):指定描述。
-
Output Group (optional)(输出组(可选)):默认情况下,此选项选择为 None(无)。
-
Enable indexer acknowledgement(启用索引器确认):NetScaler Console 不支持此选项。建议不要选择此选项。
-
-
单击 Next(下一步)。
-
(可选)您可以在 Input Settings(输入设置) 页面中设置其他输入参数。
-
单击 Review(查看) 以验证条目,然后单击 Submit(提交)。
将生成一个令牌。在 NetScaler Console 中添加详细信息时,您必须使用此令牌。
安装 Splunk Common Information Model
在 Splunk 中,您必须安装 Splunk CIM 附加组件。此附加组件可确保从 NetScaler Console 接收到的数据能够规范化摄取的数据,并使用相同的字段名称和事件标签来匹配等效事件的通用标准。
注意:
如果您已安装 Splunk CIM 附加组件,则可以忽略此步骤。
-
登录到 Splunk。
-
导航到 Apps(应用程序)> Find More Apps(查找更多应用程序)。
-
在搜索栏中键入 CIM,然后按 Enter 以获取 Splunk Common Information Model (CIM) 附加组件,然后单击 Install(安装)。
安装 CIM 规范化器
CIM 规范化器是您必须安装的附加插件,用于在 Splunk 中查看 WAF 和 Bot 洞察。
-
在 Splunk 门户中,导航到 Apps(应用程序)> Find More Apps(查找更多应用程序)。
-
在搜索栏中键入 CIM normalization for ADM service events/data,然后按 Enter 以获取附加组件,然后单击 Install(安装)。
在 Splunk 中准备示例控制面板
安装 Splunk CIM 后,您必须使用 WAF 和 Bot 以及 SSL 证书洞察的模板准备一个示例控制面板。您可以下载控制面板模板 (.tgz) 文件,使用任何编辑器(例如记事本)复制其内容,然后通过将数据粘贴到 Splunk 中来创建控制面板。
注意:
以下创建示例控制面板的过程适用于 WAF 和 Bot 以及 SSL 证书洞察。您必须使用所需的
json文件。
-
登录到 Citrix 下载页面,并从 Observability Integration 下载可用的示例控制面板。
-
提取文件,使用任何编辑器打开
json文件,然后从文件中复制数据。注意:
提取后,您将获得两个
json文件。使用adm_splunk_security_violations.json创建 WAF 和 Bot 示例控制面板,并使用adm_splunk_ssl_certificate.json创建 SSL 证书洞察示例控制面板。 -
在 Splunk 门户中,导航到 Search & Reporting(搜索和报告)> Dashboards(控制面板),然后单击 Create New Dashboard(创建新控制面板)。
-
在 Create New Dashboard(创建新控制面板) 页面中,指定以下参数:
-
Dashboard Title(控制面板标题) - 提供您选择的标题。
-
Description(描述) - (可选)您可以提供一个描述供您参考。
-
Permission(权限) - 根据您的要求选择 Private(私有) 或 Shared in App(在应用程序中共享)。
-
选择 Dashboard Studio(控制面板工作室)。
-
选择任何一个布局(Absolute(绝对) 或 Grid(网格)),然后单击 Create(创建)。
单击 Create(创建) 后,从布局中选择 Source(源) 图标。
-
-
删除现有数据,粘贴您在步骤 2 中复制的数据,然后单击 Back(返回)。
-
单击 Save(保存)。
您可以在 Splunk 中查看以下示例控制面板。
配置 NetScaler Console 以将数据导出到 Splunk
现在,您已在 Splunk 中准备好所有内容。最后一步是通过创建订阅和添加令牌来配置 NetScaler Console。
完成以下过程后,您可以在 Splunk 中查看 NetScaler Console 中当前可用的更新控制面板:
-
登录到 NetScaler Console。
-
导航到 Settings(设置)> Observability Integration(可观察性集成)。
-
在 Integrations(集成) 页面中,单击 Add(添加)。
-
在 Create Subscription(创建订阅) 页面中,指定以下详细信息:
-
在 Subscription Name(订阅名称) 字段中指定您选择的名称。
-
选择 NetScaler Console 作为 Source(源),然后单击 Next(下一步)。
-
选择 Splunk,然后单击 Configure(配置)。在 Configure Endpoint(配置端点) 页面中:
-
End Point URL(端点 URL) – 指定 Splunk 端点详细信息。端点必须采用 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。
注意:
建议出于安全原因使用 HTTPS。
-
SPLUNK_PUBLIC_IP – 为 Splunk 配置的有效 IP 地址。
-
SPLUNK_HEC_PORT – 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。
-
Services/collector/event – 表示 HEC 应用程序的路径。
-
-
Authentication token(身份验证令牌) – 从 Splunk 复制并粘贴身份验证令牌。
-
单击 Submit(提交)。
-
-
单击 Next(下一步)。
-
单击 Add Insights(添加洞察),然后在 Select Feature(选择功能) 选项卡中,您可以选择要导出的功能,然后单击 Add Selected(添加选定项)。
注意:
如果您已选择 NetScaler Console Audit Logs(NetScaler Console 审计日志),则可以选择 Daily(每日) 或 Hourly(每小时) 作为将审计日志导出到 Splunk 的频率。
-
单击 Next(下一步)。
-
在 Select Instance(选择实例) 选项卡中,您可以选择 Select All Instances(选择所有实例) 或 Custom select(自定义选择),然后单击 Next(下一步)。
-
Select All Instances(选择所有实例) - 将数据从所有 NetScaler 实例导出到 Splunk。
-
Custom select(自定义选择) - 使您能够从列表中选择 NetScaler 实例。如果从列表中选择特定实例,则仅从选定的 NetScaler 实例将数据导出到 Splunk。
-
-
单击 Submit(提交)。
注意:
所选洞察的数据在 NetScaler Console 中检测到违规后会立即推送到 Splunk。
-
在 Splunk 中查看控制面板
在 NetScaler Console 中完成配置后,事件将显示在 Splunk 中。
您已准备好在 Splunk 中查看更新的控制面板,无需任何其他步骤。
转到 Splunk 并单击您创建的控制面板以查看更新的控制面板。
以下是更新后的 WAF 和 Bot 控制面板的示例:
以下控制面板是更新后的 SSL 证书洞察控制面板的示例。
除了控制面板,您还可以在创建订阅后在 Splunk 中查看数据。
-
在 Splunk 中,单击 Search & Reporting(搜索和报告)。
-
在搜索栏中:
-
键入
sourcetype="bot"或sourcetype="waf",然后从列表中选择持续时间以查看 Bot/WAF 数据。 -
键入
sourcetype="ssl",然后从列表中选择持续时间以查看 SSL 证书洞察数据。 -
键入
sourcetype="gateway_insights",然后从列表中选择持续时间以查看 Gateway 洞察数据。 -
键入
sourcetype= "audit_logs",然后从列表中选择持续时间以查看审计日志数据。
-
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.