Citrix Analytics for Security

Splunk 用 Citrix Analytics アドオンの設定に関する問題

Citrix Analytics アドオン設定を使用できません

Splunk Forwarder または Splunk スタンドアロン環境に Splunk 用 Citrix Analytics アドオンをインストールした後、[設定] > [データ入力] に [Citrix Analyticsアドオン] 設定が表示されません

理由

この問題は、サポートされていない Splunk 環境に Splunk 用 Citrix Analytics アドオンをインストールすると発生します。

解決された問題

サポートされている Splunk 環境に Splunk 用Citrix Analytics アドオンをインストールします。サポートされるバージョンの詳細については、「 Splunk 統合」を参照してください。

Splunk ダッシュボードにはデータがありません

Splunk Forwarder または Splunk スタンドアロン環境に Splunk 用 Citrix Analytics アドオンをインストールして構成すると、Splunk ダッシュボードにシトリックスアナリティクスからのデータが表示されません。

チェック

この問題のトラブルシューティングを行うには、Splunk Forwarder または Splunk スタンドアロン環境で以下を確認します。

  1. Splunk 統合の前提条件が満たされていることを確認します

  2. [設定]>[データ入力]>[Citrix Analytics アドオン]Citrix Analytics の構成の詳細が利用可能であることを確認します

  3. 構成の詳細が利用できる場合は、次のクエリを実行して、SSplunk 向けCitrix Analytics アドオンに関連するエラーがないかログを確認します。

    index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
    
  4. エラーが見つからない場合、SSplunk 向けCitrix Analytics アドオンは期待どおりに動作しています。ログにエラーが見つかった場合は、次のいずれかの原因が考えられます。

    • Splunk 環境とCitrix Analytics Kafkaエンドポイント間の接続を確立できませんでした。この問題は、ファイアウォールの設定が原因である可能性があります。

      修正方法:この問題を解決するには、ネットワーク管理者に問い合わせてください。

    • [設定]>[データ入力]>[Citrix Analytics アドオン]の構成の詳細

      修正:ユーザー名、パスワード、ホストエンドポイント、トピック、コンシューマーグループなどのCitrix Analytics構成の詳細が、Citrix Analytics 構成ファイルに従って正しく入力されていることを確認します。詳しくは、「 Splunk 用の Citrix Analytics アドオンを構成する」を参照してください。

  5. 前述のログから問題の原因が見つからず、さらに調査する場合は、次の手順を実行します。

    1. 設定]>[データ入力]>[Citrix Analytics アドオンでデバッグモードを有効にします

      デフォルトでは、 Debug モードは無効になっています 。このモードを有効にすると、生成されるログが多すぎます。したがって、このオプションは必要な場合にのみ使用し、デバッグタスクが完了したら無効にしてください。

      設定

    2. 生成されたデバッグログを次の場所で探し、エラーがないか確認します。

      $SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
      
    3. (オプション)Splunk 用 Citrix Analytics splunk cmd python cas_siem_consumer_debug.py アドオンで使用できるデバッグスクリプトを使用します。このスクリプトは、Splunk 環境と接続チェックの詳細を含むログファイルを生成します。この詳細を使用して、問題をデバッグできます。以下のコマンドを使用してスクリプトを実行します。

      cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
      

エラーメッセージ

Splunk 用 Citrix Analytics アドオンに関連するログに、次のエラーが表示される場合があります。

ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}

このエラーは、ネットワーク接続の問題または認証の問題が原因で発生します。

この問題をデバッグするには、次の手順を実行します。

  1. Splunk Forwarder または Splunk スタンドアロン環境で、 デバッグモードを有効にしてデバッグログを取得します 。前のステップ 5.a を参照してください。

  2. 次のクエリを実行して、デバッグログで認証の問題を検出します。

    index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
    
  3. デバッグログに認証の問題が見つからない場合、エラーはネットワーク接続の問題が原因です。

  4. telnet または前のステップ 5.c で説明したデバッグスクリプトを使用して、問題を検出して解決します。

2.0.0 より前のバージョンからのアドオンのアップグレードが失敗する

Splunk Forwarder または Splunk スタンドアロン環境で、Splunk 用 Citrix Analytics アドオンを 2.0.0 より前のバージョンから最新バージョンにアップグレードすると 、アップグレードが失敗します。

解決された問題

  1. Citrix Analytics Splunk /bin アドオンインストールフォルダーのフォルダー内にある以下のファイルとフォルダーを削除します。

    • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin

    • rm -rf splunklib

    • rm -rf mac

    • rm -rf linux_x64

    • rm CARoot.pem

    • rm certificate.pem

  2. Splunk フォワーダまたは Splunk スタンドアロン環境を再起動します。

Splunk 用 Citrix Analytics アドオンの設定に関する問題