产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

将审计日志和事件直接从 NetScaler 导出到 Splunk

October 25, 2023
投稿者: 
C

审计日志记录使您能够记录 NetScaler 状态和由 NetScaler 中各种模块收集的状态信息。通过查看日志,您可以解决问题或错误并进行修复。

现在,您可以将审核日志和事件从 NetScaler 导出到 Splunk 等行业标准日志聚合器平台,并获得有意义的见解。

有多种方法可以将审核日志从 NetScaler 导出到 Splunk。您可以将 Splunk 配置为系统日志服务器或 HTTP 服务器。本主题提供有关使用 Splunk HTTP 事件收集器将 Splunk 配置为 HTTP 服务器的信息。使用 HTTP 事件收集器,您可以通过 HTTP(或 HTTPS)将审核日志从 NetScaler 直接发送到 Splunk 平台。

注意:

目前不支持将非数据包引擎 (PE) 日志从 NetScaler 导出到 Splunk。

配置将审计日志从 NetScaler 导出到 Splunk

要配置审计日志的导出,必须执行以下步骤:

  1. 在 Splunk 上配置 HTTP 事件收集器。
  2. 在 NetScaler 上创建收集器服务和时间序列分析配置文件。

在 Splunk 上配置 HTTP 事件收集器

您可以通过配置 HTTP 事件收集器将审核日志转发到 Splunk。

有关如何配置 HTTP 事件收集器的信息,请参阅 Splunk 文档

配置 HTTP 事件收集器后,复制身份验证令牌并将其保存以供参考。在 NetScaler 上配置分析配置文件时,您需要指定此标记。

在 NetScaler 上配置时间序列分析配置文件

执行以下操作将 NetScaler 审核日志导出到 Splunk。

  1. 为 Splunk 创建收集器服务。

    add service <collector> <splunk-server-ip-address> <protocol> <port>

    示例:

    add service splunk_service 10.102.34.155 HTTP 8088

    在此配置中:

    • ip-address:指定 Splunk 服务器 IP 地址。
    • collector-name:指定收集器。
    • protocol: 将协议指定为 HTTP 或 HTTPS
    • port:指定端口号。

  2. 创建时间序列分析配置文件。

        add analytics profile <profile-name> -type time series -auditlog enabled -collectors <collector-name>  -analyticsAuthToken <"auth-tocken">
    -analyticsEndpointContentType <"Application/json"> -analyticsEndpointMetadata <"meta-data-for-endpoint:"> -analyticsEndpointUrl <"endpoint-url">

    示例:

        add analytics profile audit_profile -type timeseries -auditlog enabled -collectors splunk -analyticsAuthToken "1234-5678-12345" -analyticsEndpointContentType "Application/json" -analyticsEndpointMetadata "Event:" -analyticsEndpointUrl "/services/collector/event"

    在此配置中:

    • auditlog:将值指定为 enabled 以启用审计日志。

    • analyticsAuthToken:指定向 Splunk 发送日志时要包含在授权标头中的身份验证令牌。此令牌是配置 HTTP 事件收集器时在 Splunk 服务器上创建的身份验证令牌。

    • analyticsEndpointContentType: 指定日志的格式。

    • analyticsEndpointMetadata:指定特定于端点的元数据。

    • analyticsEndpointUrl:在端点中 指定导出日志的位置。

    注意:

    您可以使用 set analytics profile 命令修改时间序列分析配置文件参数。

  3. 使用 show analytics profile 命令验证分析配置文件配置。

    # show analytics profile audit_profile

1)    Name: audit_profile
      Collector: splunk
      Profile-type: timeseries
            Output Mode: avro
            Metrics: DISABLED
              Schema File: schema.json
              Metrics Export Frequency: 30
            Events: DISABLED
            Auditlog: ENABLED
            Serve mode: Push
       Authentication Token: <auth-tocken> 
       Endpoint URL: /services/collector/event
       Endpoint Content-type: Application/json
       Endpoint Metadata: Event:
       Reference Count: 0

配置成功后,审核日志将作为 HTTP 有效载荷发送到 Splunk,您可以在 Splunk 应用程序用户界面上查看。

将审计日志和事件直接从 NetScaler 导出到 Splunk
October 25, 2023
投稿者: 
C
October 25, 2023
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.