-
-
Splunk 集成
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
与 Splunk 集成
现在,您可以将 Citrix ADM 与 Splunk 集成,在 Splunk 控制板中查看 WAF 和机器人违规分析。Splunk 插件使您能够:
-
合并所有其他外部数据源。
-
集中提供更高的分析可见性。
Citrix ADM 收集机器人和 WAF 事件,并定期发送到 Splunk。Splunk 通用信息模型 (CIM) 插件将事件转换为 CIM 兼容数据。作为管理员,您可以使用 CIM 兼容数据,在 Splunk 控制板中查看 WAF 和机器人违规情况。
必备条件
要集成 Splunk,您必须:
设置全局设置
-
登录 Splunk。
-
导航到 设置 > 数据输入 > HTTP 事件收集器。 将显示 HTTP 事件收集器 页面。
-
单击“全局设置”。
-
指定以下参数并单击“保存”。
注意
默认情况下,HTTP 端口号表示默认端口。如果您有任何其他首选端口号,则可以指定所需的端口号。
在 Splunk 中设置 HTTP 事件收集器端点
-
登录 Splunk。
-
导航到 设置 > 数据输入 > HTTP 事件收集器。 将显示 HTTP 事件收集器 页面。
-
单击“新建票证”。
-
指定以下内容:
-
名称:指定您选择的名称。
-
源名称覆盖(可选):如果设置一个值,它将覆盖 HTTP 事件收集器的源值。
-
描述(可选):指定描述。
-
输出组(可选):默认情况下,此选项被选为无。
-
启用索引器确认:默认情况下,未选择此选项。
-
点击 下一步
-
在“输入设置”页面中,指定 源类型、 应用程序上下文、 索引,然后单击“查看”。
-
检查您指定的所有内容是否正确,然后单击“提交”。 生成令牌。在 Citrix ADM 中添加详细信息时,必须使用此令牌。
-
安装 Splunk 通用信息模型
在 Splunk 中,您必须安装 Splunk CIM 以确保数据已填充到控制板中。
-
登录 Splunk。
-
导航到 应用程序 > 查找更多应用程序。
-
在搜索栏中键入 CIM ,然后按 Enter 获取 Splunk 通用信息模型 (CIM) 插件,然后单击“安装”。
安装 Citrix CIM 标准化器
安装 Splunk CIM 后,必须安装 Citrix CIM 规范器才能将事件转换为 Splunk CIM。
-
登录 Citrix 下载页面并下载适用 于 Splunk 的 Citrix CIM 附加组件。
-
在 Splunk 门户中,导航到 应用程序 > 管理应用程序。
-
单击“从文件安装应用程序”。
-
上载 .spl 或 .tgz 文件,然后单击 上载。
您会在 应用程序 页面上收到一条通知消息,告知加载项已安装。
添加 Splunk HTTP 收集器和令牌详细信息
生成令牌后,必须在 Citrix ADM 中添加详细信息才能与 Splunk 集成。
-
登录到 Citrix ADM。
-
导航到 设置 > 生态系统集成。
-
在“订阅”页面中,单击“添加”。
-
在“选择要订阅的功能”选项卡中,您可以选择要导出的功能,然后单击“下一步”。
-
实时导出 -选定的违规将立即导出到 Splunk。
-
定期导出 -根据您选择的持续时间,将选定的违规行为导出到 Splunk。
-
-
在“指定导出配置”选项卡中:
-
端点类型 -从列表中选择 Splunk 。
-
终点 — 指定 Splunk 端点的详细信息。终点必须采用以下 https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event 格式。
注意
出于安全考虑,建议使用 HTTPS。
-
SPLUNK_PUBLIC_IP — 为 Splunk 配置的有效 IP 地址。
-
SPLUNK_HEC_PORT — 表示您在 HTTP 事件端点配置期间指定的端口号。默认端口号为 8088。
-
服务/收集器/事件 — 表示 HEC 应用程序的路径。
-
-
身份验证令牌 -从 Splunk 页面复制并粘贴身份验证令牌。
-
单击下一步。
-
-
在“订 阅”页面中:
-
导出频率 — 从列表中选择“每天”或“每小时”。根据选择,Citrix ADM 会将详细信息导出到 Splunk。
注意
仅当您在“定期导出”中选择了违规行为时才适用。
-
订阅名称 — 指定您选择的名称。
-
选中“启用通知”复选框。
-
单击 Submit(提交)。
注意
-
首次使用“定期导出”选项进行配置时,所选要素数据会立即推送到 Splunk。下一次导出频率取决于您的选择(每天或每小时)。
-
首次使用 实时导出 选项进行配置时,一旦在 Citrix ADM 中检测到违规行为,所选要素数据就会立即推送到 Splunk。
-
-
在 Splunk 中验证详细信息
在 Citrix ADM 中添加详细信息后,您可以验证 Splunk 是否收到事件。
-
在 Splunk 主页上,单击“搜索和报告”。
-
在搜索栏中,在搜索栏中键入详细信息,从列表中选择持续时间,然后单击搜索图标或按 Enter。例如,您可以键入
sourcetype=”bot”、sourcetype=”waf”或sourcetype="ml"来查看详细信息。
以下搜索结果是违反 WAF 的示例:
以下搜索结果是机器人违规的示例:
访问 Pivot 详情
必须确定数据模型类型才能查看数据透视详情。例如,Splunk 插件将 WAF 和机器人事件转换为 CIM 格式,使用最接近的数据模型类型,例如警报和入侵检测。
要访问 Splunk 中的事件,请执行以下操作:
-
导航到 设置 > 数据模型。
-
识别入侵检测 数据模型,然后单击“透视”。
-
选择一个数据集。在以下示例中,选择了 IDS 攻击 选项。
显示 IDS 攻击 的总数。
您也可以单击 + 按钮向表格添加更多详细信息。以下示例根据严重性、类别和签名 ID 显示详细信息:
Splunk 控制板
使用控制板,您可以通过图表、表格、列表等面板查看 WAF 和机器人违规分析的详细信息。您可以配置:
-
控制面板,其中包含使用 CIM 兼容数据的应用程序。
-
从 CIM 数据模型提取数据的自定义控制板。
根据您的选择,您可以创建控制板。有关更多信息,请参阅 Splunk 文档 中的 关于控制板部分。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.