将Citrix ADM与Splunk集成

现在，您可以将Citrix ADM服务与Splunk集成，以便在Splunk仪表板中查看WAF和Bot违规的分析。Splunk附加组件使您能够：

• 合并所有其他外部数据源

• 在集中的位置提供更高的分析可视性

Citrix ADM收集Bot和WAF事件，并定期发送给Splunk。Splunk公共信息模型（CIM）插件将事件转换为与CIM兼容的数据。作为管理员，使用CIM兼容数据，您可以在Splunk仪表板中查看WAF和Bot冲突。

先决条件

对于Splunk集成，您必须：

• 设置全局设置

• 在Splunk中设置HTTP事件收集器终结点

• 安装Splunk公共信息模型（CIM）加载项

• 安装Citrix CIM规范化器

• 在Citrix ADM服务中添加Splunk HTTP收集器和令牌详细信息

设置全局设置

1. 登录到Splunk

2. 引导到设置>数据输入>HTTP事件采集器这个HTTP事件收集器页面显示

3. 点击全局设置

4. 指定以下参数并单击拯救

   笔记

   默认情况下，HTTP端口号表示默认端口。如果您有任何其他首选端口号，则可以指定所需的端口号。

在Splunk中设置HTTP事件收集器终结点

1. 登录到Splunk

2. 引导到设置>数据输入>HTTP事件采集器这个HTTP事件收集器页面显示

3. 点击新代币

4. 指定以下内容：

   1. 名称：指定您选择的名称

   2. 源名称覆盖（可选）：如果设置值，它将覆盖HTTP事件收集器的源值

   3. 描述(可选)：指定说明

   4. 输出组（可选）：默认情况下，此选项选择为无

   5. 启用索引器确认：默认情况下，未选择此选项

   6. 点击下一个

   7. 在输入设置第页，指定源类型,应用程序上下文,指数，然后单击回顾

   8. 检查您指定的所有内容是否正确，然后单击提交生成令牌。在ADM中添加详细信息时必须使用此令牌

安装Splunk公共信息模型

在Splunk中，必须安装Splunk CIM以确保在仪表板中填充数据。

1. 登录到Splunk

2. 引导到应用>查找更多应用

3. 类型CIM在搜索栏中，按进来得到Splunk公共信息模型（CIM）加载项，然后单击安装

安装Citrix CIM规范化器

安装Splunk CIM后，必须安装Citrix CIM normalizer以将事件转换为Splunk CIM。

1. 登录Citrix下载页面并下载Splunk的Citrix CIM附加组件

2. 在Splunk门户中，导航到应用>管理应用

3. 点击从文件安装应用程序

4. 上传spl先生或tgz先生文件并单击上载

   您将在上收到一条通知消息应用程序已安装加载项的页面

在ADM服务中添加Splunk HTTP收集器和令牌详细信息

生成令牌后，必须在ADM服务中添加详细信息，以便与Splunk集成。

1. 登录到Citrix ADM

2. 引导到设置>生态系统集成

   这个创建订阅页面显示

3. 在选择要订阅的功能选项卡可用于选择要导出的要素并单击下一个

   • 实时导出-使您能够实时导出到Splunk

   • 定期出口-允许您根据选择的持续时间导出到Splunk

4. 在指定导出配置选项卡：

   1. 端点类型–选择喷溅从名单上

   2. 终点–指定Splunk端点详细信息。终点必须在https://SPLUNK_PUBLIC_IP:SPLUNK_HEC_PORT/services/collector/event总体安排

      笔记

      出于安全原因，建议使用HTTPS。

      • SPLUNK_PUBLIC_IP–为Splunk配置的有效IP地址

      • SPLUNK_HEC_端口–表示在HTTP事件端点配置期间指定的端口号。默认端口号为8088

      • 服务/收集器/事件–表示HEC应用程序的路径

   3. 身份验证令牌–从Splunk页面复制并粘贴身份验证令牌

   4. 点击下一个

5. 在订阅第页：

   1. 输出频率—在列表中选择“每日”或“每小时”。根据选择，Citrix ADM将详细信息导出到Splunk

   2. 订阅名–指定您选择的名称

   3. 点击提交

      笔记

      当您第一次配置时，所选择的特性数据会立即推送到Splunk。下一个导出频率基于您的选择(每天或每小时)。

在Splunk中验证详细信息

在ADM中添加详细信息后，可以验证Splunk是否接收到事件。

1. 在Splunk主页中，单击搜索和报告

2. 在搜索栏中，在搜索栏中键入详细信息，从列表中选择持续时间，然后单击搜索图标或按Enter键。例如，您可以键入sourcetype=“bot”或sourcetype=“waf”查看详情

   以下搜索结果是WAF违规的一个示例：

   以下搜索结果针对机器人程序违规：

访问轴详细信息

必须标识数据模型类型才能查看数据透视详细信息。例如，Splunk插件以CIM格式转换WAF和Bot事件，并使用最接近的数据模型类型，如警报和入侵检测。

要访问Splunk中的事件，请执行以下操作：

1. 引导到设置>数据模型

2. 识别入侵检测数据模型并单击支点

3. 选择一个数据集。在以下示例中，选择了IDS攻击选项

   将显示IDS攻击的总数。

   您也可以单击+按钮向表中添加更多详细信息。以下示例显示了基于严重性、类别和签名ID的详细信息：

Splunk仪表板

使用仪表板，您可以通过图表、表格、列表等面板查看WAF和Bot违规分析的详细信息。您可以配置：

• 带有使用CIM兼容数据的应用程序的仪表板。

• 从CIM数据模型中提取数据的自定义仪表板。

根据您的选择，您可以创建仪表板。有关更多信息，请参阅关于仪表板Splunk文档中的节。