Splunk Config Load Balancing Citrix for logs on Splunk Cluster - Part 3: Chuyển Port đẩy log bằng CITRIX

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
Config Load Balancing Citrix for logs on Splunk Cluster
Phần 3: Chuyển Port đẩy log bằng CITRIX

1. Đặt vấn đề
Trong quá trình triển khai Splunk Cluster, thông thường các datasource đẩy log mặc định ở UDP:514. Hiện tại, đa số các datasource(Cisco, CheckPoint, Palo Alto,…) cho phép tùy chỉnh Protocol và Port đẩy log. Tuy nhiên, có một số các datasource không cho phép tùy chỉnh Protocol, Port đẩy log, chỉ cho phép đẩy log bằng UDP:514. Như vậy, sẽ có nhiều datasource cùng đẩy log về UDP:514, dẫn đến tình trạng không thể phân biệt được log, sourcetype tương ứng cho mỗi datasource. Do đó, để giải quyết vấn đề trên, sử dụng giải pháp LB của CITRIX để chuyển port đẩy log.

Như ta đã biết ở các Phần trước, để định danh cho một datasource đẩy log về, cần có đầy đủ ba yếu tố:

  • Địa chỉ IP đẩy log.
  • Giao thức đẩy log.
  • Port đẩy log.
Vì các nguồn datasource chỉ cố định đẩy log về UDP:514, tức là Giao thức đẩy log và Port đẩy log trùng nhau. Như vậy , để Citrix có thể phân biệt được các nguồn datasource, ta phải sử dụng địa chỉ IP đẩy log khác, việc này hoàn toàn có thể giải quyết bằng việc sizing thêm một địa chỉ IP đẩy log, tuy nhiên mất thêm một địa chỉ IP trong hệ thống.

Nội dung bài viết có kịch bản như sau:
  • Thiết bị cần đẩy log là WLC Cisco, chỉ đẩy log về được UDP:514, đã trùng với UDP:514 trước đó của thiết bị khác.
  • Sử dụng Citrix chuyển port đẩy log từ UDP:514 của WLC Cisco, thành UDP:5521.
  • Từ WLC Cisco, đẩy log về CITRIX bằng UDP:514.
  • Sau đó, CITRIX đẩy log về Indexer Splunk bằng UDP:5521.
2.Cấu hình Service Group.
Cấu hình Service Groups, tương ứng với quá trình đẩy log từ CITRIX đến Indexer Splunk, sử dụng UDP:5521.

Trên giao diện cấu hình Citrix, vào Traffic Management, chọn Service Groups. Sau đó chọn Add để tạo Service Groups mới cho WLC Cisco:
image001.jpg



Đặt tên cho Service Group, chọn Protocol đẩy log là UDP:
image003.jpg



Sau đó chọn OK:

image004.jpg



Click vào No Service Group Member, để chọn các Indexer Splunk cần dẩy log về:

image005.jpg



Chọn Server Based, sau đó Click vào Click to Select:

image007.jpg


Chọn các Indexer Splunk cần đẩy log về, sau đó chọn Select:
image009.jpg



Sau đó điền port cần đẩy log, ở đây, điền 5521, sau đó chọn Create:
image010.jpg


Sau đó chọn OK:
image011.jpg




Chọn Done để hoàn thành, chú ý, cần enable tính năng Use Client IP:

image013.jpg





3.Virtual Servers
Cấu hình Virtual Server, tương ứng với quá trình đẩy log từ WLC Cisco đến CITRIX , sử dụng UDP:514.

Ở bước này, ta cần Sizing thêm một địa chỉ IP x.x.144.17 để đẩy log từ WLC Cisco về CITRIX, trước khi cấu hình trên CITRIX, cần thực hiện lệnh “ping x.x.144.17 –t” trên CMD:

image015.jpg




Trên giao diện cấu hình Citrix, vào Traffic Management, chọn Virtual Servers. Sau đó chọn Add để tạo Virtual Servers mới cho WLC Cisco:

image016.jpg



Điền các thông tin Virtual Server như dưới đây, bao gồm tên, Protocol và Port, địa chỉ IP đẩy log từ WLC Cisco về CITRIX, sau đó chọn OK:
image018.jpg



Sau khi cấu hình thành công trên CITRIX, sẽ ping được đến địa chỉ IP vừa cấu hình:
image020.jpg



Sau đó, chọn Load Balancing Virtual Server ServiceGroupBinding:
image021.jpg


Click vào Click to Select:

image023.jpg



Chọn Service Groups tương ứng, sau đó click vào Select:
image024.jpg


Click vào Bind:
image026.jpg



Chọn Continue để tiếp tục:
image027.jpg



Click vào Method, để chọn giao thức cho LB Citrix:
image029.jpg




Chọn Method cho LB CITRIX như hình bên dưới, sau đó chọn OK:
image031.jpg


Click Done để hoàn thành:
image032.jpg


Như vậy, CITRIX đã sẵn sàng nhận log từ WLC Cisco.


4. Cấu hình trên Cluster Splunk
Sau khi cấu hình LB trên CITRIX, cần cấu hình trên Splunk để nhận log từ WLC Cisco.

Sử dụng WinSCP truy cập vào Deploy Server của SPLUNK CLUSTER. Sau đó đi đến thư mục:
/splunk/splunk/etc/master-apps/TA_HG_network/local/

Phải chuột vào file inputs.conf , chọn Edit:
image034.jpg




Cấu hình UDP:5521 theo cấu hình như hình bên dưới, sau đó save lại cấu hình:


Trở về giao diện Web của Deploy Server Splunk để push cấu hình trên xuống các Indexer.

Chọn Settings, sau đó chọn Indexer clustering:
image038.jpg



Chọn Edit, sau đó chọn Configuration Bundle Actions:
image039.jpg




Chọn Validate and Check Restart để kiểm tra cấu hình đã đúng chưa:
image040.jpg

Chọn Validate and Check Restart để xác nhận:
image041.jpg



Trạng thái Successful, đã check thành công, lúc này có thể Push cấu hình xuống Indexer:
image042.jpg



Chọn Push để đẩy các cấu hình xuống Indexer:
image043.jpg




Chọn Push Changes để xác nhận lại:
image044.jpg


Như vậy, Splunk Indexer đã sẵn sàng nhận log từ CITRIX.
 

Attachments

  • image003.jpg
    image003.jpg
    59.4 KB · Views: 0
  • image021.jpg
    image021.jpg
    99.3 KB · Views: 0
  • image023.jpg
    image023.jpg
    22.4 KB · Views: 0
  • image026.jpg
    image026.jpg
    21.5 KB · Views: 0
  • 1602469029936.jpeg
    1602469029936.jpeg
    61 KB · Views: 0
Last edited:
  • Love
Reactions: gani

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu