pluto
Moderator
- Joined
- Sep 8, 2020
- Messages
- 51
- Reaction score
- 11
- Points
- 8
Config Load Balancing Citrix for logs on Splunk Cluster
Phần 3: Chuyển Port đẩy log bằng CITRIX
Phần 3: Chuyển Port đẩy log bằng CITRIX
1. Đặt vấn đề
Trong quá trình triển khai Splunk Cluster, thông thường các datasource đẩy log mặc định ở UDP:514. Hiện tại, đa số các datasource(Cisco, CheckPoint, Palo Alto,…) cho phép tùy chỉnh Protocol và Port đẩy log. Tuy nhiên, có một số các datasource không cho phép tùy chỉnh Protocol, Port đẩy log, chỉ cho phép đẩy log bằng UDP:514. Như vậy, sẽ có nhiều datasource cùng đẩy log về UDP:514, dẫn đến tình trạng không thể phân biệt được log, sourcetype tương ứng cho mỗi datasource. Do đó, để giải quyết vấn đề trên, sử dụng giải pháp LB của CITRIX để chuyển port đẩy log.
Như ta đã biết ở các Phần trước, để định danh cho một datasource đẩy log về, cần có đầy đủ ba yếu tố:
- Địa chỉ IP đẩy log.
- Giao thức đẩy log.
- Port đẩy log.
Nội dung bài viết có kịch bản như sau:
- Thiết bị cần đẩy log là WLC Cisco, chỉ đẩy log về được UDP:514, đã trùng với UDP:514 trước đó của thiết bị khác.
- Sử dụng Citrix chuyển port đẩy log từ UDP:514 của WLC Cisco, thành UDP:5521.
- Từ WLC Cisco, đẩy log về CITRIX bằng UDP:514.
- Sau đó, CITRIX đẩy log về Indexer Splunk bằng UDP:5521.
Cấu hình Service Groups, tương ứng với quá trình đẩy log từ CITRIX đến Indexer Splunk, sử dụng UDP:5521.
Trên giao diện cấu hình Citrix, vào Traffic Management, chọn Service Groups. Sau đó chọn Add để tạo Service Groups mới cho WLC Cisco:
Đặt tên cho Service Group, chọn Protocol đẩy log là UDP:
Sau đó chọn OK:
Click vào No Service Group Member, để chọn các Indexer Splunk cần dẩy log về:
Chọn Server Based, sau đó Click vào Click to Select:
Chọn các Indexer Splunk cần đẩy log về, sau đó chọn Select:
Sau đó điền port cần đẩy log, ở đây, điền 5521, sau đó chọn Create:
Sau đó chọn OK:
Chọn Done để hoàn thành, chú ý, cần enable tính năng Use Client IP:
3.Virtual Servers
Cấu hình Virtual Server, tương ứng với quá trình đẩy log từ WLC Cisco đến CITRIX , sử dụng UDP:514.
Ở bước này, ta cần Sizing thêm một địa chỉ IP x.x.144.17 để đẩy log từ WLC Cisco về CITRIX, trước khi cấu hình trên CITRIX, cần thực hiện lệnh “ping x.x.144.17 –t” trên CMD:
Trên giao diện cấu hình Citrix, vào Traffic Management, chọn Virtual Servers. Sau đó chọn Add để tạo Virtual Servers mới cho WLC Cisco:
Điền các thông tin Virtual Server như dưới đây, bao gồm tên, Protocol và Port, địa chỉ IP đẩy log từ WLC Cisco về CITRIX, sau đó chọn OK:
Sau khi cấu hình thành công trên CITRIX, sẽ ping được đến địa chỉ IP vừa cấu hình:
Sau đó, chọn Load Balancing Virtual Server ServiceGroupBinding:
Click vào Click to Select:
Chọn Service Groups tương ứng, sau đó click vào Select:
Click vào Bind:
Chọn Continue để tiếp tục:
Click vào Method, để chọn giao thức cho LB Citrix:
Chọn Method cho LB CITRIX như hình bên dưới, sau đó chọn OK:
Click Done để hoàn thành:
Như vậy, CITRIX đã sẵn sàng nhận log từ WLC Cisco.
4. Cấu hình trên Cluster Splunk
Sau khi cấu hình LB trên CITRIX, cần cấu hình trên Splunk để nhận log từ WLC Cisco.
Sử dụng WinSCP truy cập vào Deploy Server của SPLUNK CLUSTER. Sau đó đi đến thư mục:
/splunk/splunk/etc/master-apps/TA_HG_network/local/
Phải chuột vào file inputs.conf , chọn Edit:
Cấu hình UDP:5521 theo cấu hình như hình bên dưới, sau đó save lại cấu hình:
Trở về giao diện Web của Deploy Server Splunk để push cấu hình trên xuống các Indexer.
Chọn Settings, sau đó chọn Indexer clustering:
Chọn Edit, sau đó chọn Configuration Bundle Actions:
Chọn Validate and Check Restart để kiểm tra cấu hình đã đúng chưa:
Chọn Validate and Check Restart để xác nhận:
Trạng thái Successful, đã check thành công, lúc này có thể Push cấu hình xuống Indexer:
Chọn Push để đẩy các cấu hình xuống Indexer:
Chọn Push Changes để xác nhận lại:
Như vậy, Splunk Indexer đã sẵn sàng nhận log từ CITRIX.
Attachments
Last edited: