Splunk DEPLOY SPLUNK CLUSTER MULTI INDEXER Phần 3: Cấu hình CITRIX Load Balancing và cấu hình Splunk sau khi forward log.

pluto

Moderator
DEPLOY SPLUNK CLUSTER MULTI INDEXER

Phần 3: Cấu hình CITRIX Load Balancing và cấu hình Splunk sau khi forward log.​


6. Load Balacing.
Thực hiện Deploy Citrix, phục vụ chức năng Load Balancing cho các Datasource đẩy log về Splunk với các thông tin như bên dưới.

Thông tin tài nguyên cho CITRIX:
1613383325613.png


6.1 Deploy Citrix
Tại host Deploy Citrix, chọn Deploy OVF Template:
1613383348935.png
Chọn Local file, chọn UPLOAD FILES:
1613383362599.png

Chọn các file Citrix như hình dưới, sau đó chọn Open:
1613383377678.pngSau đó chọn NEXT:
1613383394802.png
Đặt tên cho VM CITRIX, chọn thư mục chứa VM, sau đó chọn NEXT:
1613383407973.png
Chọn host deploy VM, sau đó chọn NEXT:
1613383424491.png
Review lại cấu hình VM:
1613383436399.png

Chọn Storage, sau đó chọn NEXT:
1613383449198.png

Chọn Card mạng MGMT cho CITRIX, sau đó chọn NEXT:
1613383462237.png
Review lại VM, sau đó chọn FINISH:
1613383477124.png
Sau đó đợi quá trình deploy VM CITRIX trên vCenter hoàn tất:
1613383491957.png
Sau khi quá trình deploy VM CITRIX trên vCenter hoàn tất, chọn ACTIONS> Power> Power On:
1613383505074.png6.2 Cấu hình Network


Sau khi Power On VM CITRIX, tiến hành cấu hình IP MGMT cho CITRIX:
1613383521703.pngSau khi CITRIX hoàn tất khởi động, sử dụng trình duyệt truy cập vào IP MGMT http://10.120.140.221 , sử dụng account default nsroot/nsroot để đăng nhập:
1613383536939.png
Chọn Continue để tiếp tục:
1613383550096.png
Sau khi đăng nhập thành công, chọn System>Network>IPs để kiểm tra các IP đã đặt trên CITRIX.
1613383563363.png
Để thực hiện cấu hình CITRIX có chức năng LoadBlancing, cần cấu hình theo mô hình dưới đâu:
1613383576012.png
Ta sẽ thực hiện add thêm 1 card mạng vào VM CITRIX, lớp 140 cùng với lớp của các Indexer của Splunk, sau đó đặt Subnet IP cho card mạng mới này. Sau đó, sẽ thực hiện cấu hình thêm 1 Virtual IP trên lớp 140 này, mục đích làm IP đại diện cho 04 Indexer của Splunk.

a)Add card mạng vào VM CITRIX trên vCenter
Để thêm card mạng cho VM CITRIX, chọn ACTIONS>Edit Settings:
1613383590600.png
Chọn ADD NEW DEVICE>Network Adapter:
1613383603009.png

Tại card mạng New Network, chọn lớp 140, sau đó chọn OK:
1613383615303.png
Trên giao diện CLI của CITRIX, thực hiện lệnh reboot, chọn Y để reboot lại CITRIX sau khi thêm card mạng.
1613383629084.pngb)Cấu hình Subnet IP cho card mạng vừa thêm.
Sau khi CITRIX khởi động, tiến hành cấu hình Subnet IP cho card mạng vừa thêm.

Chọn System > Network > IPs, chọn Add:
1613383644643.png
Hoàn thành các thông tin như hình dưới đây, sau đó chọn Create:
 • IP Address: Subnet IP cho card mạng vừa mới thêm.
 • Netmask: Netmask cho card mạng vừa mới thêm.
 • Tắt tính năng Application Controls.
1613383659487.png

Sau khi cấu hình Subnet IP, kiểm tra tại System>Network>IPs:
1613383672445.png
Tiếp theo, cấu hình VLANs cho card mạng vừa thêm. Chọn System> Network> VLAN>Add:
1613383685906.png
Hoàn thành các thông tin như ảnh bên dưới, sau đó chọn Create:
 • VLAN ID: 140(Vlan tương ứng với card mạng vừa thêm).
 • Alias Name: Mô tả chi tiết.
 • Tại Interface Bindings, chọn TAGGED cho interface 1/1.
1613383703390.pngNhư vậy, đã hoàn tất cấu hình Network cho CITRIX.6.3 Cấu hình LB cho Splunk
a)Enable LB trên CITRIX
Để Enable tính năng Load Blancing trên CITRIX, chọn System>Settings>Configure Basic Features:
1613383720743.png
Chọn tính năng Load Balancing, sau đó chọn OK:
1613383731808.png
Tiếp theo, enable tính năng Use Source IP, chọn System > Settings>Configure Modes:
1613383744047.png

Chọn Use Source IP, sau đó chọn OK:
1613383757461.pngb)Cấu hình Add Indexer Servers trên CITRIX
Để add các Indexer Splunk trên CITRIX, chọn Traffic Management>Load Balancing > Servers>Add:
1613383770237.png
Hoàn thành các thông tin trong hình bên dưới, sau đó chọn Create:
 • Name: Tên của Indexer 01.
 • IPAdress: Địa chỉ IP của Indexer 01
1613383784974.png

Thực hiện tương tự với các Indexer còn lại:
1613383796832.pngc)Cấu hình Service Group
Tiếp theo, tạo Service Group cho từng Datasource đẩy log về Splunk. Tùy mỗi loại Datasource sử dụng Protocol và mỗi Port để đẩy log về Splunk để thực hiện cấu hình Service Group tương ứng với mỗi loại Datasource. Ví dụ, tạo Service Group cho các Datasource là Linux và Windows sử dụng TCP:9997 đẩy log về Splunk.

Để tạo Service Group, chọn Traffic Management>Load Balancing > Service Groups>Add:

1613383811051.pngHoàn thành các thông tin như hình sau:
 • Name: Tên của Service Group, nên đặt tên gồm: Giao thức, số Port, service group cho VLAN nào.
 • Protocal: Giao thức đẩy log(ở đây là TCP).
1613383826038.png

Tiếp theo, chọn No Service Group Member:
1613383840537.png
Chọn Server Based>Click to select:
1613383854043.png
Chọn 4 Indexer Server, sau đó chọn Select:
1613383866935.png
Điền số Port của Service Group sử dụng, sau đó chọn Create:
1613383879966.png
Chọn OK để tiếp tục:
1613383893654.png
Chọn Done để hoàn thành:
1613383905669.png

Như vậy, đã hoàn thành tạo Service Group cho TCP:9997:
1613383918843.pngd)Cấu hình Virtual IP trên CITRIX


Tiếp theo, tạo một Virtual IP tương ứng cho Service Group vừa tạo ở bước trên(TCP:9997). Một Virtual IP có thể có nhiều Service Group, nhưng các Service Group phải đảm bảo nguyên tắc không được trùng nhau. Service Group được định danh trên Citrix bởi Protocol và số Port.

Để tạo Virtual Server, chọn Traffic Management>Load Balancing > Virtual Servers>Add:
1613383935908.png
Hoàn thành các thông tin theo hình dưới đây, sau đó chọn OK:
 • Name: Tên của Virtual Server, đặt tên gồm: Protocol, số Port và VLAN tương ứng.
 • Protocol:Giao thức tương ứng với Service Group bên trên, ở đây là TCP.
 • IP Address Type.
 • IP Address: Virtual IP được sử dụng làm đại diện cho 4 Indexer, ở đây theo sizing là 10.120.140.211
 • Port: Port tương ứng với Service Group tương ứng bên trên, ở đây là 9997.
1613383954264.pngChọn No Load Balancing Virtual Server ServiceGroup Binding:
1613383966191.png

Chọn Click to Select:
1613383984164.png

Tích chọn Service Group tương ứng, sau đó chọn Select:
1613383994955.png
Sau đó chọn Bind:
1613384006795.png
Sau đó chọn Continue:
1613384019256.png
Tiếp theo chọn Method để chọn thuật toán Load Balancing:
1613384033453.png
Sau đó chọn thuật toán Load Balancing như hình dưới, sau đó chọn OK:
1613384050288.png
Sau đó chọn Done:
1613384067716.png
Hoàn thành tạo Virtual Server cho Service Group TCP:9997:
1613384080701.png


Như vậy, đã hoàn thành cấu hình LB cho Splunk sử dụng TCP:9997 trên VLAN 140. Việc cấu hình LB cho Splunk sử dụng Protocol và Port khác cũng tương tự các bước như trên.


7. Cấu hình Cluster sau khi Forward log
Sau khi cấu hình Load Balancing, tiến hành cấu hình đẩy log về Splunk, sử dụng Protocol, Port đã sizing, chuyển hướng đến IP của Virtual Server. Bước này sẽ có bài viết hướng dẫn cách cấu hình đẩy log cho từng loại Datasource. Sau khi cấu hình đẩy log từ các Datasource, tiết hành cấu hình Role trên từng thành phần trong hệ thống Splunk theo các mục dưới đây.

7.1 Cấu hình Roles cho Master server, Search Head server, Indexer server
Trên Master server, chọn Settings>Roles:
1613384103459.png
Trong Name, chọn admin:
1613384115282.png
Trong tab Indexes, tại All non-internal indexes, tích chọn Default, sau đó chọn Save:
1613384127905.png
Thực hiện cấu hình Roles tương tự cho các Indexer server, Search Head server trong hệ thống Splunk.7.2 Kiểm tra Search Head server sau khi cấu hình
Sau khi cấu hình Roles trên các thành phần trong hệ thống Splunk, lúc này, Search Head đã có thực hiện chức năng Search trên 04 Indexer.

Kiểm tra bằng cách truy cập vào Splunk Web của Search Head, Chọn Data Summary:
1613384145496.png
Tại tab Sources, đã thấy log của Datasource sử dụng UDP:5527 để đẩy log:
1613384157715.pngChọn udp:5527:
1613384169367.png

Sau đó, kiểm tra lại các thông tin như host, sourcetype,… đã đúng với định dạng log của Datasource vừa đẩy về hay chưa, như hình dưới, đã đúng định dạng của log Fortinet đã đẩy về Splunk:
1613384183472.png


Như vậy, đã hoàn tất việc cấu hình Clustering Splunk, thực hiện đẩy log các Datasource sau đó tiến hành kiểm tra tương tự các bước trên.
 

Attachments

Top