Splunk DEPLOY SPLUNK CLUSTER MULTI INDEXER Phần 3: Cấu hình CITRIX Load Balancing và cấu hình Splunk sau khi forward log.

6. Load Balacing.
Thực hiện Deploy Citrix, phục vụ chức năng Load Balancing cho các Datasource đẩy log về Splunk với các thông tin như bên dưới.

Thông tin tài nguyên cho CITRIX:


6.1 Deploy Citrix
Tại host Deploy Citrix, chọn Deploy OVF Template:




Chọn Local file, chọn UPLOAD FILES:





Chọn các file Citrix như hình dưới, sau đó chọn Open:



Sau đó chọn NEXT:




Đặt tên cho VM CITRIX, chọn thư mục chứa VM, sau đó chọn NEXT:




Chọn host deploy VM, sau đó chọn NEXT:




Review lại cấu hình VM:





Chọn Storage, sau đó chọn NEXT:





Chọn Card mạng MGMT cho CITRIX, sau đó chọn NEXT:




Review lại VM, sau đó chọn FINISH:




Sau đó đợi quá trình deploy VM CITRIX trên vCenter hoàn tất:




Sau khi quá trình deploy VM CITRIX trên vCenter hoàn tất, chọn ACTIONS> Power> Power On:



6.2 Cấu hình Network


Sau khi Power On VM CITRIX, tiến hành cấu hình IP MGMT cho CITRIX:



Sau khi CITRIX hoàn tất khởi động, sử dụng trình duyệt truy cập vào IP MGMT http://10.120.140.221 , sử dụng account default nsroot/nsroot để đăng nhập:




Chọn Continue để tiếp tục:




Sau khi đăng nhập thành công, chọn System>Network>IPs để kiểm tra các IP đã đặt trên CITRIX.




Để thực hiện cấu hình CITRIX có chức năng LoadBlancing, cần cấu hình theo mô hình dưới đâu:




Ta sẽ thực hiện add thêm 1 card mạng vào VM CITRIX, lớp 140 cùng với lớp của các Indexer của Splunk, sau đó đặt Subnet IP cho card mạng mới này. Sau đó, sẽ thực hiện cấu hình thêm 1 Virtual IP trên lớp 140 này, mục đích làm IP đại diện cho 04 Indexer của Splunk.

a)Add card mạng vào VM CITRIX trên vCenter
Để thêm card mạng cho VM CITRIX, chọn ACTIONS>Edit Settings:




Chọn ADD NEW DEVICE>Network Adapter:





Tại card mạng New Network, chọn lớp 140, sau đó chọn OK:




Trên giao diện CLI của CITRIX, thực hiện lệnh reboot, chọn Y để reboot lại CITRIX sau khi thêm card mạng.



b)Cấu hình Subnet IP cho card mạng vừa thêm.
Sau khi CITRIX khởi động, tiến hành cấu hình Subnet IP cho card mạng vừa thêm.

Chọn System > Network > IPs, chọn Add:




Hoàn thành các thông tin như hình dưới đây, sau đó chọn Create:

• IP Address: Subnet IP cho card mạng vừa mới thêm.
• Netmask: Netmask cho card mạng vừa mới thêm.
• Tắt tính năng Application Controls.

Sau khi cấu hình Subnet IP, kiểm tra tại System>Network>IPs:




Tiếp theo, cấu hình VLANs cho card mạng vừa thêm. Chọn System> Network> VLAN>Add:




Hoàn thành các thông tin như ảnh bên dưới, sau đó chọn Create:

• VLAN ID: 140(Vlan tương ứng với card mạng vừa thêm).
• Alias Name: Mô tả chi tiết.
• Tại Interface Bindings, chọn TAGGED cho interface 1/1.

Như vậy, đã hoàn tất cấu hình Network cho CITRIX.



6.3 Cấu hình LB cho Splunk
a)Enable LB trên CITRIX
Để Enable tính năng Load Blancing trên CITRIX, chọn System>Settings>Configure Basic Features:




Chọn tính năng Load Balancing, sau đó chọn OK:




Tiếp theo, enable tính năng Use Source IP, chọn System > Settings>Configure Modes:





Chọn Use Source IP, sau đó chọn OK:



b)Cấu hình Add Indexer Servers trên CITRIX
Để add các Indexer Splunk trên CITRIX, chọn Traffic Management>Load Balancing > Servers>Add:




Hoàn thành các thông tin trong hình bên dưới, sau đó chọn Create:

• Name: Tên của Indexer 01.
• IPAdress: Địa chỉ IP của Indexer 01

Thực hiện tương tự với các Indexer còn lại:



c)Cấu hình Service Group
Tiếp theo, tạo Service Group cho từng Datasource đẩy log về Splunk. Tùy mỗi loại Datasource sử dụng Protocol và mỗi Port để đẩy log về Splunk để thực hiện cấu hình Service Group tương ứng với mỗi loại Datasource. Ví dụ, tạo Service Group cho các Datasource là Linux và Windows sử dụng TCP:9997 đẩy log về Splunk.

Để tạo Service Group, chọn Traffic Management>Load Balancing > Service Groups>Add:




Hoàn thành các thông tin như hình sau:

• Name: Tên của Service Group, nên đặt tên gồm: Giao thức, số Port, service group cho VLAN nào.
• Protocal: Giao thức đẩy log(ở đây là TCP).

Tiếp theo, chọn No Service Group Member:




Chọn Server Based>Click to select:




Chọn 4 Indexer Server, sau đó chọn Select:




Điền số Port của Service Group sử dụng, sau đó chọn Create:




Chọn OK để tiếp tục:




Chọn Done để hoàn thành:





Như vậy, đã hoàn thành tạo Service Group cho TCP:9997:



d)Cấu hình Virtual IP trên CITRIX


Tiếp theo, tạo một Virtual IP tương ứng cho Service Group vừa tạo ở bước trên(TCP:9997). Một Virtual IP có thể có nhiều Service Group, nhưng các Service Group phải đảm bảo nguyên tắc không được trùng nhau. Service Group được định danh trên Citrix bởi Protocol và số Port.

Để tạo Virtual Server, chọn Traffic Management>Load Balancing > Virtual Servers>Add:




Hoàn thành các thông tin theo hình dưới đây, sau đó chọn OK:

• Name: Tên của Virtual Server, đặt tên gồm: Protocol, số Port và VLAN tương ứng.
• Protocol:Giao thức tương ứng với Service Group bên trên, ở đây là TCP.
• IP Address Type.
• IP Address: Virtual IP được sử dụng làm đại diện cho 4 Indexer, ở đây theo sizing là 10.120.140.211
• Port: Port tương ứng với Service Group tương ứng bên trên, ở đây là 9997.

Chọn No Load Balancing Virtual Server ServiceGroup Binding:





Chọn Click to Select:





Tích chọn Service Group tương ứng, sau đó chọn Select:




Sau đó chọn Bind:




Sau đó chọn Continue:




Tiếp theo chọn Method để chọn thuật toán Load Balancing:




Sau đó chọn thuật toán Load Balancing như hình dưới, sau đó chọn OK:




Sau đó chọn Done:




Hoàn thành tạo Virtual Server cho Service Group TCP:9997:


Như vậy, đã hoàn thành cấu hình LB cho Splunk sử dụng TCP:9997 trên VLAN 140. Việc cấu hình LB cho Splunk sử dụng Protocol và Port khác cũng tương tự các bước như trên.


7. Cấu hình Cluster sau khi Forward log
Sau khi cấu hình Load Balancing, tiến hành cấu hình đẩy log về Splunk, sử dụng Protocol, Port đã sizing, chuyển hướng đến IP của Virtual Server. Bước này sẽ có bài viết hướng dẫn cách cấu hình đẩy log cho từng loại Datasource. Sau khi cấu hình đẩy log từ các Datasource, tiết hành cấu hình Role trên từng thành phần trong hệ thống Splunk theo các mục dưới đây.

7.1 Cấu hình Roles cho Master server, Search Head server, Indexer server
Trên Master server, chọn Settings>Roles:




Trong Name, chọn admin:




Trong tab Indexes, tại All non-internal indexes, tích chọn Default, sau đó chọn Save:




Thực hiện cấu hình Roles tương tự cho các Indexer server, Search Head server trong hệ thống Splunk.



7.2 Kiểm tra Search Head server sau khi cấu hình
Sau khi cấu hình Roles trên các thành phần trong hệ thống Splunk, lúc này, Search Head đã có thực hiện chức năng Search trên 04 Indexer.

Kiểm tra bằng cách truy cập vào Splunk Web của Search Head, Chọn Data Summary:




Tại tab Sources, đã thấy log của Datasource sử dụng UDP:5527 để đẩy log:



Chọn udp:5527:





Sau đó, kiểm tra lại các thông tin như host, sourcetype,… đã đúng với định dạng log của Datasource vừa đẩy về hay chưa, như hình dưới, đã đúng định dạng của log Fortinet đã đẩy về Splunk:






Như vậy, đã hoàn tất việc cấu hình Clustering Splunk, thực hiện đẩy log các Datasource sau đó tiến hành kiểm tra tương tự các bước trên.