Splunk DEPLOY SPLUNK CLUSTER MULTI INDEXER Phần 3: Cấu hình CITRIX Load Balancing và cấu hình Splunk sau khi forward log.

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
DEPLOY SPLUNK CLUSTER MULTI INDEXER

Phần 3: Cấu hình CITRIX Load Balancing và cấu hình Splunk sau khi forward log.​


6. Load Balacing.
Thực hiện Deploy Citrix, phục vụ chức năng Load Balancing cho các Datasource đẩy log về Splunk với các thông tin như bên dưới.

Thông tin tài nguyên cho CITRIX:
1613383325613.png


6.1 Deploy Citrix
Tại host Deploy Citrix, chọn Deploy OVF Template:
1613383348935.png




Chọn Local file, chọn UPLOAD FILES:
1613383362599.png





Chọn các file Citrix như hình dưới, sau đó chọn Open:
1613383377678.png



Sau đó chọn NEXT:
1613383394802.png




Đặt tên cho VM CITRIX, chọn thư mục chứa VM, sau đó chọn NEXT:
1613383407973.png




Chọn host deploy VM, sau đó chọn NEXT:
1613383424491.png




Review lại cấu hình VM:
1613383436399.png





Chọn Storage, sau đó chọn NEXT:
1613383449198.png





Chọn Card mạng MGMT cho CITRIX, sau đó chọn NEXT:
1613383462237.png




Review lại VM, sau đó chọn FINISH:
1613383477124.png




Sau đó đợi quá trình deploy VM CITRIX trên vCenter hoàn tất:
1613383491957.png




Sau khi quá trình deploy VM CITRIX trên vCenter hoàn tất, chọn ACTIONS> Power> Power On:
1613383505074.png



6.2 Cấu hình Network


Sau khi Power On VM CITRIX, tiến hành cấu hình IP MGMT cho CITRIX:
1613383521703.png



Sau khi CITRIX hoàn tất khởi động, sử dụng trình duyệt truy cập vào IP MGMT http://10.120.140.221 , sử dụng account default nsroot/nsroot để đăng nhập:
1613383536939.png




Chọn Continue để tiếp tục:
1613383550096.png




Sau khi đăng nhập thành công, chọn System>Network>IPs để kiểm tra các IP đã đặt trên CITRIX.
1613383563363.png




Để thực hiện cấu hình CITRIX có chức năng LoadBlancing, cần cấu hình theo mô hình dưới đâu:
1613383576012.png




Ta sẽ thực hiện add thêm 1 card mạng vào VM CITRIX, lớp 140 cùng với lớp của các Indexer của Splunk, sau đó đặt Subnet IP cho card mạng mới này. Sau đó, sẽ thực hiện cấu hình thêm 1 Virtual IP trên lớp 140 này, mục đích làm IP đại diện cho 04 Indexer của Splunk.

a)Add card mạng vào VM CITRIX trên vCenter
Để thêm card mạng cho VM CITRIX, chọn ACTIONS>Edit Settings:
1613383590600.png




Chọn ADD NEW DEVICE>Network Adapter:
1613383603009.png





Tại card mạng New Network, chọn lớp 140, sau đó chọn OK:
1613383615303.png




Trên giao diện CLI của CITRIX, thực hiện lệnh reboot, chọn Y để reboot lại CITRIX sau khi thêm card mạng.
1613383629084.png



b)Cấu hình Subnet IP cho card mạng vừa thêm.
Sau khi CITRIX khởi động, tiến hành cấu hình Subnet IP cho card mạng vừa thêm.

Chọn System > Network > IPs, chọn Add:
1613383644643.png




Hoàn thành các thông tin như hình dưới đây, sau đó chọn Create:
  • IP Address: Subnet IP cho card mạng vừa mới thêm.
  • Netmask: Netmask cho card mạng vừa mới thêm.
  • Tắt tính năng Application Controls.
1613383659487.png





Sau khi cấu hình Subnet IP, kiểm tra tại System>Network>IPs:
1613383672445.png




Tiếp theo, cấu hình VLANs cho card mạng vừa thêm. Chọn System> Network> VLAN>Add:
1613383685906.png




Hoàn thành các thông tin như ảnh bên dưới, sau đó chọn Create:
  • VLAN ID: 140(Vlan tương ứng với card mạng vừa thêm).
  • Alias Name: Mô tả chi tiết.
  • Tại Interface Bindings, chọn TAGGED cho interface 1/1.
1613383703390.png



Như vậy, đã hoàn tất cấu hình Network cho CITRIX.



6.3 Cấu hình LB cho Splunk
a)Enable LB trên CITRIX
Để Enable tính năng Load Blancing trên CITRIX, chọn System>Settings>Configure Basic Features:
1613383720743.png




Chọn tính năng Load Balancing, sau đó chọn OK:
1613383731808.png




Tiếp theo, enable tính năng Use Source IP, chọn System > Settings>Configure Modes:
1613383744047.png





Chọn Use Source IP, sau đó chọn OK:
1613383757461.png



b)Cấu hình Add Indexer Servers trên CITRIX
Để add các Indexer Splunk trên CITRIX, chọn Traffic Management>Load Balancing > Servers>Add:
1613383770237.png




Hoàn thành các thông tin trong hình bên dưới, sau đó chọn Create:
  • Name: Tên của Indexer 01.
  • IPAdress: Địa chỉ IP của Indexer 01
1613383784974.png





Thực hiện tương tự với các Indexer còn lại:
1613383796832.png



c)Cấu hình Service Group
Tiếp theo, tạo Service Group cho từng Datasource đẩy log về Splunk. Tùy mỗi loại Datasource sử dụng Protocol và mỗi Port để đẩy log về Splunk để thực hiện cấu hình Service Group tương ứng với mỗi loại Datasource. Ví dụ, tạo Service Group cho các Datasource là Linux và Windows sử dụng TCP:9997 đẩy log về Splunk.

Để tạo Service Group, chọn Traffic Management>Load Balancing > Service Groups>Add:

1613383811051.png



Hoàn thành các thông tin như hình sau:
  • Name: Tên của Service Group, nên đặt tên gồm: Giao thức, số Port, service group cho VLAN nào.
  • Protocal: Giao thức đẩy log(ở đây là TCP).
1613383826038.png





Tiếp theo, chọn No Service Group Member:
1613383840537.png




Chọn Server Based>Click to select:
1613383854043.png




Chọn 4 Indexer Server, sau đó chọn Select:
1613383866935.png




Điền số Port của Service Group sử dụng, sau đó chọn Create:
1613383879966.png




Chọn OK để tiếp tục:
1613383893654.png




Chọn Done để hoàn thành:
1613383905669.png





Như vậy, đã hoàn thành tạo Service Group cho TCP:9997:
1613383918843.png



d)Cấu hình Virtual IP trên CITRIX


Tiếp theo, tạo một Virtual IP tương ứng cho Service Group vừa tạo ở bước trên(TCP:9997). Một Virtual IP có thể có nhiều Service Group, nhưng các Service Group phải đảm bảo nguyên tắc không được trùng nhau. Service Group được định danh trên Citrix bởi Protocol và số Port.

Để tạo Virtual Server, chọn Traffic Management>Load Balancing > Virtual Servers>Add:
1613383935908.png




Hoàn thành các thông tin theo hình dưới đây, sau đó chọn OK:
  • Name: Tên của Virtual Server, đặt tên gồm: Protocol, số Port và VLAN tương ứng.
  • Protocol:Giao thức tương ứng với Service Group bên trên, ở đây là TCP.
  • IP Address Type.
  • IP Address: Virtual IP được sử dụng làm đại diện cho 4 Indexer, ở đây theo sizing là 10.120.140.211
  • Port: Port tương ứng với Service Group tương ứng bên trên, ở đây là 9997.
1613383954264.png



Chọn No Load Balancing Virtual Server ServiceGroup Binding:
1613383966191.png





Chọn Click to Select:
1613383984164.png





Tích chọn Service Group tương ứng, sau đó chọn Select:
1613383994955.png




Sau đó chọn Bind:
1613384006795.png




Sau đó chọn Continue:
1613384019256.png




Tiếp theo chọn Method để chọn thuật toán Load Balancing:
1613384033453.png




Sau đó chọn thuật toán Load Balancing như hình dưới, sau đó chọn OK:
1613384050288.png




Sau đó chọn Done:
1613384067716.png




Hoàn thành tạo Virtual Server cho Service Group TCP:9997:
1613384080701.png


Như vậy, đã hoàn thành cấu hình LB cho Splunk sử dụng TCP:9997 trên VLAN 140. Việc cấu hình LB cho Splunk sử dụng Protocol và Port khác cũng tương tự các bước như trên.


7. Cấu hình Cluster sau khi Forward log
Sau khi cấu hình Load Balancing, tiến hành cấu hình đẩy log về Splunk, sử dụng Protocol, Port đã sizing, chuyển hướng đến IP của Virtual Server. Bước này sẽ có bài viết hướng dẫn cách cấu hình đẩy log cho từng loại Datasource. Sau khi cấu hình đẩy log từ các Datasource, tiết hành cấu hình Role trên từng thành phần trong hệ thống Splunk theo các mục dưới đây.

7.1 Cấu hình Roles cho Master server, Search Head server, Indexer server
Trên Master server, chọn Settings>Roles:
1613384103459.png




Trong Name, chọn admin:
1613384115282.png




Trong tab Indexes, tại All non-internal indexes, tích chọn Default, sau đó chọn Save:
1613384127905.png




Thực hiện cấu hình Roles tương tự cho các Indexer server, Search Head server trong hệ thống Splunk.



7.2 Kiểm tra Search Head server sau khi cấu hình
Sau khi cấu hình Roles trên các thành phần trong hệ thống Splunk, lúc này, Search Head đã có thực hiện chức năng Search trên 04 Indexer.

Kiểm tra bằng cách truy cập vào Splunk Web của Search Head, Chọn Data Summary:
1613384145496.png




Tại tab Sources, đã thấy log của Datasource sử dụng UDP:5527 để đẩy log:
1613384157715.png



Chọn udp:5527:
1613384169367.png





Sau đó, kiểm tra lại các thông tin như host, sourcetype,… đã đúng với định dạng log của Datasource vừa đẩy về hay chưa, như hình dưới, đã đúng định dạng của log Fortinet đã đẩy về Splunk:
1613384183472.png






Như vậy, đã hoàn tất việc cấu hình Clustering Splunk, thực hiện đẩy log các Datasource sau đó tiến hành kiểm tra tương tự các bước trên.
 

Attachments

  • 1613383318492.png
    1613383318492.png
    28.2 KB · Views: 0

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu