Konfigurationsprobleme mit dem Citrix Analytics-Add-On für Splunk
Citrix Analytics-Zusatzeinstellungen sind nicht verfügbar
Nachdem Sie das Citrix Analytics Add-on für Splunk in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung installiert haben, werden die Citrix Analytics-Add-on-Einstellungen unter Einstellungen > Dateneingabennicht angezeigt.
Grund
Dieses Problem tritt auf, wenn Sie das Citrix Analytics Add-on für Splunk in einer nicht unterstützten Splunk-Umgebung installieren.
Fixes
Installieren Sie das Citrix Analytics-Add-on für Splunk in einer unterstützten Splunk-Umgebung. Informationen zu den unterstützten Versionen finden Sie unter Splunk-Integration.
Keine Daten in Splunk-Dashboards verfügbar
Nach der Installation und Konfiguration des Citrix Analytics Add-ons für Splunk in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung werden in Ihren Splunk-Dashboards keine Daten von Citrix Analytics angezeigt.
Schecks
Um das Problem zu beheben, überprüfen Sie Folgendes in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung:
-
Stellen Sie sicher, dass die Voraussetzungen für die Splunk-Integration erfüllt sind.
-
Gehen Sie zu Einstellungen > Dateneingaben > Citrix Analytics Add-on. Stellen Sie sicher, dass die Citrix Analytics-Konfigurationsdetails verfügbar sind.
-
Wenn die Konfigurationsdetails verfügbar sind, führen Sie die folgende Abfrage aus, um die Protokolle auf Fehler im Zusammenhang mit dem Citrix Analytics-Add-on für Splunk zu überprüfen:
index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
-
Wenn Sie keine Fehler finden, funktioniert das Citrix Analytics-Add-On für Splunk wie erwartet. Wenn Sie Fehler in den Protokollen finden, kann dies an einem der folgenden Gründe liegen:
-
Es konnte keine Verbindung zwischen Ihrer Splunk-Umgebung und Citrix Analytics Kafka-Endpunkten hergestellt werden. Dieses Problem könnte auf die Firewall-Einstellungen zurückzuführen sein.
Korrekturen: Wenden Sie sich an Ihren Netzwerkadministrator, um dieses Problem zu beheben.
-
Falsche Konfigurationsdetails unter Einstellungen > Dateneingaben > Citrix Analytics Add-on.
Korrekturen: Stellen Sie sicher, dass die Citrix Analytics-Konfigurationsdetails wie Benutzername, Kennwort, Host-Endpunkte, Thema und Benutzergruppe gemäß der Citrix Analytics-Konfigurationsdatei korrekt eingegeben werden. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.
-
-
Wenn Sie die Ursache des Problems in den vorhergehenden Protokollen nicht finden können und weitere Untersuchungen durchführen möchten:
-
Aktivieren Sie den Debug-Modusunter Einstellungen > Dateneingaben > Citrix Analytics Add-on.
Hinweis
Standardmäßig ist der Debug-Modus deaktiviert. Durch die Aktivierung dieses Modus werden zu viele Protokolle generiert. Verwenden Sie diese Option also nur bei Bedarf und deaktivieren Sie sie, nachdem Sie Ihre Debugging-Aufgabe abgeschlossen haben.
-
Suchen Sie die generierten Debug-Protokolle an folgendem Ort und überprüfen Sie, ob Fehler auftreten:
$SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
-
(Optional) Verwenden Sie das Debug-Skript
splunk cmd python cas_siem_consumer_debug.py
, das mit dem Citrix Analytics-Add-on für Splunk verfügbar ist. Dieses Skript generiert eine Protokolldatei, die die Details Ihrer Splunk-Umgebung und die Konnektivitätsprüfungen enthält. Sie können die Details verwenden, um das Problem zu debuggen. Führen Sie das Script mit dem folgenden Befehl aus:cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
-
Fehlermeldung
In den Protokollen im Zusammenhang mit dem Citrix Analytics-Add-on für Splunk wird möglicherweise der folgende Fehler angezeigt:
ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}
Dieser Fehler ist entweder auf ein Problem mit der Netzwerkkonnektivität oder auf ein Authentifizierungsproblem zurückzuführen.
Um das Problem zu debuggen:
-
Aktivieren Sie in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung den Debug-Modus, um die Debug-Protokolle abzurufen. Beziehen Sie sich auf den vorherigen Schritt 5.a.
-
Führen Sie die folgende Abfrage aus, um Authentifizierungsprobleme in den Debug-Protokollen zu finden:
index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
-
Wenn Sie in den Debug-Protokollen keine Authentifizierungsprobleme finden, ist der Fehler auf ein Problem mit der Netzwerkkonnektivität zurückzuführen.
-
Suchen und beheben Sie das Problem, indem Sie Telnet oder das im vorherigen Schritt 5.c erwähnte Debug-Skript verwenden.
Das Add-on-Upgrade schlägt von einer Version vor 2.0.0 fehl
Wenn Sie in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung das Citrix Analytics-Add-On für Splunk von einer Version vor 2.0.0 auf die neueste Version aktualisieren, schlägt das Upgrade fehl.
Fixes
-
Löschen Sie die folgenden Dateien und Ordner im Ordner
/bin
des Citrix Analytics-Add-ons für Splunk-Installationsordner:-
cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
-
rm -rf splunklib
-
rm -rf mac
-
rm -rf linux_x64
-
rm CARoot.pem
-
rm certificate.pem
-
-
Starten Sie Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu.