Citrix Analytics für Sicherheit

Konfigurationsprobleme mit dem Citrix Analytics-Add-On für Splunk

Citrix Analytics-Zusatzeinstellungen sind nicht verfügbar

Nachdem Sie das Citrix Analytics Add-on für Splunk in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung installiert haben, werden die Citrix Analytics-Add-on-Einstellungen unter Einstellungen > Dateneingabennicht angezeigt.

Grund

Dieses Problem tritt auf, wenn Sie das Citrix Analytics Add-on für Splunk in einer nicht unterstützten Splunk-Umgebung installieren.

Fixes

Installieren Sie das Citrix Analytics-Add-on für Splunk in einer unterstützten Splunk-Umgebung. Informationen zu den unterstützten Versionen finden Sie unter Splunk-Integration.

Keine Daten in Splunk-Dashboards verfügbar

Nach der Installation und Konfiguration des Citrix Analytics Add-ons für Splunk in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung werden in Ihren Splunk-Dashboards keine Daten von Citrix Analytics angezeigt.

Schecks

Um das Problem zu beheben, überprüfen Sie Folgendes in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung:

  1. Stellen Sie sicher, dass die Voraussetzungen für die Splunk-Integration erfüllt sind.

  2. Gehen Sie zu Einstellungen > Dateneingaben > Citrix Analytics Add-on. Stellen Sie sicher, dass die Citrix Analytics-Konfigurationsdetails verfügbar sind.

  3. Wenn die Konfigurationsdetails verfügbar sind, führen Sie die folgende Abfrage aus, um die Protokolle auf Fehler im Zusammenhang mit dem Citrix Analytics-Add-on für Splunk zu überprüfen:

    index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
    
  4. Wenn Sie keine Fehler finden, funktioniert das Citrix Analytics-Add-On für Splunk wie erwartet. Wenn Sie Fehler in den Protokollen finden, kann dies an einem der folgenden Gründe liegen:

    • Es konnte keine Verbindung zwischen Ihrer Splunk-Umgebung und Citrix Analytics Kafka-Endpunkten hergestellt werden. Dieses Problem könnte auf die Firewall-Einstellungen zurückzuführen sein.

      Korrekturen: Wenden Sie sich an Ihren Netzwerkadministrator, um dieses Problem zu beheben.

    • Falsche Konfigurationsdetails unter Einstellungen > Dateneingaben > Citrix Analytics Add-on.

      Korrekturen: Stellen Sie sicher, dass die Citrix Analytics-Konfigurationsdetails wie Benutzername, Kennwort, Host-Endpunkte, Thema und Benutzergruppe gemäß der Citrix Analytics-Konfigurationsdatei korrekt eingegeben werden. Weitere Informationen finden Sie unter Konfigurieren des Citrix Analytics-Add-ons für Splunk.

  5. Wenn Sie die Ursache des Problems in den vorhergehenden Protokollen nicht finden können und weitere Untersuchungen durchführen möchten:

    1. Aktivieren Sie den Debug-Modusunter Einstellungen > Dateneingaben > Citrix Analytics Add-on.

      Hinweis

      Standardmäßig ist der Debug-Modus deaktiviert. Durch die Aktivierung dieses Modus werden zu viele Protokolle generiert. Verwenden Sie diese Option also nur bei Bedarf und deaktivieren Sie sie, nachdem Sie Ihre Debugging-Aufgabe abgeschlossen haben.

      Einstellungen

    2. Suchen Sie die generierten Debug-Protokolle an folgendem Ort und überprüfen Sie, ob Fehler auftreten:

      $SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
      
    3. (Optional) Verwenden Sie das Debug-Skript splunk cmd python cas_siem_consumer_debug.py, das mit dem Citrix Analytics-Add-on für Splunk verfügbar ist. Dieses Skript generiert eine Protokolldatei, die die Details Ihrer Splunk-Umgebung und die Konnektivitätsprüfungen enthält. Sie können die Details verwenden, um das Problem zu debuggen. Führen Sie das Script mit dem folgenden Befehl aus:

      cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
      

Fehlermeldung

In den Protokollen im Zusammenhang mit dem Citrix Analytics-Add-on für Splunk wird möglicherweise der folgende Fehler angezeigt:

ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}

Dieser Fehler ist entweder auf ein Problem mit der Netzwerkkonnektivität oder auf ein Authentifizierungsproblem zurückzuführen.

Um das Problem zu debuggen:

  1. Aktivieren Sie in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung den Debug-Modus, um die Debug-Protokolle abzurufen. Beziehen Sie sich auf den vorherigen Schritt 5.a.

  2. Führen Sie die folgende Abfrage aus, um Authentifizierungsprobleme in den Debug-Protokollen zu finden:

    index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
    
  3. Wenn Sie in den Debug-Protokollen keine Authentifizierungsprobleme finden, ist der Fehler auf ein Problem mit der Netzwerkkonnektivität zurückzuführen.

  4. Suchen und beheben Sie das Problem, indem Sie Telnet oder das im vorherigen Schritt 5.c erwähnte Debug-Skript verwenden.

Das Add-on-Upgrade schlägt von einer Version vor 2.0.0 fehl

Wenn Sie in Ihrer Splunk Forwarder- oder Splunk Standalone-Umgebung das Citrix Analytics-Add-On für Splunk von einer Version vor 2.0.0 auf die neueste Version aktualisieren, schlägt das Upgrade fehl.

Fixes

  1. Löschen Sie die folgenden Dateien und Ordner im Ordner /bin des Citrix Analytics-Add-ons für Splunk-Installationsordner:

    • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin

    • rm -rf splunklib

    • rm -rf mac

    • rm -rf linux_x64

    • rm CARoot.pem

    • rm certificate.pem

  2. Starten Sie Ihre Splunk Forwarder- oder Splunk Standalone-Umgebung neu.

Konfigurationsprobleme mit dem Citrix Analytics-Add-On für Splunk