Citrix Analytics for Security

Problemas de configuración con el complemento Citrix Analytics para Splunk

La configuración del complemento Citrix Analytics no está

Después de instalar Citrix Analytics Add-on for Splunk en su entorno de Splunk Forwarder o Splunk Standalone, no verá la configuración del complemento de Citrix Analytics en Configuración > Entradas de datos.

Motivo

Este problema se produce cuando se instala el complemento Citrix Analytics para Splunk en un entorno de Splunk no compatible.

Correcciones

Instale el complemento Citrix Analytics para Splunk en un entorno de Splunk compatible. Para obtener información sobre las versiones compatibles, consulte Integración de Splunk.

No hay datos disponibles en los paneles de Splunk

Después de instalar y configurar Citrix Analytics Add-on for Splunk en su entorno de Splunk Forwarder o Splunk Standalone, no verá ningún dato de Citrix Analytics en los paneles de Splunk.

Cheques

Para solucionar el problema, verifique lo siguiente en su entorno de Splunk Forwarder o Splunk Standalone:

  1. Asegúrese de que se cumplan los requisitos previos para la integración de Splunk.

  2. Vaya a Configuración > Entradas de datos > Complemento de Citrix Analytics. Asegúrese de que los detalles de configuración de Citrix Analytics estén disponibles.

  3. Si los detalles de configuración están disponibles, ejecute la siguiente consulta para comprobar los registros en busca de errores relacionados con el complemento Citrix Analytics para Splunk:

    index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
    
  4. Si no encuentra ningún error, el complemento Citrix Analytics para Splunk funciona como se esperaba. Si encuentra algún error en los registros, puede deberse a una de las siguientes razones:

    • No se pudo establecer la conexión entre el entorno de Splunk y los puntos finales de Citrix Analytics Kafka. Este problema puede deberse a la configuración del firewall.

      Correcciones: consulte con el administrador de red para resolver este problema.

    • Detalles de configuración incorrectos en Configuración > Entradas de datos > Complemento de Citrix Analytics.

      Correcciones: Asegúrese de que los detalles de configuración de Citrix Analytics, como el nombre de usuario, la contraseña, los puntos finales del host, el tema y el grupo de consumidores, se escriben correctamente según el archivo de configuración de Citrix Analytics. Para obtener más información, consulte Configurar el complemento Citrix Analytics para Splunk.

  5. Si no puede encontrar la causa del problema en los registros anteriores y quiere investigar más a fondo:

    1. Habilite el modo de depuración en Configuración > Entradas de datos > Complemento de Citrix Analytics.

      Nota

      De forma predeterminada, el modo de depuración está inhabilitado. Al habilitar este modo, se generan demasiados registros. Por lo tanto, use esta opción solo cuando sea necesario y desactívela después de completar la tarea de depuración.

      Parámetros

    2. Busque los registros de depuración generados en la siguiente ubicación y compruebe si hay algún error:

      $SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
      
    3. (Opcional) Use el script de depuración splunk cmd python cas_siem_consumer_debug.py que está disponible con el complemento Citrix Analytics para Splunk. Este script genera un archivo de registro que contiene los detalles de su entorno de Splunk y las comprobaciones de conectividad. Puede usar los detalles para depurar el problema. Ejecute el script con el siguiente comando:

      cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
      

Mensaje de error

En los registros relacionados con el complemento Citrix Analytics para Splunk, es posible que consulte el siguiente error:

ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}

Este error se debe a un problema de conectividad de red o a un problema de autenticación.

Para depurar el problema:

  1. En su entorno Splunk Forwarder o Splunk Standalone, habilite el modo de depuración para obtener los registros de depuración. Consulte el paso anterior 5.a.

  2. Ejecute la siguiente consulta para encontrar cualquier problema de autenticación en los registros de depuración:

    index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
    
  3. Si no encuentra ningún problema de autenticación en los registros de depuración, el error se debe a un problema de conectividad de red.

  4. Busque y resuelva el problema mediante telnet o el script de depuración mencionado en el paso anterior 5.c.

La actualización del complemento falla desde una versión anterior a la 2.0.0

En su entorno de Splunk Forwarder o Splunk Standalone, cuando actualiza el complemento Citrix Analytics para Splunk a la última versión desde una versión anterior a la 2.0.0, la actualización falla.

Correcciones

  1. Elimine los siguientes archivos y carpetas ubicados en la carpeta de instalación /bin del complemento Citrix Analytics para Splunk:

    • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin

    • rm -rf splunklib

    • rm -rf mac

    • rm -rf linux_x64

    • rm CARoot.pem

    • rm certificate.pem

  2. Reinicie su entorno Splunk Forwarder o Splunk Standalone.

Problemas de configuración con el complemento Citrix Analytics para Splunk