Citrix Analytics for Security

Problèmes de configuration avec le module complémentaire Citrix Analytics pour Splunk

Paramètres du module complémentaire Citrix Analytics non disponibles

Après avoir installé le module complémentaire Citrix Analytics pour Splunk sur votre environnement Splunk Forwarder ou Splunk Standalone, vous ne voyez pas les paramètres du module complémentaire Citrix Analytics sous Paramètres > Entrées de données.

Reason

Ce problème se produit lorsque vous installez le module complémentaire Citrix Analytics pour Splunk dans un environnement Splunk non pris en charge.

Corrections

Installez le module complémentaire Citrix Analytics pour Splunk dans un environnement Splunk pris en charge. Pour plus d’informations sur les versions prises en charge, consultez la section Intégration Splunk.

Aucune donnée disponible sur les tableaux de bord Splunk

Après avoir installé et configuré le module complémentaire Citrix Analytics pour Splunk sur votre environnement Splunk Forwarder ou Splunk Standalone, vous ne voyez aucune donnée de Citrix Analytics dans vos tableaux de bord Splunk.

Chèques

Pour résoudre ce problème, vérifiez les points suivants dans votre environnement Splunk Forwarder ou Splunk Standalone :

  1. Assurez-vous que les conditions préalables à l’intégration Splunk sont remplies.

  2. Accédez à Paramètres > Entrées de données > Module complémentaire Citrix Analytics. Assurez-vous que les détails de configuration de Citrix Analytics sont disponibles.

  3. Si les détails de configuration sont disponibles, exécutez la requête suivante pour rechercher dans les journaux toute erreur liée au module complémentaire Citrix Analytics pour Splunk :

    index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
    
  4. Si vous ne trouvez aucune erreur, le module complémentaire Citrix Analytics pour Splunk fonctionne comme prévu. Si vous trouvez des erreurs dans les journaux, cela peut être dû à l’une des raisons suivantes :

    • Impossible d’établir la connexion entre votre environnement Splunk et les points de terminaison Citrix Analytics Kafka. Ce problème peut être dû aux paramètres du pare-feu.

      Correctifs : contactez votre administrateur réseau pour résoudre ce problème.

    • Détails de configuration incorrects dans Paramètres > Entrées de données > Module complémentaire Citrix Analytics.

      Correctifs : assurez-vous que les détails de configuration de Citrix Analytics tels que le nom d’utilisateur, le mot de passe, les points de terminaison d’hôte, la rubrique et le groupe de consommateurs sont correctement saisis conformément au fichier de configuration Citrix Analytics. Pour plus d’informations, consultez la section Configurer le module complémentaire Citrix Analytics pour Splunk.

  5. Si vous ne parvenez pas à trouver la cause du problème dans les journaux précédents et que vous souhaitez approfondir vos recherches :

    1. Activez le mode de débogage dans Paramètres > Entrées de données > Module complémentaire Citrix Analytics.

      Remarque

      Par défaut, le mode de débogage est désactivé. L’activation de ce mode génère trop de journaux. Utilisez donc cette option uniquement lorsque cela est nécessaire et désactivez-la après avoir terminé votre tâche de débogage.

      Paramètres

    2. Recherchez les journaux de débogage générés à l’emplacement suivant et recherchez les erreurs éventuelles :

      $SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
      
    3. (Facultatif) Utilisez le script splunk cmd python cas_siem_consumer_debug.py de débogage disponible avec le module complémentaire Citrix Analytics pour Splunk. Ce script génère un fichier journal qui contient les détails de votre environnement Splunk et les vérifications de connectivité. Vous pouvez utiliser les détails pour déboguer le problème. Exécutez le script à l’aide de la commande suivante :

      cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
      

Message d’erreur

Dans les journaux liés au module complémentaire Citrix Analytics pour Splunk, l’erreur suivante peut s’afficher :

ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}

Cette erreur est due à un problème de connectivité réseau ou à un problème d’authentification.

Pour déboguer le problème :

  1. Dans votre environnement Splunk Forwarder ou Splunk Standalone, activez le mode Débogage pour obtenir les journaux de débogage. Reportez-vous à l’étape 5.a précédente.

  2. Exécutez la requête suivante pour rechercher les problèmes d’authentification dans les journaux de débogage :

    index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
    
  3. Si vous ne trouvez aucun problème d’authentification dans les journaux de débogage, l’erreur est due à un problème de connectivité réseau.

  4. Recherchez et résolvez le problème à l’aide de telnet ou du script de débogage mentionné à l’étape précédente 5.c.

La mise à niveau du module complémentaire échoue à partir d’une version antérieure à la version 2.0.0

Dans votre environnement Splunk Forwarder ou Splunk Standalone, lorsque vous mettez à niveau le module complémentaire Citrix Analytics pour Splunk vers la dernière version à partir d’une version antérieure à la version 2.0.0, la mise à niveau échoue.

Corrections

  1. Supprimez les fichiers et dossiers suivants situés dans le dossier /bin du dossier d’installation du module complémentaire Citrix Analytics pour Splunk :

    • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin

    • rm -rf splunklib

    • rm -rf mac

    • rm -rf linux_x64

    • rm CARoot.pem

    • rm certificate.pem

  2. Redémarrez votre environnement Splunk Forwarder ou Splunk Standalone.

Problèmes de configuration avec le module complémentaire Citrix Analytics pour Splunk