Citrix Analytics for Security

适用于 Splunk 的 Citrix Analytics 加载项存在配置问题

Citrix Analytics 加载项设置不可用

在您的 Splunk Forwarder 或 Splunk 独立环境中安装适用于 Splunk 的 Citrix Analytics 加载项后,您不会在“设置”>“数据输入”下看到Citrix Analytics 加载项设置

原因

在不受支持的 Splunk 环境中安装适用于 Splunk 的 Citrix Analytics 加载项时,会出现此问题。

修复

在受支持的 Splunk 环境中安装适用于 Splunk 的 Citrix Analytics 加载项。有关受支持版本的信息,请参阅 Splunk 集成

Splunk 控制板上没有可用的数据

在 Splunk Forwarder 或 Splunk Standalone 环境中安装和配置适用于 Splunk 的 Citrix Analytics 加载项后,您在 Splunk 控制板中看不到来自 Citrix Analytics 的任何数据。

检查

要解决此问题,请在您的 Splunk 转发器或 Splunk 独立环境中验证以下各项:

  1. 确保满足 Splunk 集成的 必备条件

  2. 转到 设置 > 数据输入 > Citrix Analytics 加载项。确保 Citrix Analytics 配置详细信息 可用。

  3. 如果配置详细信息可用,请运行以下查询以检查日志中是否存在与适用于 Splunk 的 Citrix Analytics 加载项相关的任何错误:

    index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
    
  4. 如果您没有发现任何错误,适用于 Splunk 的 Citrix Analytics 加载项将按预期工作。如果在日志中发现任何错误,可能是由于以下原因之一:

    • 无法在您的 Splunk 环境与 Citrix Analytics Kafka 端点之间建立连接。此问题可能是由于防火墙设置造成的。

      修复:请咨询网络管理员以解决此问题。

    • 设置 > 数据输入 > Citrix Analytics 加载项中的配置详细信息不正确。

      修复:确保按照 Citrix Analytics 配置文件正确输入了 Citrix Analytics 配置详细信息,例如用户名、密码、主机端点、主题和使用者组。有关更多信息,请参阅 为 Splunk 配置 Citrix Analytics 加载项

  5. 如果您无法从上述日志中找到问题的原因并希望进一步调查:

    1. 设置 > 数据输入 > Citrix Analytics 加载项 中启用 调试模式

      注意

      默认情况下, 调试模式处于 禁用状态。启用此模式会生成太多日志。因此,请仅在需要时使用此选项,并在完成调试任务后将其禁用。

      设置

    2. 在以下位置找到生成的调试日志,并检查是否有任何错误:

      $SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
      
    3. (可选)使用适用于 Splunk 的 Citrix Analytics 加载项提供的调试脚本 splunk cmd python cas_siem_consumer_debug.py。此脚本生成一个日志文件,其中包含您的 Splunk 环境和连接检查的详细信息。您可以使用详细信息来调试问题。使用以下命令运行脚本:

      cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
      

错误消息

在与适用于 Splunk 的 Citrix Analytics 加载项相关的日志中,您可能会看到以下错误:

ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}

此错误是由于网络连接问题或身份验证问题造成的。

要调试问题,请执行以下操作:

  1. 在您的 Splunk 转发器或 Splunk 独立环境中,启用调试模式以获取调试日志。请参考前面的步骤 5.a。

  2. 运行以下查询以查找调试日志中的任何身份验证问题:

    index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
    
  3. 如果在调试日志中未发现任何身份验证问题,则该错误是由于网络连接问题造成的。

  4. 使用 telnet 或前面的步骤 5.c 中提到的调试脚本查找并解决问题。

从低于 2.0.0 的版本升级加载项失败

在您的 Splunk 转发器或 Splunk 独立环境中,当您将适用于 Splunk 的 Citrix Analytics 加载项从 2.0.0 之前的版本升级到 最新 版本时,升级将失败。

修复

  1. 删除适用于 Splunk 的 Citrix Analytics 加载项安装文件夹的 /bin 文件夹的以下文件和文件夹:

    • cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin

    • rm -rf splunklib

    • rm -rf mac

    • rm -rf linux_x64

    • rm CARoot.pem

    • rm certificate.pem

  2. 重启您的 Splunk 转发器或 Splunk 独立版环境。

适用于 Splunk 的 Citrix Analytics 加载项存在配置问题