Citrix Netscaler AppFlow 与splunk安装配置

1、Citrix Netscaler AppFlow 与splunk 安装配置1. Netscaler AppFlow 与 Splunk 解释 群柏数码科技有限公司 高级系统顾问 周盛 senzhou什么是 Netscaler AppFlow :对于从企业数据中心、公共云和私有云计算基础架构中交付的应用和服务来说，全面深入地了解应用和各个交易是实现宏伟SLA目标的关键。Citrix NetScaler可通过AppFlow帮助IT部门满足这一需求。AppFlow是一种开放的创新技术，可以将从现有网络解决方案中收集的实时数据转变为有用的运营和商务智能，帮助IT部门提高性能和可用性，同时达到严格的服务水

2、平协议要求。 充分利用网络智能当前IT环境中使用的基于NetFlow的工具从根本上改变了对网络流量的监控、分析和管理。AppFlow是一种新的开放标准技术，受一个领先的运营和商务智能厂商生态系统的广泛支持，它可以扩展并进一步提升NetFlow数据在应用栈中的位置，并为应用层数据流和各次交易带来智能和可视性。例如，AppFlow数据可用于确定最近进行的基础架构修改是否导致了应用性能的下降，并迅速确定根本原因，以快速采取补救措施并恢复最佳服务水平。 实时测量性能和服务水平许多已部署的网络设备和解决方案已可以提供有关应用流的宝贵数据。AppFlow技术可以实时地将这些原始数据转变为真正的运营和商务智

3、能，并允许操作人员随时访问，利用常用的智能和性能监控工具（如Splunk和SolarWinds提供的工具）轻松完成分析。这样，IT部门就可以主动监控端到端性能，并在性能降低到服务水平门限以下时实时作出响应。 利用经济高效的非专有解决方案 AppFlow可以利用网络基础架构单元（如用于服务交付、应用交付和WAN优化的控制器）中的本地应用智能，使多个IT团队可以广泛而轻松地访问宝贵的实时信息，而不需要额外的投资。作为一种经济高效的非专有解决方案，AppFlow不再需要会导致运行中断的网络探针，并允许在任何环境中轻松部署Tap和代理：从复杂的多租户多业务云计算架构直到各种大小规模的企业。 什么是Sp

4、lunk? Splunk 是一个可运行于各种平台的 IT 数据、日志分析软件，支持的作业平台包含Windows, Linux, Solaris, FreeBSD, AIX, MacOS, HP-UX。与 Google Analytics 这一类的 Web 日志分析软件的不同之处在于，Splunk 可以支持任何 IT 设备(服务器、网络设备、应用程序、数据库等)所产生的日志，其对日志进行处理的方式是进行高效索引之后让管理员可以对日志中出现的各种情况进行搜索，并且通过非常好的图形化的方式展现出来。 每天由各种服务器所产生的日志的数量是非常惊人的，而遇到突发情况时，却往往能够从这些海量日志中找到最多

5、的有用消息。通常在 Unix 下对日志进行查找使用的是 grep 之类的低效率的方式，而 Splunk 使用了现代搜索引擎技术对日志进行搜索，同时提供了一个非常强大的 AJAX 式的界面展现日志。 Splunk 是一款对 IT 管理员非常有用、非常专业的工具。也正因为如此，与其他 Linux 下的其他日志分析软件不同，Splunk 是一个商业软件，但是其提供了可以自由使用的 Splunk 测试版可以免费下载，而如果需要海量授权及更多的功能比如分散式搜寻(Distributed Search)、排程告警(Schedule Alert)、权限(Access Control) 这样的功能的话，则需要

6、购买企业版。 Splunk的四大应用：运维IT数据整合、IT安全信息及数据的整合、应用程序IT数据整合、IT数据的法规遵从 Splunk的六大功能：Index(索引) 、Search(搜索)、Alert(警报通知)、Report(报告)、Share(资源共享)、Secure(安全功能)2. 配置 Netscaler AppFlow .首先打开 Netscaler AppFlow功能 .或者使用CLI 命令来开启功能。在AppFlow 配置 AppFlow Collector的目的地址及端口 .在这里使用Splunk 作为collector Server 来收集及分析Netscaler AppF

7、low .默认的端口 ：4739 (当collector Server 的端口为其它端口，这里可以修改，与其对应)选中 AppFlow Settings Change AppFlow Setting 。Enable 输出的 Parameters ,以及设置 UDP MTU 默认1472 .创建 AppFlow Action ,并勾选发往 Splunk Collector :创建 AppFlow Policies ,同时选择 Action，设置http的REQ 包含特定的内容发往 Splunk 服务器，以便对NS AppFlow 进行分析 。 3. 配置 Netscaler 负载均衡 .打开Ne

8、tscaler 负载均衡功能 ：创建 LB - - Services :创建 LB - - Virtual Server，同时需要勾选AppFlow Logging :将 AppFlow Policy插入到 VS Policies 中:4. 配置 splunk .登陆 splunk 官方下载，下载 Splunk 30天试用版 ： 点击 Free Download :下载 符合collector Server 操作系统相应版本的splunk 软件：下载 splunk for Citrix Netscaler 的App .从splunk-base 网站下载splunk apps 需要导入到splu

9、nk 管理软件中，以提供专门为Netscaler 开发的相应报表功能 。http:/splunk-安装splunk 软件 ：运行 splunk 软件 ，进行下一步 ：接受splunk 许可license :选择账号运行权限 ，如果是在域环境中，需要使用域管理权限账号来运行splunk 软件。这里以没有在域环境中进行 ：直到 splunk 安装完成：Splunk 安装完成后，splunk 会自动启动，浏览器会打开splunk 管理界面，如下图：GUI 管理界面的默认端口为 8000 ，默认用户名与密码为 admin ,changeme .登陆后可以立即进行修改 .Splunk 管理密码修改 ：登

10、陆进入splunk 之后 ，选择右上角的应用下来菜单有 管理应用。导入splunkfornetscaler 应用压缩包 。选择从splunk-base 网站下载的apps .然后点击上传 ，上传床上传成功后，会出现如下图 ：然后选择 应用 ：注： 如导入的splunk 应用，有新版本更新时，只要splunk 联网就可以对splunk apps进行在线升级 。在成功导入apps 后，需要对apps 中的两个配置文件进行修改 ，以是splunk for citrix netscaler 能够进行对Netscaler 的AppFlow 进行很好的分析及处理。进行到Splunk 的程序目录，找到 sp

11、lunk for Citrix Netscaler 目录 。如下图 例如路径 ： C:Program FilesSplunketcappsSplunkforCitrixNetScalerdefault 对 inputs.conf 配置文件进行修改：Inputs.conf 文件编辑前 ：udp:/514connection_host = dnssourcetype = ns_logscript:/$SPLUNK_HOME/etc/apps/SplunkforCitrixNetScaler/bin/appflow_collector.pydisabled = falseinterval = 60s

12、ource = appflow_collector.pymonitor:/$SPLUNK_HOME/etc/apps/SplunkforCitrixNetScaler/log/appflow.logdisabled = falsesourcetype = appflowInputs.conf 编辑后 udp:/514connection_host = dnssourcetype = ns_logscript:/$SPLUNK_HOMEetcappsSplunkforCitrixNetScalerbinappflow_collector.pydisabled = falseinterval =

13、60source = appflow_collector.pymonitor:/$SPLUNK_HOMEetcappsSplunkforCitrixNetScalerlogappflow.logdisabled = falsesourcetype = appflowconfig.ini 文件，这里不做修改 ，例如 AppFlow 端口，以及协议 ，这里使用默认即可与Netscaler collector 对应。修改两个配置文件后，需要重新启动 splunk 两个服务进程，然后再重新登录 ：如下图 然后会要求重新登录splunk 管理界面：登录进入后，选择splunk 主界面，会看到splunk for citrix netscaler 应用，选择进行：利用客户端直接访问 LB 的VIP ，可以