NSX Advanced Load Balancer Networks Splunk 加载项和应用程序

Splunk 加载项和 Splunk 应用程序使用组织的 Splunk 基础架构处理从 NSX Advanced Load Balancer 发送的日志和事件，并自动选择和标识标记字段。将使用仪表板来以一种易于使用的格式显示此信息。

支持的版本


NSX Advanced Load Balancer	从 NSX Advanced Load Balancer 版本 17.2.1 开始建议的版本 17.2.8
Splunk	7.0+

部署建议


NSX Advanced Load Balancer Networks Splunk 应用程序	Splunk 搜索头
NSX Advanced Load Balancer Networks Splunk 加载项	Splunk 搜索头 Splunk 索引器 Splunk 重型转发器
NSX Advanced Load Balancer 衡量指标脚本化输入	Splunk 重型转发器（选项 A：如果存在） Splunk 搜索头（选项 B）

Splunk 加载项

Splunk 加载项会动态分配源类型。它提供了内嵌字段提取功能，可标准化不同数据格式之间的查询，并提供符合 CIM 的别名。加载项包含脚本化的 NSX Advanced Load Balancer 衡量指标，可使用 REST API 提取性能衡量指标。

适用于 Splunk 的 NSX Advanced Load Balancer 加载项会在编制索引时为所有事件、虚拟服务客户端日志和性能衡量指标分配一个源类型。所使用的源类型包括：

avi:events
avi:logs
avi:metrics

您可以从 Splunk 网站下载此加载项。

NSX Advanced Load Balancer 衡量指标脚本化输入设置

加载项中包含 NSX Advanced Load Balancer 的衡量指标脚本化输入设置。脚本化输入用于从 NSX Advanced Load Balancer API 提取性能衡量指标。

要在所需主机上运行衡量指标脚本化输入，请导航到设置 > 数据输入。
对 Avi 衡量指标输入选择添加新的。
填写要从中提取性能衡量指标的控制器集群的信息，然后单击下一步以完成操作。
1. 名称 - 用于描述控制器集群的软标签
2. Avi 控制器 - 控制器集群的 IP 或名称
3. Avi 用户 - 用于从 API 提取衡量指标的登录名
4. Avi 密码 - 用于对用户进行身份验证的密码
5. 时间间隔 - 提取衡量指标的时间间隔。默认频率为 5 分钟

Splunk 应用程序

注：

Splunk 应用程序需要 splunk 加载项。

Splunk 应用程序提供了可直观显示日志、事件和性能衡量指标的仪表板。

可创建仪表板来显示来自 NSX Advanced Load Balancer 的数据。您一眼就能够确定所有配置更改的详细信息。它提供了有关客户端浏览器和常访问的 Web 资源的信息。利用 NSX Advanced Load Balancer iWAF 可见性，您将能够快速确定最常见的攻击及其来源、时间和发生日期。

您可以从 Splunk 网站下载此应用程序。

NSX Advanced Load Balancer 数据

以下数据可用作 Splunk 的数据输入：

事件
虚拟服务日志
性能衡量指标

事件

事件用作审核跟踪，以确定何时发生何情况。用户登录、配置更改和运行时状态更改等事件都将作为事件进行跟踪。

将事件放入 Splunk 需要在控制器上更改配置。要将 NSX Advanced Load Balancer 事件转发到 Splunk，请将 NSX Advanced Load Balancer 控制器中的警示操作配置为发送 syslog 消息，并将 Splunk 基础架构作为目标端点。

有关 NSX Advanced Load Balancer 中的事件和警示的更多信息，请参阅《VMware NSX Advanced Load Balancer 监控和可操作性指南》中的主题“警示概览”、“警示操作”和“通知类型”。

虚拟服务日志

虚拟服务日志提供有关每个请求的 L7 应用程序数据的实时信息。日志将通过 UDP 作为 JSON 负载发送。

将虚拟服务日志放入 Splunk 需要在 NSX Advanced Load Balancer 控制器上更改配置。要将 NSX Advanced Load Balancer 虚拟服务日志转发到 Splunk，请将分析配置文件配置为流式传输到外部服务器，并将 Splunk 基础架构作为服务器端点。

有关 NSX Advanced Load Balancer 中虚拟服务日志的更多信息，请参阅以下资源：

《VMware NSX Advanced Load Balancer 监控和可操作性指南》中的“虚拟服务应用程序日志”主题。
《VMware NSX Advanced Load Balancer 监控和可操作性指南》中的“将 NSX Advanced Load Balancer 客户端日志流式传输到外部服务器”主题。

性能衡量指标

NSX Advanced Load Balancer 提供了超过 200 个衡量指标，可用于监控性能，并提供特定应用程序和后端池服务器的精细可见性。

Splunk 应用程序中附带一个名为 NSX Advanced Load Balancer 衡量指标的脚本化数据输入。NSX Advanced Load Balancer 衡量指标数据输入将通过 REST API 连接到指定的 NSX Advanced Load Balancer 控制器，并且将检索性能衡量指标。要将性能衡量指标转发到 Splunk，请在 NSX Advanced Load Balancer 衡量指标数据输入中添加一个用于指定 NSX Advanced Load Balancer 控制器集群和相关凭据的新条目。运行脚本化输入的默认时间间隔为 5 分钟。

有关 NSX Advanced Load Balancer 衡量指标的更多信息，请参阅《VMware NSX Advanced Load Balancer 监控和可操作性指南》中的“衡量指标”主题。