Hướng dẫn tích hợp Cisco Catalyst SD-WAN Controller với Splunk Enterprise
Trong các hệ thống vận hành mạng hiện đại, Catalyst SD-WAN Manager (trước đây là vManage) không chỉ là bộ điều khiển quản lý SD-WAN mà còn là nguồn dữ liệu rất giá trị cho SOC và NOC. Khi tích hợp với Splunk, toàn bộ log, telemetry, sự kiện bảo mật và thống kê ứng dụng có thể được tập trung về một nền tảng SIEM để phục vụ giám sát, cảnh báo và điều tra sự cố.
Theo kiến trúc trong hình, dữ liệu sẽ đi theo luồng:
Catalyst SD-WAN Fabric
│
│ Logs / Events / Alerts
▼
Splunk Data Lake
│
│ Indexing
│ Data Processing
│ Visualization
▼
Splunk Dashboard
Bước 1. Chuẩn bị môi trường
Cisco Catalyst SD-WAN
Có thể là:
Khuyến nghị phiên bản:
Splunk
Có thể sử dụng
Thông thường gồm:
Universal Forwarder (nếu cần)
Indexer
Search Head
Bước 2. Các nguồn dữ liệu có thể lấy từ SD-WAN
Cisco SD-WAN cung cấp rất nhiều loại dữ liệu. Syslog
Ví dụ
Security Events
Nếu bật Security Services
Flow Statistics
Bao gồm
Audit Logs
Ví dụ
User Login
Policy Changed
Template Updated
Certificate Installed
Controller Joined
REST API
Catalyst SD-WAN Manager còn cung cấp hàng trăm REST API để truy vấn:
Device Inventory
CPU
Memory
Control Connections
Tunnel Status
Policies
Certificates
Statistics
Flows
Application Visibility
Bước 3. Chọn phương thức tích hợp
Có bốn phương pháp phổ biến. Phương án 1 - Syslog (đơn giản nhất)
WAN Edge
↓
Syslog Server
↓
Splunk Universal Forwarder
↓
Splunk Indexer
Ưu điểm
Nhược điểm
Phương án 2 - REST API
Splunk định kỳ gọi API từ SD-WAN Manager.
Splunk
↓
REST API
↓
Catalyst SD-WAN Manager
Có thể thu thập
Đây là phương pháp được Cisco khuyến nghị.
Phương án 3 - Splunk Add-on
Cisco cung cấp:
Cisco SD-WAN App for Splunk
Cisco SD-WAN Add-on
Các Add-on này:
Phương án 4 - Webhook/Event Streaming
Một số sự kiện có thể gửi trực tiếp đến Splunk HTTP Event Collector (HEC).
Event
↓
HEC
↓
Splunk
Độ trễ rất thấp.
Bước 4. Cấu hình Syslog trên SD-WAN
Ví dụ cấu hình trên IOS XE SD-WAN:
logging host 10.10.100.20
logging trap informational
logging source-interface Loopback0
logging facility local7
Nếu cấu hình tập trung qua SD-WAN Manager:
Configuration
↓
Feature Templates
↓
System
↓
Logging
Khai báo
Bước 5. Bật REST API trên SD-WAN Manager
REST API mặc định chạy trên HTTPS.
Ví dụ:
Đăng nhập
POST
/j_security_check
Lấy Token
GET
/client/token
Sau đó có thể truy cập:
/dataservice/device
/dataservice/device/statistics
/dataservice/network
/dataservice/alarms
/dataservice/events
Splunk sẽ định kỳ truy vấn các API này để thu thập dữ liệu.
Bước 6. Cấu hình Splunk Add-on
Trong Splunk:
Apps
↓
Manage Apps
↓
Install Cisco SD-WAN Add-on
Sau đó khai báo:
SD-WAN Manager URL
Username
Password
Polling Interval
Ví dụ:
Polling
60 seconds
Bước 7. Mapping Index
Khuyến nghị tạo các index riêng.
Ví dụ:
sdwan_logs
sdwan_events
sdwan_security
sdwan_flow
sdwan_statistics
Việc tách index giúp:
Bước 8. Dashboard
Theo hình minh họa, có thể xây dựng ba nhóm dashboard chính.
1. SOC Dashboard
Hiển thị tổng quan tình trạng bảo mật của hệ thống SD-WAN.
Ví dụ:
2. Threat Management
Theo dõi các sự kiện an ninh.
Ví dụ:
3. Flow Analysis
Phân tích lưu lượng ứng dụng.
Ví dụ:
Bước 9. Correlation Search
Kết hợp dữ liệu từ SD-WAN với các nguồn khác để phát hiện sự cố.
Ví dụ:
Firewall
+
ISE
+
SD-WAN
+
Active Directory
Có thể xây dựng các quy tắc như:
Những tương quan này giúp SOC và NOC xác định nguyên nhân nhanh hơn thay vì xem từng hệ thống riêng lẻ.
Bước 10. Best Practices
Khi triển khai trong môi trường doanh nghiệp, nên áp dụng một số khuyến nghị sau:
Việc tích hợp Cisco Catalyst SD-WAN với Splunk giúp biến SD-WAN Manager từ một công cụ quản trị mạng thành nguồn dữ liệu trọng yếu cho nền tảng SIEM. Thông qua Syslog, REST API hoặc các Splunk Add-on chính thức của Cisco, doanh nghiệp có thể tập trung hóa log, telemetry và sự kiện bảo mật, xây dựng dashboard theo thời gian thực, phát hiện bất thường và tự động hóa quy trình phản ứng sự cố. Đây là một kiến trúc được triển khai rộng rãi trong các trung tâm SOC/NOC hiện đại để nâng cao khả năng quan sát (observability) và vận hành mạng chủ động.
Trong các hệ thống vận hành mạng hiện đại, Catalyst SD-WAN Manager (trước đây là vManage) không chỉ là bộ điều khiển quản lý SD-WAN mà còn là nguồn dữ liệu rất giá trị cho SOC và NOC. Khi tích hợp với Splunk, toàn bộ log, telemetry, sự kiện bảo mật và thống kê ứng dụng có thể được tập trung về một nền tảng SIEM để phục vụ giám sát, cảnh báo và điều tra sự cố.
Theo kiến trúc trong hình, dữ liệu sẽ đi theo luồng:
Catalyst SD-WAN Fabric
│
│ Logs / Events / Alerts
▼
Splunk Data Lake
│
│ Indexing
│ Data Processing
│ Visualization
▼
Splunk Dashboard
Bước 1. Chuẩn bị môi trường
Cisco Catalyst SD-WAN
Có thể là:
- Catalyst SD-WAN Manager (vManage)
- Catalyst WAN Edge
- cEdge
- vEdge
Khuyến nghị phiên bản:
- IOS XE SD-WAN 17.x trở lên
- Catalyst SD-WAN Manager 20.x trở lên
Splunk
Có thể sử dụng
- Splunk Enterprise
- Splunk Cloud
Thông thường gồm:
Universal Forwarder (nếu cần)
Indexer
Search Head
Bước 2. Các nguồn dữ liệu có thể lấy từ SD-WAN
Cisco SD-WAN cung cấp rất nhiều loại dữ liệu. Syslog
Ví dụ
- Tunnel Down
- BFD Session
- OMP Neighbor
- Device Reload
- Interface Down
Security Events
Nếu bật Security Services
- IPS
- URL Filtering
- Malware Detection
- DNS Security
Flow Statistics
Bao gồm
- Application Aware Routing
- Top Applications
- SLA Violations
- Loss
- Latency
- Jitter
Audit Logs
Ví dụ
User Login
Policy Changed
Template Updated
Certificate Installed
Controller Joined
REST API
Catalyst SD-WAN Manager còn cung cấp hàng trăm REST API để truy vấn:
Device Inventory
CPU
Memory
Control Connections
Tunnel Status
Policies
Certificates
Statistics
Flows
Application Visibility
Bước 3. Chọn phương thức tích hợp
Có bốn phương pháp phổ biến. Phương án 1 - Syslog (đơn giản nhất)
WAN Edge
↓
Syslog Server
↓
Splunk Universal Forwarder
↓
Splunk Indexer
Ưu điểm
- cấu hình nhanh
- ổn định
- realtime
Nhược điểm
- chỉ lấy log
- không lấy telemetry
Phương án 2 - REST API
Splunk định kỳ gọi API từ SD-WAN Manager.
Splunk
↓
REST API
↓
Catalyst SD-WAN Manager
Có thể thu thập
- Device inventory
- Tunnel status
- Statistics
- Health
- Policies
- Alerts
Đây là phương pháp được Cisco khuyến nghị.
Phương án 3 - Splunk Add-on
Cisco cung cấp:
Cisco SD-WAN App for Splunk
Cisco SD-WAN Add-on
Các Add-on này:
- tự động gọi API
- parse JSON
- tạo dashboard
- mapping field
- correlation search
Phương án 4 - Webhook/Event Streaming
Một số sự kiện có thể gửi trực tiếp đến Splunk HTTP Event Collector (HEC).
Event
↓
HEC
↓
Splunk
Độ trễ rất thấp.
Bước 4. Cấu hình Syslog trên SD-WAN
Ví dụ cấu hình trên IOS XE SD-WAN:
logging host 10.10.100.20
logging trap informational
logging source-interface Loopback0
logging facility local7
Nếu cấu hình tập trung qua SD-WAN Manager:
Configuration
↓
Feature Templates
↓
System
↓
Logging
Khai báo
- Syslog Server
- Severity
- Facility
- Source Interface
Bước 5. Bật REST API trên SD-WAN Manager
REST API mặc định chạy trên HTTPS.
Ví dụ:
Đăng nhập
POST
/j_security_check
Lấy Token
GET
/client/token
Sau đó có thể truy cập:
/dataservice/device
/dataservice/device/statistics
/dataservice/network
/dataservice/alarms
/dataservice/events
Splunk sẽ định kỳ truy vấn các API này để thu thập dữ liệu.
Bước 6. Cấu hình Splunk Add-on
Trong Splunk:
Apps
↓
Manage Apps
↓
Install Cisco SD-WAN Add-on
Sau đó khai báo:
SD-WAN Manager URL
Username
Password
Polling Interval
Ví dụ:
Polling
60 seconds
Bước 7. Mapping Index
Khuyến nghị tạo các index riêng.
Ví dụ:
sdwan_logs
sdwan_events
sdwan_security
sdwan_flow
sdwan_statistics
Việc tách index giúp:
- tìm kiếm nhanh hơn
- quản lý vòng đời dữ liệu (retention) linh hoạt
- phân quyền truy cập theo loại dữ liệu.
Bước 8. Dashboard
Theo hình minh họa, có thể xây dựng ba nhóm dashboard chính.
1. SOC Dashboard
Hiển thị tổng quan tình trạng bảo mật của hệ thống SD-WAN.
Ví dụ:
- Top Threats
- IPS Hits
- Policy Violations
- Malware Detection
- Overall Application Traffic
- Drill-down theo User hoặc Site
2. Threat Management
Theo dõi các sự kiện an ninh.
Ví dụ:
- IPS Events
- Malware Events
- URL Filtering
- DNS Security
- Thiết bị đang bị tấn công
- Mức độ nghiêm trọng theo thời gian
3. Flow Analysis
Phân tích lưu lượng ứng dụng.
Ví dụ:
- Top Applications
- Top Sites
- WAN Utilization
- Top Domains
- SLA Violations
- Jitter
- Latency
- Packet Loss
- Báo cáo theo chi nhánh
Bước 9. Correlation Search
Kết hợp dữ liệu từ SD-WAN với các nguồn khác để phát hiện sự cố.
Ví dụ:
Firewall
+
ISE
+
SD-WAN
+
Active Directory
Có thể xây dựng các quy tắc như:
- Người dùng đăng nhập VPN thất bại nhiều lần rồi xuất hiện IPS Alert trên cùng một WAN Edge.
- Tunnel BFD Down đồng thời CPU của thiết bị tăng cao và mất kết nối OMP.
- SLA của đường MPLS vượt ngưỡng, SD-WAN chuyển lưu lượng sang Internet, sau đó phát hiện bất thường từ IDS.
Những tương quan này giúp SOC và NOC xác định nguyên nhân nhanh hơn thay vì xem từng hệ thống riêng lẻ.
Bước 10. Best Practices
Khi triển khai trong môi trường doanh nghiệp, nên áp dụng một số khuyến nghị sau:
- Ưu tiên sử dụng REST API hoặc Splunk Add-on thay vì chỉ thu thập Syslog để có dữ liệu phong phú hơn.
- Sử dụng HTTPS với chứng chỉ hợp lệ cho toàn bộ kết nối giữa Splunk và SD-WAN Manager.
- Tạo tài khoản API chuyên dụng theo nguyên tắc least privilege, tránh dùng tài khoản quản trị chung.
- Điều chỉnh chu kỳ polling phù hợp (30–60 giây cho thống kê thời gian thực, dài hơn cho dữ liệu ít thay đổi) để giảm tải cho SD-WAN Manager.
- Tách riêng index cho log, telemetry, sự kiện bảo mật và thống kê lưu lượng để tối ưu hiệu năng và chính sách lưu trữ.
- Xây dựng dashboard và cảnh báo dựa trên các chỉ số SLA như latency, jitter, packet loss, trạng thái BFD và OMP, thay vì chỉ theo dõi trạng thái thiết bị.
Việc tích hợp Cisco Catalyst SD-WAN với Splunk giúp biến SD-WAN Manager từ một công cụ quản trị mạng thành nguồn dữ liệu trọng yếu cho nền tảng SIEM. Thông qua Syslog, REST API hoặc các Splunk Add-on chính thức của Cisco, doanh nghiệp có thể tập trung hóa log, telemetry và sự kiện bảo mật, xây dựng dashboard theo thời gian thực, phát hiện bất thường và tự động hóa quy trình phản ứng sự cố. Đây là một kiến trúc được triển khai rộng rãi trong các trung tâm SOC/NOC hiện đại để nâng cao khả năng quan sát (observability) và vận hành mạng chủ động.