Puede utilizar nuestro proceso de instalación guiada para instalar el agente de monitoreo syslog o instalar el agente manualmente. Este documento cubre los requisitos previos para iniciar este proceso de instalación y un recorrido paso a paso por las opciones de instalación.
Requisitos previos
Antes de poder comenzar, deberá registrarse para obtener una cuenta New Relic. Si elige instalar el agente manualmente, también necesitará:
Una identificación de cuenta de New Relic.
Una New Relic
.
Recomendamos utilizar un contenedor Docker para desplegar el agente para la recopilación de mensajes syslog. Para usarlo, necesitas:
- Docker instalado en un host Linux
- Capacidad para lanzar un nuevo contenedor a través de línea de comando
Si está empleando un contenedor Podman para lanzar el agente, necesita:
- Podman instalado en un host Linux
- Capacidad para lanzar un nuevo contenedor a través de línea de comando
Si utiliza Linux para instalar el agente como servicio, necesita:
Acceso SSH al host
Acceso para instalar/eliminar aplicaciones y servicios.
Uno de estos sistemas operativos soportados:
- CentOS 8
- Debian 12 (ratón de biblioteca)
- Debian 11 (Diana)
- Debian 10 (Buster)
- RedHat Enterprise Linux 9
- Ubuntu 20.04 (LTS focal)
- Ubuntu 22.04 (Jammy LTS)
- Ubuntu 23.04 (Lunar)
Importante
Para recibir mensajes de syslog, el agente debe vincularse a UDP 514. En una instalación basada en host, se incluirá el siguiente comando durante el proceso de instalación. Cuando se ejecute, KTranslate se ejecutará con privilegios elevados.
sudo setcap cap_net_bind_service=+ep /usr/bin/ktranslate
Importante
ktranslate maneja syslog en los siguientes formatos automáticamente: RFC3164, RFC5424 y RFC6587. Cualquier mensaje recibido fuera de estos formatos se descartará a menos que configure -syslog.format=NoFormat marcar en tiempo de ejecución.
Debe configurar los dispositivos de origen para enviar mensajes syslog al host que ejecuta el Monitoreo de red agente. A continuación se explica cómo configurar la exportación de syslog de red en algunos dispositivos (esta no es una lista exhaustiva):
- Punto de control: puerta de enlace de seguridad. Debes iniciar sesión en el punto de control del Centro de usuarios/PartnerMAP.
- Cisco - ASA
- Cisco - IOS
- Cisco-NX-OS
- F5 - IP GRANDE
- Fortinet Fortigate
- Enebro - Junos
- Palo Alto - PAN-OS
Verifique los requisitos previos de seguridad de la red para syslog de red.
Configurar el monitoreo de syslog de red en New Relic
Para la mayoría de los casos de uso, recomendamos nuestra instalación guiada para configurar el monitoreo de datos del flujo de red. Si su configuración es más avanzada con configuraciones personalizadas, le recomendamos instalarla manualmente.
Vaya a one.newrelic.com > All capabilities > Add more data.
Desplácese hacia abajo hasta que vea Network y haga clic en Syslog.
Siga los pasos descritos en el proceso de instalación guiada. Puedes usar Docker o Linux.
one.newrelic.com > All capabilities > Add more data > Network > Syslog para configurar el monitoreo de mensajes syslog.
Investigue los mensajes de syslog de su dispositivo en la New Relic UI mediante la siguiente consulta:
"plugin.type":"ktranslate-syslog"Aquí hay un video corto (2:56 minutos) que muestra cómo configurar el monitoreo de syslog de red:
Antes de leer sobre la instalación manual del agente syslog, considere emplear nuestro proceso de instalación guiada para evitar errores:
En un host Linux con Docker instalado, descargue la imagen ktranslate ejecutando una de las siguientes opciones:
- bash$docker pull kentik/ktranslate:v2
- bash$docker pull quay.io/kentik/ktranslate:v2
Copie el archivo
snmp-base.yamlen el directorio local$HOMEde su usuario Docker y descarte el contenedor ejecutando:bash$cd ~$id=$(docker create kentik/ktranslate:v2)$docker cp $id:/etc/ktranslate/snmp-base.yaml .$docker rm -v $idEdite el archivo
snmp-base.yamly agregue sus dispositivos syslog dentro de la clave del diccionariodevicescon la siguiente estructura:devices:# This key and the corresponding 'device_name'# need to be unique for each devicesyslog_device1:device_name: syslog_device1device_ip: x.x.x.x/yyping_only: true# Optional user tagsuser_tags:owning_team: net_engenvironment: productionImportante
Si ya está monitoreando dispositivos de datos SNMP que también conectarán mensajes syslog en red, querrá cerciorar de que el valor de
device_namesea idéntico para ambos archivos de configuración para garantizar que los mensajes syslog sean atributos de la entidad correcta en New Relic UI.Ejecute
ktranslatepara escuchar los flujos de red con el comando:bash$docker run -d --name ktranslate-$CONTAINER_SERVICE --restart unless-stopped --pull=always -p 514:5143/udp \>-v `pwd`/snmp-base.yaml:/snmp-base.yaml \>-e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \>kentik/ktranslate:v2 \>-snmp /snmp-base.yaml \>-nr_account_id=$YOUR_NR_ACCOUNT_ID \>-metrics=jchf \>-tee_logs=true \>-dns=local \># Use this field to create a unique value for `tags.container_service` inside of New Relic>-service_name=$CONTAINER_SERVICE \>nr1.syslogSugerencia
El puerto predeterminado en el que el contenedor escucha los mensajes de syslog es
514/udp. Si sus mensajes se envían a través de un puerto diferente, deberá cambiar el argumento-p 514:5143/udpa-p $srcPort:5143/udp.Investigue los mensajes de syslog de su dispositivo en la New Relic UI mediante la siguiente consulta:
"plugin.type":"ktranslate-syslog"
En un host con Podman instalado, descargue la imagen ktranslate ejecutando el siguiente comando:
- bash$podman pull docker.io/kentik/ktranslate:v2
Copie el archivo
snmp-base.yamlen el directorio local$HOMEde su usuario de Podman y descarte el contenedor ejecutando:bash$cd ~$id=$(podman create kentik/ktranslate:v2)$podman cp $id:/etc/ktranslate/snmp-base.yaml .$podman rm -v $idEdite el archivo
snmp-base.yamly agregue sus dispositivos syslog dentro de la clave del diccionariodevicescon la siguiente estructura:devices:# This key and the corresponding 'device_name'# need to be unique for each devicesyslog_device1:device_name: syslog_device1device_ip: x.x.x.x/yyping_only: true# Optional user tagsuser_tags:owning_team: net_engenvironment: productionImportante
Si ya está monitoreando dispositivos de datos SNMP que también enviarán mensajes syslog de red, querrá cerciorar de que el valor de
device_namesea idéntico para ambos archivos de configuración para garantizar que los mensajes syslog se atribuyan a la entidad correcta en New Relic UI.El contenedor Rootless Podman no puede vincular a puertos inferiores a 1024. Para manejar la redirección de paquetes para sus mensajes de syslog, deberá crear una regla
iptablesque apunte al puerto al que llegan sus paquetes en UDP ($scrPort) con el comando:bash$sudo iptables -t nat -A PREROUTING -p udp --dport $scrPort -j REDIRECT --to-port 5143Ejecute
ktranslatepara escuchar mensajes de syslog con el comando:bash$podman run -d --name ktranslate-$CONTAINER_SERVICE --userns=keep-id --restart unless-stopped --pull=always --net=host \>-v `pwd`/snmp-base.yaml:/snmp-base.yaml \>-e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \>kentik/ktranslate:v2 \>-snmp /snmp-base.yaml \>-nr_account_id=$YOUR_NR_ACCOUNT_ID \>-metrics=jchf \>-tee_logs=true \>-dns=local \>-service_name=ktranslate-$CONTAINER_SERVICE \>nr1.syslogInvestigue los mensajes de syslog de su dispositivo en la New Relic UI mediante la siguiente consulta:
"plugin.type":"ktranslate-syslog"
- Dependiendo de su administrador de paquetes, use uno de los siguientes comandos para instalar
ktranslate:
Yum:
bash$curl -s https://packagecloud.io/install/repositories/kentik/ktranslate/script.rpm.sh | sudo bash && \>sudo yum install ktranslateApt:
bash$curl -s https://packagecloud.io/install/repositories/kentik/ktranslate/script.deb.sh | sudo bash && \>sudo apt-get install ktranslate
Defina las variables de entorno empleadas por
ktranslate:bash$sudo tee "/etc/default/ktranslate.env" > /dev/null <<'EOF'$NR_ACCOUNT_ID=$YOUR_NR_ACCOUNT_ID$NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY$KT_FLAGS="-snmp /etc/ktranslate/snmp-base.yaml \>-metrics=jchf \>-tee_logs=true \>-dns=local \>-service_name=$CONTAINER_SERVICE \>-syslog.source=0.0.0.0:514 \>nr1.syslog"$EOF$$# ensure /etc/default/ktranslate.env is owned by ktranslate user$sudo chown ktranslate:ktranslate /etc/default/ktranslate.env$$# Syslog binds to privileged port 514. Allow ktranslate to bind to this point with the following command$sudo setcap cap_net_bind_service=+ep /usr/bin/ktranslateSi no tiene un archivo de configuración
snmp-base.yamlexistente, cree uno con:bash$cd ~$touch snmp-base.yamlEdite el archivo
snmp-base.yamly agregue sus dispositivos syslog dentro de la clave del diccionariodevicescon la siguiente estructura:devices:# This key and the corresponding 'device_name'# need to be unique for each devicesyslog_device1:device_name: syslog_device1device_ip: x.x.x.x/yyping_only: true# Optional user tagsuser_tags:owning_team: net_engenvironment: productionResetear el servicio
ktranslatepara aplicar los cambios al archivosnmp-base.yaml:bash$sudo systemctl restart ktranslateInvestigue los mensajes de syslog de su dispositivo en la New Relic UI mediante la siguiente consulta:
"plugin.type":"ktranslate-syslog"
¿Te ha ayudado este documento con la instalación?
¿Que sigue?
Puede configurar algún agente adicional para complementar los datos de syslog de su red:
- Para obtener una mejor visibilidad del rendimiento de su dispositivo de red, configure el monitoreo de datos SNMP.
- Para obtener una mejor visibilidad de cómo se utiliza su red, configure el monitoreo de datos de flujo de red.