インフラストラクチャエージェントを使用してログを転送する

ログを New Relic に転送すると、すべてのログデータが 1 か所で利用できるようになり、アプリケーションとプラットフォームのパフォーマンスデータの両方をより詳細に可視化できます。ログを 1 か所にまとめて、ログデータで見つかったエラーや異常を収集、処理、調査、クエリ、およびアラートできます。

ホストの UI から、選択した期間のイベントのコンテキストにログが配置されます。強調表示された属性の詳細データにドリルダウンできます。

インフラストラクチャエージェントはログ転送機能を有効にするため、ログの転送方法はインフラストラクチャエージェントのインストール方法によって異なります。次の方法でインフラストラクチャエージェントをインストールできます。

ガイド付きインストール (ほとんどのユーザーに推奨)
手動インストール
Linux ターボール

重要

Linux バージョンのインフラストラクチャエージェント、具体的にはバージョン 1.42.0 は、td-agent-bit パッケージの使用から Fluent-bit パッケージに移行しました。この変更は、メジャーバージョン 2.x アップデートの後、fluent-bit が td-agent-bit フレーバーで配布されなくなったため、必要になりました。

スムーズな操作を確保し、fluent-bit パッケージに問題が発生した場合に td-agent-bit に戻すオプションを提供するために、インフラストラクチャエージェントは両方のパッケージ (td-agent-bit と fluent-bit) をインストールするようになりました。デフォルトでは、エージェントは Fluent-bit を使用するように構成されています。

ロールバック方法の詳細については、「Fluent Bit 1.9 へのロールバック」を参照してください。

ヒント

ログがたくさんありますか? それらを最適化および管理する方法については、チュートリアルをご覧ください。

システム要求

インフラストラクチャ・エージェント・バージョン1.11.4以上
流暢なビット。インフラストラクチャエージェントは、すでに最新バージョンをインストールしています。特定のバージョンに更新またはダウングレードするには、FluentBitのインストール手順を参照してください。
OpenSSL ライブラリ 1.1.0以上
LinuxシステムでのARM64アーキテクチャ（AWS Gravitonアーキテクチャなど）の組み込みサポートがインフラストラクチャエージェント1.20.6に追加されました。
Amazon Linux 2 および 2023 (ARM64 は 2023 ではサポートされません)
CentOS バージョン 7、8、および 9 ストリーム (Rocky Linux および AlmaLinux もサポートされています)
RedHat バージョン 7、8、9
Debian バージョン 9 (ストレッチ)、10 (バスター)、および 11 (ブルズアイ)。
SUSE Linux Enterprise Server (SLES) バージョン 12 および 15 (ARM64 はサポートされていません)。
Ubuntu バージョン 16.04.x、18.04.x、20.04.x、22.04.x(LTS バージョン)。
Windows Server 2012、2016、2019、2022、およびそれらのサービスパック。
Windows 10、Windows 11。

ガイド付きインストールによるログの自動転送

ガイド付きインストールを使用してインフラストラクチャエージェントをインストールすると、インストールプロセス中にログ転送機能が自動的に構成されます。まだお持ちでない場合は、以下で無料の New Relic アカウントを作成して、今すぐデータの監視を開始してください。

インストールを開始するには、展開方法を選択します。

手動でインストールされたエージェントでログ転送を有効にする

インフラストラクチャエージェントを手動でインストールするには、チュートリアルに従ってパッケージマネージャーをインストールするか、 MSI インストーラー(Windows) を確認してください。

手順 1.インフラストラクチャエージェントを構成する

構成ファイルは、New Relic に表示するログソースをシステムに転送するように指示します。構成ファイルはいくつでも追加できます。インフラストラクチャエージェントは、 .ymlファイルを使用してロギングを構成します。UI の [データの追加]からインフラストラクチャエージェントをインストールすると、ファイルlogging.ymlが自動的に作成されます。

ログ転送機能の新しい構成ファイルを追加するには、次のようにします。

ログフォワーダー構成フォルダーに移動します。
- Linux： /etc/newrelic-infra/logging.d/
- ウィンドウズ： C:\Program Files\New Relic\newrelic-infra\logging.d\
logging.yml 構成ファイルを作成し、必要なパラメータを追加します。 logging.d ディレクトリには、参照または開始点として使用できるさまざまな .yml.example ファイルがあります。Windows の例については、 Github リポジトリを参照してください。
```
# Log forwarder configuration file example
# Source: file
# Available customization parameters: attributes, max_line_kb, pattern
logs:
  # Basic tailing of a single file
  - name: basic-file
    file: /var/log/logFile.log

  # File with spaces in its path. No need to use quotes.
  - name: file-with-spaces-in-path
    file: /var/log/folder with spaces/logFile.log

  # Specify a list of custom attributes, as key-value pairs, to be included
  # in each log record
  - name: file-with-attributes
    file: /var/log/logFile.log
    attributes:
      application: tomcat
      department: sales
      maintainer: example@mailprovider.com

  # Use wildcards to refer to multiple files having a common extension or
  # prefix. Newly generated files will be automatically detected every 60
  # seconds.
  #
  # WARNING: avoid using wildcards that include the file extension, since
  # it'll cause logs to be forwarded repeatedly if log rotation is enabled.
  - name: log-files-in-folder
    file: /var/log/logF*.log

  # Lines longer than 128 KB will be automatically skipped. Use 'max_line_kb'
  # to increase this limit.
  - name: log-file-with-long-lines
    file: /var/log/logFile.log
    max_line_kb: 256

  # Use 'pattern' to filter records using a regular expression
  - name: only-records-with-warn-and-error
    file: /var/log/logFile.log
    pattern: WARN|ERROR
```

エージェントは、インフラストラクチャ監視サービスを再起動しなくても、新しい構成ファイルを自動的に処理します。これに対する唯一の例外は、カスタムFluentBit構成を構成する場合です。

ステップ 2. ログ転送パラメーターを設定する

ログ転送.yml構成ファイルでnameおよびログソースパラメータを設定する必要があります。まず、New Relic に転送するログのnameを定義します。

ログソースに何を使用するかは、ログのソースとなる場所によって異なります。ログソースに使用できるオプションは次のとおりです。

ログファイルへのパス。エージェントは、 tail -fシェルと同様の方法でログファイルの変更を追跡します。

例：

logs:
  - name: example-log
    file: /var/log/example.log # Path to a single log file
  - name: example-log-two
    file: /var/log/example-two.log # Path to another single log file

fileパラメータは、名前と拡張子に適用されるワイルドカードを使用して、特定のログファイルまたは複数のファイルを指すことができます。たとえば、 /logs/*.log 。ファイルパス内のディレクトリの代わりにワイルドカードを使用できます。これを使用して、別のディレクトリにあるファイルを調整できます。

例：

logs:
  - name: docker-logs
    file: /var/lib/docker/containers/*/*.log # Path to multiple folders and files

重要

ワイルドカードを使用すると、ファイル記述子の数が大幅に増加し、Fluent Bitプロセスが開いたままになるのを監視します。これにより、ホストのファイル記述子の制限に達した場合にログの収集が妨げられる可能性があります。多数のファイルをテーリングするには、ファイル記述子の最大数を増やし、オペレーティングシステムで許可されているウォッチャーをinotifyする必要がある場合があります。ログファイルを増やす方法の詳細については、大量のログファイルをテーリングするときのエラーを参照してください。

Linux環境でjournaldデーモンによって収集されたログメッセージを転送するには、 systemdパラメーターを使用します。この入力タイプでは、エージェントがルートモードで実行されている必要があります。

例：

logs:
  - name: systemd-example
    systemd: cupsd

Syslogデータソース。

パラメーター：

uri: Syslogソケット。形式はプロトコルによって異なります。
- TCP / UDPネットワークソケット： [tcp/udp]://LISTEN_ADDRESS:PORT
- Unixドメインソケット： unix_[tcp/udp]:// + /socket/path
parser: Syslogパーサー。デフォルトはrfc3164です。メッセージに秒の小数部が含まれている場合は、 rfc5424を使用します。注： rfc3164は現在SuSEでは機能しません。

unix_permissions: ドメインソケットのデフォルトは0644です。これにより、エントリはルートとして実行されているプロセスに制限されます。0666を使用して、自己責任で非ルートプロセスをリッスンできます。

エージェントを特権モードで実行する場合、他のプロセスがソケットにログを書き込めるように、ポートとソケットは0666 nri-agentによって使用可能であるか、所有されている必要があります。

logs:
  # TCP network socket
  - name: syslog-tcp-test
    syslog:
      uri: tcp://0.0.0.0:5140 # Use the tcp://LISTEN_ADDRESS:PORT format
      parser: rfc5424 # Default syslog parser is rfc3164
  # UDP network socket
  - name: syslog-udp-test
    syslog:
      uri: udp://0.0.0.0:6140 # Use the udp://LISTEN_ADDRESS:PORT format
    max_line_kb: 35
  # Unix TCP domain socket
  - name: syslog-unix-tcp-test
    syslog:
      uri: unix_tcp:///var/unix-tcp-socket-test
      unix_permissions: 0666 # Default is 0644. Change at your own risk
  # Unix UDP domain socket
  - name: syslog-unix-udp-test
    syslog:
      uri: unix_udp:///var/unix-udp-socket-test
      parser: rfc5424

TCP接続を介して取得されたログ。

パラメーター：

uri: 着信データをリッスンするTCP/IPソケット。URI形式は tcp://LISTEN_ADDRESS:PORT
format: データのフォーマット。jsonまたはnoneにすることができます。

separator: format: noneを使用する場合は、レコードを分割するための区切り文字列を定義できます（デフォルト： \n ）。

logs:
  - name: tcp-simple-test
    tcp:
      uri: tcp://0.0.0.0:1234 # Use the tcp://LISTEN_ADDRESS:PORT format
      format: none # Raw text - this is default for 'tcp'
      separator: \t # String for separating raw text entries
    max_line_kb: 32
  - name: tcp-json-test
    tcp:
      uri: tcp://0.0.0.0:2345 # Use the tcp://LISTEN_ADDRESS:PORT format
      format: json

重要

インフラストラクチャエージェント v.1.24.3 以降で利用可能Windows Server 2019 以降とのみ互換性があります。以前のバージョンでは、代わりに winlog を使用してください。

winevtlog Fluent Bitプラグインを使用して、新しいWindowsイベントログAPIを使用してWindowsログチャネルからイベントを収集します。

パラメーター：

channel: チャネルログの名前はから収集されます。
collect-eventids: 収集されてNewRelicに転送されるWindowsイベントIDのリスト。イベントIDの範囲がサポートされています。
exclude-eventids: コレクションから除外されるWindowsイベントIDのリスト。イベントIDの範囲がサポートされています。

use-ansi: winevtlog メッセージには ANSI エンコードを使用します。Windows Server 2016 以前のバージョンではデフォルトで ANSI エンコードを使用し、新しいバージョンでは UTF-8 を使用します。これらのデフォルトがユースケースに適合しない場合は、この構成パラメーターを使用してこの動作をオーバーライドできます。

デフォルトでは、すべてのイベントは指定されたチャネルから収集されます。New Relicアカウントに不要なログが送信されないように、 collect-eventidsセクションとexclude-eventidsセクションを構成します。

イベントIDまたは範囲をcollect-eventidsまたはexclude-eventidsに追加して、特定のイベントを転送またはドロップします。同じイベントIDが両方のセクションに存在する場合、 exclude-eventidsはcollect-eventidsよりも優先されます。

例：

logs:
  # Example winevtlog security log ingestion with eventId filters.
  - name: windows-security
    winevtlog:
      channel: Security
      collect-eventids:
        - 4624
        - 4265
        - 4700-4800
      exclude-eventids:
        - 4735
    attributes:
      logtype: windows_security

  # Example entries for the application and system channels
  - name: windows-application
    winevtlog:
      channel: Application
      attributes:
        logtype: windows_application
  - name: windows-system
    winevtlog:
      channel: System
      attributes:
        logtype: windows_system

  # Example/Optional entry for Windows Defender Logs
  #- name: windows-defender
  #  winevtlog:
  #    channel: Microsoft-Windows-Windows Defender/Operational

  # Example/Optional entry for Windows Clustering Logs
  #- name: windows-clustering
  #  winevtlog:
  #    channel: Microsoft-Windows-FailoverClustering/Operational

重要

Winlog は従来のイベントログのみを収集できます。他のユーザーをキャプチャしようとすると、サイレントモードでアプリケーションログが収集されます。

Windowsログチャネルからイベントを収集します。

パラメーター：

channel: チャネルログの名前はから収集されます。カスタムチャネルでは機能しません。
collect-eventids: 収集されてNewRelicに転送されるWindowsイベントIDのリスト。イベントIDの範囲がサポートされています。
exclude-eventids: コレクションから除外されるWindowsイベントIDのリスト。イベントIDの範囲がサポートされています。

use-ansi: winlog メッセージに ANSI エンコードを使用します。Windows Server 2016 以前のバージョンではデフォルトで ANSI エンコードを使用し、新しいバージョンでは UTF-8 を使用します。これらのデフォルトがユースケースに適合しない場合は、この構成パラメーターを使用してこの動作をオーバーライドできます。

例：

logs:
  # Example winlog security log ingestion with eventId filters.
  - name: windows-security
    winlog:
      channel: Security
      collect-eventids:
        - 4624
        - 4265
        - 4700-4800
      exclude-eventids:
        - 4735
    attributes:
      logtype: windows_security

  # Example entries for the application and system channels
  - name: windows-application
    winlog:
      channel: Application
      attributes:
        logtype: windows_application
  - name: windows-system
    winlog:
      channel: System
      attributes:
        logtype: windows_system

  # Example/Optional entry for Windows Defender Logs
  #- name: windows-defender
  #  winlog:
  #    channel: Microsoft-Windows-Windows Defender/Operational

  # Example/Optional entry for Windows Clustering Logs
  #- name: windows-clustering
  #  winlog:
  #    channel: Microsoft-Windows-FailoverClustering/Operational

ステップ 3. 主要な属性を定義する

これらの構成パラメータは必須ではありませんが、これらの構成をlogging.ymlファイルに適用して、ログ転送を最大限に活用することをお勧めします。

キーと値のペアとして指定されたカスタム属性のリスト。ログとともに追加のデータを送信するために使用でき、その後クエリを実行できます。attributes構成パラメーターは、任意のログソースで使用できます。

重要

attributes構成パラメーターは、外部Fluent Bit構成を介して（たとえば、 fluentbit構成パラメーターを使用して）転送されるログにカスタム属性を追加しません。このシナリオでは、 FluentBitドキュメントのrecord_modifierオプションを参照する必要があります。

attributes構成パラメーターの一般的な使用法の1つは、 logtype属性を指定することです。この属性により、NewRelicのログ管理機能でサポートされている組み込みの解析ルールの1つを活用できます。

例：

logs:
  - name: example-file-attributes
    file: /var/log/example.log
    attributes:
      logtype: nginx
      region: example-us-02
      team: A-team
  - name: example-tcp-attributes
    tcp:
      uri: tcp://0.0.0.0:2345
      format: json
    attributes:
      logtype: nginx
      region: example-us-02
      team: B-team

インフラストラクチャエージェントは、便宜上、ログ属性を自動的に挿入します。それらのいくつかはログレコードに挿入されますが、その他はログフォワーダーのセットアップ中に使用した構成パラメーターに依存します。

属性名	説明
`entity.guids`	常に挿入されます。インフラストラクチャエージェントは、New Relic によって割り当てられたエンティティ GUID を挿入して、実行されているホストを識別します。これは、 `entity.guids` フィールドで使用できます。注：キャプチャされたログがAPMを使用してインストルメント化されたアプリケーションに属している場合、 `entity.guids`フィールドには、インフラストラクチャのエンティティGUIDとAPMのGUIDの両方が、パイプ（\|）区切り文字で区切られて含まれます。
`fb.input`	常に挿入されます。ログのキャプチャに使用される基になるFluentBit入力プラグインタイプ。現在、その値は`tail` 、 `systemd` 、 `winlog` 、 `syslog` 、および`tcp`です。
`filePath`	`file`入力タイプを使用するときに挿入されます。監視対象のファイルの絶対ファイルパス。
`hostname`	常に挿入されます。インフラストラクチャエージェントを実行しているマシン/VM/コンテナのホスト名。
`plugin.type`	常に挿入されます。ログのキャプチャに使用されるユーティリティを示します。この場合、それはインフラストラクチャエージェント自体であるため、この属性の値は常に`nri-agent`です。

レコードをフィルタリングするための正規表現。tail 、 systemd 、 syslog 、およびtcp （形式noneの場合のみ）のソースでのみサポートされます。

このフィールドは、Unixシステムのgrep -Eと同じように機能します。たとえば、キャプチャされている特定のファイルについて、次を使用してWARNまたはERRORのいずれかを含むレコードをフィルタリングできます。

- name: only-records-with-warn-and-error
  file: /var/log/logFile.log
  pattern: WARN|ERROR

デフォルトでは、フィルタリングは適用されません。

外部FluentBit構成およびパーサーファイル。定義されている場合、それらはインフラストラクチャエージェントによって生成された既存の構成ファイルおよびパーサーファイルとマージされます。

インフラストラクチャエージェントは、 logging.dディレクトリにある構成ファイルを処理し、適切な[INPUT] 、 [FILTER] 、および[OUTPUT]セクションを含むランタイムFluentBit構成ファイルを生成します。オプションで、 fluentbitオプションを介して外部Fluent Bit構成ファイルを提供した場合は、 @INCLUDEも宣言します。

ランタイムファイルで[SERVICE]セクションが定義されていないため、すべてのデフォルトの Fluent Bit 構成値が残されています。外部の Fluent Bit 構成ファイルで独自の[SERVICE]セクションを定義し、 fluentbitオプションを介して含めることで、Fluent Bit のデフォルト設定をオーバーライドできます。

パラメーター：

config_file: 既存の Fluent Bit 構成ファイルへのパス。重複するソースがあると、ログ UI で重複したメッセージが表示されることに注意してください。

parsers_file: 既存のFluentBitパーサーファイルへのパス。次のパーサー名が予約されています： rfc3164 、 rfc3164-local 、およびrfc5424 。

重要

インフラストラクチャエージェントでは、このドキュメントで説明されているように、 logging.d/ディレクトリのYAMLファイルで単純なログ転送構成を定義することにより、最も一般的なユースケースのログを転送できます。これらのファイルは、適切な形式と適切な構成デフォルトでFluentBit構成ファイルに内部的に変換されます。New Relicは、生成された構成ファイルが正しく機能することを保証するため、これらの構成オプションの公式サポートを提供します。

それでも、サポートされている構成オプションでカバーされていないユースケースでは、 fluentbit 、 config_file 、およびparsers_fileオプションを使用して外部で生成されたFluentBit構成およびパーサーファイルを使用する可能性を提供します。

この場合、提供された構成は完全に任意であり、エージェントによって生成/検証されていないため、転送されたログの正しい動作を保証できないことに注意してください。したがって、New Relicは、これらのオプションで指定された外部構成を公式にサポートしていません。

サンプル構成ファイル

YAML形式のlogging.d/構成ファイルの例を次に示します。その他の構成例については、インフラストラクチャエージェントリポジトリを参照してください。

# Remember to only use spaces for indentation

logs:
  # Example of 'file' source
  - name: file-with-attributes
    file: /var/log/test.log # Path to a single file or pattern
    attributes: # You can use custom attributes to enrich your data
      logtype: nginx
      team: The A Team
    pattern: Error # Regular expression to filter log entries

  # Example of 'systemd' source (Linux only)
  - name: systemd-example
    systemd: cupsd

  # Examples of 'syslog' source, one per protocol
  # TCP network socket
  - name: syslog-tcp-test
    syslog:
      uri: tcp://0.0.0.0:5140 # Use the tcp://LISTEN_ADDRESS:PORT format
      parser: rfc5424 # Default syslog parser is rfc3164
  # UDP network socket
  - name: syslog-udp-test
    syslog:
      uri: udp://0.0.0.0:6140 # Use the udp://LISTEN_ADDRESS:PORT format
    max_line_kb: 35

  # Paths for Unix sockets are defined by combining protocol and path:
  # unix_udp:// + /path/socket - for example, unix_udp:///tmp/socket
  # Unix TCP domain socket
  - name: syslog-unix-tcp-test
    syslog:
      uri: unix_tcp:///var/unix-tcp-socket-test
      unix_permissions: 0666 # Default is 0644. Change at your own risk
  # Unix UDP domain socket
  - name: syslog-unix-udp-test
    syslog:
      uri: unix_udp:///var/unix-udp-socket-test
      parser: rfc5424

  # Examples of 'tcp' source for formats 'none' and 'json'
  - name: tcp-simple-test
    tcp:
      uri: tcp://0.0.0.0:1234 # Use the tcp://LISTEN_ADDRESS:PORT format
      format: none # Raw text - this is default for 'tcp'
      separator: \t # String for separating raw text entries
    attributes: # You can add custom attributes to any source of logs
      tcpFormat: none
      someOtherAttribute: associatedValue
    max_line_kb: 32
  - name: tcp-json-test
    tcp:
      uri: tcp://0.0.0.0:2345 # Use the tcp://LISTEN_ADDRESS:PORT format
      format: json
    attributes:
      tcpFormat: json
      yetAnotherAttribute: 12345

  # Example of Fluent Bit configuration import
  - name: fluentbit-import
    fluentbit:
      config_file: /path/to/fluentbit.config
      parsers_file: /path/to/fluentbit/parsers.conf

ステップ 4. ログデータを表示する

すべてが正しく構成され、データが収集されている場合は、次の場所にログと関連するテレメトリデータが表示されます。

ログUI
インフラストラクチャ UI で、ホストテーブルから、
特定のホストのアイコンをクリックし、 View logs [ログの表示]をクリックします。
NRQL クエリを実行するためのツール。たとえば、次のようなクエリを実行できます。

SELECT * FROM Log

オンホスト統合のログを有効にする

インフラストラクチャエージェントをインストールすると、最も一般的なオンホスト統合の自動ログ解析と転送を1つのステップで有効にできます。この機能を有効にするには、 on-host-log.yml.exampleファイルの名前をon-host-log.ymlに変更します。完了すると、統合のログが自動的に解析され、NewRelicに送信されます。

このオプションは、サポートされているLinuxプラットフォームで使用できます。

オンホスト統合ログ転送機能を有効にするには：

elasticsearch-log.yml.exampleファイルをelasticsearch-log.ymlにコピー（または名前変更）して、ElasticsearchJSON形式の自動ログ解析とNewRelicへの転送を有効にします。エージェントを再起動する必要はありません。

例：

bash

$sudo cp /etc/newrelic-infra/logging.d/elasticsearch-log.yml.example /etc/newrelic-infra/logging.d/elasticsearch-log.yml

mysql-log.yml.exampleファイルをmysql-log.ymlにコピー（または名前変更）して、MySQLエラーログの自動解析とNewRelicへの転送を有効にします。エージェントを再起動する必要はありません。

例：

bash

$sudo cp /etc/newrelic-infra/logging.d/mysql-log.yml.example /etc/newrelic-infra/logging.d/mysql-log.yml

nginx-log.yml.exampleファイルをnginx-log.ymlにコピー（または名前変更）して、自動NGINXアクセスとエラーログの解析およびNewRelicへの転送を有効にします。エージェントを再起動する必要はありません。

例：

bash

$sudo cp /etc/newrelic-infra/logging.d/nginx-log.yml.example /etc/newrelic-infra/logging.d/nginx-log.yml

rabbitmq-log.yml.exampleファイルをrabbitmq-log.ymlにコピー（または名前変更）して、Rabbitmqエラーログの自動解析とNewRelicへの転送を有効にします。エージェントを再起動する必要はありません。

例：

bash

$sudo cp /etc/newrelic-infra/logging.d/rabbitmq-log.yml.example /etc/newrelic-infra/logging.d/rabbitmq-log.yml

redis-log.yml.exampleファイルをredis-log.ymlにコピー（または名前変更）して、Redisエラーログの自動解析とNewRelicへの転送を有効にします。エージェントを再起動する必要はありません。

例：

bash

$sudo cp /etc/newrelic-infra/logging.d/redis-log.yml.example /etc/newrelic-infra/logging.d/redis-log.yml

Linuxtarballを使用してインストールされたエージェントでログ転送を有効にする

インフラストラクチャ監視用のカスタムLinuxインストールプロセスを使用すると、インストールプロセスのすべての側面を調整し、ファイルとフォルダーをマシンに配置できます。支援または手動のtarballインストールプロセスを選択した場合は、次の手順に従ってログフォワーダー機能を実装します。

次のディレクトリを作成します。

/var/db/newrelic-infra/newrelic-integrations/logging
/etc/newrelic-infra/logging.d

次のようなコマンドを実行して、New Relicのfluent-bit-package（RPM）をダウンロードしてインストールします。
bash
```
$yum localinstall fluent-bit-<some-version>.rpm`
```
New Relicのfluentbitプラグインをダウンロードし、 /var/db/newrelic-infra/newrelic-integrations/logging/out_newrelic.soとして保存します。
この Github リポジトリからparsers.confファイルをダウンロードまたはコピーし、 /var/db/newrelic-infra/newrelic-integrations/logging/parsers.confとして保存します。

このドキュメントはインストールで役立ちましたか。

トラブルシューティング

ログフォワーダーの構成で問題が発生した場合は、次のトラブルシューティングのヒントを試してください。

ログ転送機能では、エージェントがデータソースを読み取るためのアクセス許可を持っている必要があります。インフラストラクチャエージェントを特権モードまたは非特権モードで実行する場合は、転送するログファイル（およびそのパス内の中間ディレクトリ）が、 nri-agentを実行しているユーザーが読み取れることを確認してください。

例：Linuxでのファイルアクセスの確認

nri-agentユーザーがファイル/var/log/restrictedLogs/logFile.logを監視できるかどうかを確認しましょう。Linuxでは、 nameiコマンドを使用して簡単なチェックを行うことができます。

bash

$sudo -u nri-agent namei -ml /var/log/restrictedLogs/logFile.log
$f: /var/log/restrictedLogs/logFile.log
$drwxr-xr-x root root /
$drwxr-xr-x root root var
$drwxrwxr-x root syslog log
$drwxr--r-- root root restrictedLogs
$logFile.log - No such file or directory

ファイルがnri-agentユーザーに表示されないため、このコマンドは失敗しました。前の出力を調べることにより、 restrictedLogsディレクトリにothersの実行フラグがないことを検出できます。

これを修正するには、次を実行します。

bash

$sudo chmod 755 /var/log/restrictedLogs

次に、ファイルアクセスを再度確認します。

bash

$# sudo -u nri-agent namei -ml /var/log/restrictedLogs/logFile.log
$f: /var/log/restrictedLogs/logFile.log
$drwxr-xr-x root root /
$drwxr-xr-x root root var
$drwxrwxr-x root syslog log
$drwxr-xr-x root root restrictedLogs
$-rw-r----- vagrant vagrant logFile.log

これで、ファイルはnri-agentユーザーに表示されます。nri-agentユーザーもファイルを読み取れるようにする必要があります。これを確認するには、次を使用します。

bash

$# sudo -u nri-agent head /var/log/restrictedLogs/logFile.log
$head: cannot open '/var/log/restrictedLogs/logFile.log' for reading: Permission denied

この例では、ファイルにothersグループ（ vagrantおよびvagrantユーザーグループ以外のユーザー）の読み取り権限がありません。othersに読み取り権限を付与することでこれを修正できますが、アプリケーションは再起動時にこれらの権限を変更する可能性があります。

これを回避するには、 nri-agentユーザーをvagrantユーザーグループに追加することをお勧めします。

ログ転送機能には、エージェントがデータソースを読み取る権限を持っている必要があります。インフラストラクチャエージェントを特権モードまたは非特権モードで実行する場合：

Unixドメインソケットファイルを使用している場合は、nri-agentユーザーがこれらのファイルにアクセスできること（前のセクションを参照してください）と、他のユーザーが読み取りおよび書き込み権限（666）を持っていることを確認してください。 nri-agentよりも多くのユーザーが書き込み可能です。
IPソケットを使用している場合は、使用しているポートがシステムで予約されているポートではないことを確認してください（たとえば、ポート80など）。
ログ管理を有効にしてもデータが表示されない場合は、標準のログ管理のトラブルシューティング手順に従ってください。

インフラストラクチャエージェントの構成ガイドラインで説明されているように、 proxyパラメータは HTTP または HTTPS のいずれかを使用し、https://user:password@hostname:port の形式にする必要があります。エージェントは HTTP または HTTPS なしでパラメーターを解析できますが、ログフォワーダーはできません。エージェントの詳細ログに次のようなエラーが表示されます。

[ERROR] building HTTP transport: parse \"hostname:port\":
first path segment in URL cannot contain colon

この問題を解決するには、 newrelic-infra.ymlファイルをチェックし、 proxyパラメータがこのフォームに準拠していることを確認してください。

証明書を指定するためにcaBundleFileまたはcaBundleDirを使用している場合は、OSごとに以下のルールに従うことをお勧めします。

Linux HTTPプロキシの場合、証明書を設定する必要はありません。プラグインはシステム証明書をロードし、NewRelicはログをロギングエンドポイントに送信します。ただし、 caBundleFileまたはcaBundleDirパラメータのいずれかを使用して、プロキシ自己署名証明書（PEMファイル）を指定できます。

ウィンドウズ

HTTPプロキシの場合、証明書を設定する必要はありません。プラグインはシステム証明書をロードします。
HTTPSの場合、次のいずれかの方法で構成できます。
プロキシ証明書をシステムプールにインポートする（推奨）MMCツールを使用して、プロキシ自己署名証明書（PEMファイル）をインポートします。このリンクを参照し、ステップ2で、 Intermediate Certification AuthoritiesではなくTrusted Root Certification Authoritiesにインポートしてください。
caBundleFileおよびcaBundleDirパラメーターの使用Windowsでは、システム証明書プールからの証明書とcaBundleFile caBundleDirパラメーターで指定された証明書の両方をロードすることはできません。したがって、 caBundleFileまたはcaBundleDirを使用している場合は、次の証明書が同じPEMファイル（ caBundleFileを使用している場合）または同じディレクトリ（ caBundleDirを使用している場合）に配置されていることを確認してください。
プロキシ証明書 ( HTTPSプロキシであるため)。
ロギングエンドポイント証明書 (例:https://log-api.newrelic.com/log/v1 )。
インフラストラクチャエージェント証明書 (例:https://infra-api.newrelic.com )。
次のコマンドを実行して、証明書を確認できます。
bash
```
$# openssl s_client -connect log-api.newrelic.com:443 -servername log-api.newrelic.com
```

独自のログをNewRelicに送信するようにインフラストラクチャエージェントを設定できます。これは、ログ転送、エージェントに関する問題のトラブルシューティング、またはサポートに連絡するときに役立ちます。

重要

トレースログは、大量のデータを非常に迅速に生成します。ディスク容量の消費とデータの取り込みを減らすために、ログの生成が終了したら、必ずlevel: info (またはそれ以下) を設定してください。

インフラストラクチャエージェントのログをNewRelicに転送するには：

newrelic-infra.ymlファイルを編集します。

次の構成スニペットを追加して、New Relic へのログ転送を有効にします。

log:
  level: trace # Recommended: Helps with troubleshooting
  forward: true # Enables sending logs to New Relic
  format: json # Recommended: Enable agent logging in JSON format
  stdout: false # On Windows and systems that don't use `systemd` or where `journald` is inaccessible

エージェントを再起動して、新しい設定をロードします。
この設定では、エージェントがトラブルシューティングモードに設定されますが、ログフォワーダ（ Fluent Bitに基づく）は非冗長モードで続行されます。

場合によっては、ログフォワーダー自体に問題が発生することがあります。たとえば、Windows ログイベントの送信時や特定のログファイルへのアクセス時に、特定のチャネルへのアクセスに問題が発生する場合があります。このような状況では、ログフォワーダーの冗長モードを有効にすることもできます。

重要

newrelic-infra.ymlファイルを編集します。

次の構成スニペットを追加して、Fluent Bit verbose ログを有効にします。

log:
  level: trace
  forward: true # Enables sending logs to New Relic
  format: json # Recommended: Enable agent logging in JSON format
  stdout: false # On Windows and systems that don't use `systemd` or where `journald` is inaccessible
  include_filters:
    traces:
      - supervisor # Required to see verbose logs from Fluent Bit

エージェントを再起動して、新しい設定をロードします。

重要

FluentBitのテールプラグインはネットワークドライブをサポートしていません。

2016より前のバージョンのLinuxの場合、OpenSSLライブラリを1.1.0に更新する必要がある場合があります（以上）。この問題があるかどうかを確認するには：

次のコマンドを実行して、 infra-agentがFluentBitを開始したかどうかを確認します。
bash
```
$ps -aux | grep fluent-bit
```
実行されていない場合は、 /var/db/newrelic-infra/newrelic-integrations/loggingに移動して実行します。
bash
```
$./fluent-bit -i systemd -o stdout
```

次のエラーが発生した場合は、OpenSSLを1.1.0に更新してください以上：

error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

Windowsでログ転送を有効にすると、次のエラーメッセージのいずれかが表示される場合があります。

The code execution cannot proceed because VCRUNTIME140.dll was not found.

また

error="exit status 3221225781" process=log-forwarder

これは、DLLが見つからないことが原因です。

この問題を解決するには、必要に応じてMicrosoft VisualC++再頒布可能パッケージをインストールします。

大量のファイルを追尾しようとすると、次のいずれかのエラーメッセージが表示されるのが一般的です。

Too many open files
The user limit on the total number of inotify watches was reached or the kernel failed to allocate a needed resource
オペレーティングシステムは、割り当て可能なファイル記述子の最大量（通常はデフォルトで1024）と、割り当て可能なinotifyウォッチの最大量（通常はデフォルトで8192）を定義します。これらの制限を超えようとするプロセスは失敗し、上記のエラーの1つを返します。
ログの転送に使用する基盤となるテクノロジーであるFluentBitは、1つのファイル記述子を開き、転送するように構成したファイルごとにinotifyウォッチを設定します。さらに、このセクションの執筆時点では、Fluent Bitは通常の操作に32個のファイル記述子の追加セットを使用し、シャットダウン時に別の追加ファイル記述子を使用します。したがって、大量のファイルをキャプチャするには、ファイル記述子とinotifyの監視制限の両方が、調整するログファイルの量よりもわずかに大きいことを確認する必要があります。
次の手順は、10,000個のログファイルを追跡する場合にこれらの制限を増やす方法をまとめたものです。また、インフラストラクチャエージェントがroot 実行モードでインストールされていることを前提としているため、 rootユーザーを使用して実行する必要があります。

プロセスごとのファイル記述子の量の現在のハード制限を確認してください。通常、この制限は非常に高く、変更する必要はありません。
bash
```
$ulimit -Hn
```
次の行を/etc/security/limits.confに追加します。Fluent Bitが機能する必要のある追加のファイル記述子を割り当てることができるように、ここでは10000ではなく10100の制限を指定しました。
bash
```
$root    soft    nofile  10100  # replace root by nri-agent for non-root (privileged and unprivileged) installations
```
再起動時に前の制限が適用されるように、次の行を/etc/pam.d/common-sessionに追加します。
bash
```
$session required pam_limits.so
```
次の行を/etc/sysctl.confに追加して、ユーザーごとに許可されるinotifyウォッチャーの数を増やします。ここでは、 10000ではなく18192の制限を指定して、 rootユーザーが引き続き8192のinotifyウォッチ（デフォルト値）を使用できるようにしました。
bash
```
$fs.inotify.max_user_watches=18192
```
システムを再起動します。
次のコマンドを実行して、新しい制限が適用されていることを確認します。
bash
```
$ulimit -Sn                                    # Should return 10100
$cat /proc/sys/fs/inotify/max_user_watches     # Should return 18192
```
開いているファイルの制限を増やす方法、またはinotifyウォッチを増やす方法の詳細をご覧ください。

バージョン1.19.0 （またはSLES 12.5の場合はバージョン1.20.3）より前は、LinuxインフラストラクチャエージェントにFluentBitバイナリがバンドルされていました。このバージョン以降、FluentBitは個別のrecommendedパッケージ依存関係として含まれるようになりました。

これは、Fluent Bitをエージェントとは別にインストール、更新、またはダウングレードできることを意味します。便宜上、インフラストラクチャが存在する同じリポジトリにいくつかのFluent Bitパッケージが含まれているため、FluentBitをアップグレードするために追加のリポジトリをインストールする必要はありません。

エージェントは、最初にインストールしたときに、利用可能な最新バージョンを使用してFluentBitを自動的にインストールすることに注意してください。最初のインストール後、Linuxパッケージで通常行うようにFluentBitをアップグレードできます。

次のコマンドを実行して、使用可能なFluentBitバージョンを一覧表示できます。

RPM：

bash

$sudo yum check-update
$yum list fluent-bit --showduplicates

DEB：

bash

$sudo apt update
$apt-cache showpkg fluent-bit

特定のFluentBitバージョンにアップグレードするには、次のコマンドを実行します（次の例では、バージョン2.0.8が使用されています）。

RPM：

bash

$# Remove command only required when downgrading to a previous version
$sudo yum remove fluent-bit
$sudo yum install fluent-bit-2.0.8-1

DEB：

bash

$sudo apt install fluent-bit=2.0.8

td-agent-bit は次のディストリビューションでは使用できないため、ロールバックできないことに注意してください。

CentOS 9 ストリーム (Rocky Linux および AlmaLinux を含む)
レッドハット9
Ubuntu 22.04.x
オープンスース (SLES) 15.4
Amazon Linux 2023
td-agent-bit に戻したい場合は、以下の手順に従ってください。

任意のテキストエディタを使用してファイル /etc/newrelic-infra.yml を開きます。
ファイルの最後に次の行を追加します: fluent_bit_exe_path: /opt/td-agent-bit/bin/td-agent-bit。
変更を保存します。
コマンド sudo systemctl restart newrelic-infraを実行して、インフラストラクチャエージェントを再起動します。
これらの手順を完了すると、インフラストラクチャエージェントは、fluent-bit の代わりに td-agent-bit を使用するように構成されます。

次は何ですか？

ログ UIを使用して、プラットフォーム全体のログデータを調べます。

ログインコンテキスト機能を使用してログを転送することにより、アプリケーションとプラットフォームのパフォーマンスデータの両方をより深く把握できます。
アラートを設定します。
データをクエリし、ダッシュボードを作成します。

ログ転送を無効にする

ログ転送機能を無効にするには、 logging.dディレクトリに移動し、構成プロセス中に最初に追加された.yml拡張子のファイルを削除します。

Linux： /etc/newrelic-infra/logging.d/
ウィンドウズ： C:\Program Files\New Relic\newrelic-infra\logging.d\

この機械翻訳は参考用に提供されます。

インフラストラクチャエージェントを使用してログを転送する

重要

ヒント

システム要求

ガイド付きインストールによるログの自動転送

手動でインストールされたエージェントでログ転送を有効にする

手順 1.インフラストラクチャ エージェントを構成する

ステップ 2. ログ転送パラメーターを設定する

systemd

syslog

tcp

winevtlog

winlog

ステップ 3. 主要な属性を定義する

属性

インフラストラクチャエージェントによって自動的に挿入される属性

パターン

max_line_kb

fluentbit

サンプル構成ファイル

logging.d/sample.yaml

ステップ 4. ログデータを表示する

オンホスト統合のログを有効にする

Elasticsearchログ

MySQLログ

NGINXログ

Rabbitmqログ

Redisログ

Linuxtarballを使用してインストールされたエージェントでログ転送を有効にする

このドキュメントはインストールで役立ちましたか。

トラブルシューティング

ログデータなし

ファイルをテーリングするときにデータが表示されない

Syslogソケットを介してキャプチャするときにデータが表示されない

インフラストラクチャエージェントプロキシを使用してデータが表示されない

インフラストラクチャエージェントのログをNewRelicに送信する

ログ転送で詳細モードを有効にする (Fluent Bit)

FluentBitがインフラエージェントで開始しない

Windowsでのランタイムエラー

大量のログファイルをテーリングするときのエラー（Linux）

特定のFluentBitバージョンをインストールする（Linux）

Linux 上のインフラストラクチャ エージェント 1.42.0 後の Fluent-bit 1.x へのロールバック

次は何ですか？

ログ転送を無効にする

手順 1.インフラストラクチャエージェントを構成する

Linux 上のインフラストラクチャエージェント 1.42.0 後の Fluent-bit 1.x へのロールバック