Amazon Kinesis Data Firehose を介した Amazon Virtual Private Cloud Flow (VPC) ログは、ログを New Relic に送信する手間を軽減するのに役立ちます。AWS 資産全体からの VPC フロー ログを使用すると、パフォーマンス分析とネットワーク接続のトラブルシューティングに関する重要な洞察をすばやく理解できます。
Amazon Virtual Private Cloud (VPC) を使用すると、スケーラブルな AWS インフラストラクチャを使用して、分離された安全な仮想ネットワークに AWS リソースを起動できます。
前提条件
NewRelicの前提条件
- NewRelicアカウント。持っていませんか?無料でお申し込み頂けます!クレジットカードは必要ありません。
AWSの前提条件
重要
Kinesis Data Firehose 経由の Amazon VPC フロー ログは、FedRAMP のお客様にはまだサポートされていません。それまでの間、 FedRAMP 取り込み APIを使用できます。
環境:
- AWS CLI(v 1.9.15+)がインストールされています。
- Amazon VPC フロー ログを収集する AWS リージョンのリスト。
- VPC フロー ログを送信するように設定される VPC ID 。よりきめ細かい制御が必要な場合は、VPC ID の代わりにサブネット IDを指定します。
権限:
- VPC フロー ログを作成する権限を持つ AWS ユーザー。
- ログ配信所有者の Amazon S3 ログ ファイルの読み取りと書き込みのアクセス許可。
- Kinesis Data Firehose が IAM ロールを引き受けることを許可します。
未配信のフロー ログ メッセージを保存する権限を持つ S3 バケットの ARN。
サンプリングを有効にする場合は、Lambda の IAM ロールの ARN が必要です。
S3 バケットにアクセスできる Kinesis Data Firehoseの ARN。
ヒント
特定のリージョンの VPC フロー ログを初めて設定するときは、ガイド付きインストールで新しいデータ ファイアホースを作成することをお勧めします。同じリージョン内の後続の VPC とサブネットについては、既存のデータ Firehose を再利用できます。
IAM ロール
AWS CLI を使用してフロー ログの統合をセットアップする場合は、さまざまなインフラストラクチャ コンポーネントに対して 1 つまたは 2 つの IAM ロールを提供する必要があります。CloudFormation を使用する場合は、独自のロールを提供するか、テンプレートに新しいロールを定義させることができます。
必要な役割には、少なくとも次の権限が必要です。
New Relic でのログのフォーマット
精選されたフロー ログの探索とエンティティ リンクを使用するには、VPC フロー ログの次の形式に従う必要があります。
$${version} ${account-id} ${region} ${az-id} ${sublocation-type} ${vpc-id} ${subnet-id} ${instance-id} ${interface-id} ${srcaddr} ${pkt-srcaddr} ${pkt-src-aws-service} ${dstaddr} ${pkt-dstaddr} ${pkt-dst-aws-service} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${flow-direction} ${traffic-path} ${start} ${end} ${action} ${log-status}ヒント
ログ フィールドの詳細については、 VPC Amazon ドキュメントで使用可能なフィールドを確認してください。
VPC フロー ログには、 Log_VPC_Flows_AWSという名前の ログ パーティション を使用する必要があります。 ガイド付きインストールを使用する場合、これは自動的に処理されます。
New Relic で Amazon VPC Flow Logs モニタリングを設定する
ガイド付きウィザードに従って、Amazon VPC フロー ログをインストールします。
- ガイド付きインストール プロセスを開始します。
- Select an accountドロップダウンから、Amazon VPC Flow Logs を送信する New Relic アカウントを選択し、 Continueをクリックします。
- [Select your data ] セクションで、[ Amazon VPC Flow Logs ] を選択し、[ Continue ] をクリックします。
- [Select your install method ] セクションで、 CLIに進み、[ Continue ] をクリックします。
これらの手順の後、新しいウィザードがポップアップ表示され、AWS Kinesis Firehose サービスを介して Amazon VPC フロー ログを New Relic に送信するためのセットアップを支援します。
[セットアップ オプションの選択] セクションで、次の手順を実行します。
- セットアップ方法が正しいことを確認します。
- VPC フロー ログを New Relic に送信する AWS リージョンを選択します。
- 必要に応じて、Kinesis Data Firehose を再利用している場合は、[ I already have a Kinesis Firehose to New Relic]チェックボックスを選択し、[フロー ログの定義]セクションに進みます。
- Click Continue.
[ Kinesis Firehose の定義] セクションで:
- [ Kinesis Firehose Name]フィールドで、生成された名前が正しいことを確認します。
- [ Firehose Backup Bucket]フィールドに、配信に失敗したメッセージを保存するために使用するS3 バケットの ARN を入力します。ARN は次の形式に従う必要があります:
arn:my_string. - [ Firehose IAM Role]フィールドに、Kinesis Data Firehose で使用されるIAM ロールの ARN を入力します。ARN は次の形式に従う必要があります:
arn:my_string. - Click Continue.
- 必要に応じて、VPC フロー ログをサンプリングする場合は、[サンプリングを使用] チェックボックスをオンにして、次の操作を行います。
- [ Kinesis Firehose の生成] セクションで、[ CLI コマンドの生成] をクリックし、次の操作を行います。
ヒント
新しいものを自動的に生成します このデータの取り込みに使用されます。 キーを再生成するには、 [Generate and use a new key]をクリックします。
既存のキーを再利用する場合は、最初のステップでAccessKey値を更新してください。
- Kinesis Data Firehose の作成のコード ブロックの内容をコピーし、貼り付けて AWS CLI で実行します。
- Kinesis Firehose が作成されたかどうかを確認するには、AWS CLI の 2 番目のステップからコマンドを実行します。ARN が返されない場合は、30 秒待ってから再試行してください。
- 返された Kinesis Firehose の ARN をコピーし、形式
arn:my_stringでKinesis Data Firehose ARNフィールドに貼り付けます。次に、[続行] をクリックします。
ガイド付きインストールで Kinesis Firehose ステップを生成します。
- [フロー ログの定義] セクションで、次の操作を行います。
- [トラフィック タイプ] ドロップダウンから、承認済みのみ、拒否済みのみ、またはすべてのフロー ログ エントリを送信するかどうかを選択します。
- [フロー ソース ID ] フィールドに、Amazon VPC フロー ログを作成する VPC ID (
vpc-MY_STRING) またはサブネット ID (subnet-MY_STRING) を入力します。 - [フロー ソース タイプ] フィールドは自動的に入力されるので、[続行] をクリックします。
- [ Create Flow Logs ] セクションで、[ Generate CLI Command ] をクリックし、構文ブロックの内容をコピーします。次に、AWS CLI で実行して、指定したリソースのフロー ログの生成を開始します。
- [続行] をクリックして、New Relic のネットワーク監視セクションで Amazon VPC フロー ログの調査を開始します。
- NewRelicでネットワークパフォーマンスデータを視覚化します。