ネットワークsyslogモニタリングを設定する

ネットワークデバイスをセットアップして、syslogデータをNewRelicに送信するようにします。

前提条件

NewRelicの前提条件

NewRelicアカウント。持っていませんか？無料でお申し込み頂けます！クレジットカードは必要ありません。
NewRelicアカウントID 。
NewRelicライセンスキー。

Linuxホストの前提条件

ホストへの SSH アクセス
アプリケーションとサービスをインストール/削除するためのアクセス
ネットワークの前提条件で定義されているネットワークアクセス

callout.Host-based SNMP trap receiver

syslog を受信するには、KTranslate は UDP 514 にバインドする必要があります。ホストベースのインストールでは、インストールプロセス中に次のコマンドが含まれます。実行すると、KTranslate は昇格された権限で実行されます。

sudo setcap cap_net_bind_service=+ep /usr/bin/ktranslate

Docker にデプロイする場合

Linux ホストにインストールされたDocker
コマンドライン経由で新しいコンテナを起動する機能

ネットワークsyslogデバイスの前提条件

ktranslatedockerコンテナを実行しているホストにsyslogを送信するようにネットワークデバイスを構成しました。一部のデバイスでネットワークsyslogデータ収集を構成する方法は次のとおりです。
- チェックポイント-セキュリティゲートウェイ。User Center/PartnerMAPチェックポイントにサインインする必要があります。
- Cisco-ASA
- Cisco-IOS
- Cisco-Meraki
- Cisco-NX-OS
- F5-BIG-IP
- フォーティネットFortigate
- ジュニパー-Junos
- パロアルト-PAN-OS

ネットワークセキュリティの前提条件

方向	ソース	行き先	ポート	プロトコル
アウトバウンド	Docker ホストのみ	`ktranslate` DockerHubまたはQuay.ioのイメージ	443	TCP
アウトバウンド	Linux または Docker ホスト	New Relic Log APIエンドポイント：米国のエンドポイント： `https://log-api.newrelic.com` EUエンドポイント： `https://log-api.eu.newrelic.com` New RelicFedRAMPAPIエンドポイント FedRAMPエンドポイント： `https://gov-log-api.newrelic.com/log/v1`	443	TCP
インバウンド	syslogデータのソースデバイス	Linux または Docker ホスト	514 (デフォルト)	UDP
アウトバウンド	Linux ホストのみ	rpm または deb パッケージをダウンロードするための packagecloud.io (Docker ベースのインストールには不要)	443 (デフォルト)	TCP

ヒント

ktranslateのデフォルトのリッスンポートはポート5143 (TCP/UDP)です。514のより一般的な syslog ポートを使用するために、ガイド付きインストールでは、フラグ-p 514:5143/udpを使用してトラフィックを Docker コンテナーにリダイレクトします。リスナーを1024より上のポートにバインドするには、代わりに-syslog.source="0.0.0.0:<port>"を実行コマンドの末尾に追加します。

NewRelicでネットワークsyslogモニタリングを設定する

one.newrelic.com > Add more data に移動します。
[Network]が表示されるまで下にスクロールし、 [Syslog]をクリックします。
New Relic UI で概説されている手順に従います。利用可能なインストール方法は、Docker または Linux パッケージマネージャーです。

one.newrelic.com > Add more data > Network > Syslog を選択して、Syslog データ監視をセットアップします。

ネットワークsyslogモニタリングを設定する方法を示す短いビデオ（2:56分）は次のとおりです。

手動でセットアップを行う場合は、以下の手順を参照してください。

ネットワークsyslogモニタリングを設定するための手動の手順は次のとおりです。

DockerがインストールされているLinuxホストから、次のいずれかを実行してktranslateイメージをダウンロードします。
- DockerHub
  bash
```
$docker pull kentik/ktranslate:v2
```
- Quay.io
  bash
```
$docker pull quay.io/kentik/ktranslate:v2
```
snmp-base.yamlファイルをDockerユーザーのローカル$HOMEディレクトリにコピーし、次のコマンドを実行してコンテナを破棄します。
bash
```
$cd .
$id=$(docker create kentik/ktranslate:v2)
$docker cp $id:/etc/ktranslate/snmp-base.yaml .
$docker rm -v $id
```
snmp-base.yamlファイルで、次の構造を持つdevicesキー内にネットワークsyslogデバイスを追加します。
```
devices:
  syslogDevice:
    device_name: edge-router
    device_ip: 10.10.1.254
    ping_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production
```
ヒント
ネットワークsyslogを送信するSNMPデータデバイスをすでに監視している場合は、それらをsnmp-base.yamlファイルに再度追加する必要はありません。構成ファイルで使用されるping_only属性は、オプションでflow_onlyに置き換えて、応答時間の監視を削除し、ホストからのみsyslogメッセージを収集できます。

ktranslateを実行して、以下を実行してネットワークsyslogをリッスンします。

bash

$docker run -d --name ktranslate-syslog --restart unless-stopped -p 514:5143/udp \
>  -v `pwd`/snmp-base.yaml:/snmp-base.yaml \
>  -e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \
>  kentik/ktranslate:v2 \
>    -snmp /snmp-base.yaml \
>    -nr_account_id=$YOUR_NR_ACCOUNT_ID \
>    ## If your account is located in Europe, add the following option:
$    ## -nr_region=EU \
$    ## If you want to use FedRAMP, add the following flag to use the FedRAMP authorized endpoints:
$    ## -nr_region=GOV \
$    -metrics=jchf \
>    -tee_logs=true \
>    -service_name=syslog \
>    ## Optional: To override the default listening port of "0.0.0.0:5143":
$    ## -syslog.source="<ip_address>:<port>"
$    nr1.syslog

ヒント

ktranslate 次の形式でsyslogを処理します： RFC3164 、 RFC5424 、およびRFC6587 。

Did this doc help with your installation?

次のクエリを使用して、NewRelicログUIでデバイスのsyslogメッセージを調査します。

"plugin.type":"ktranslate-syslog"

ネットワークデバイスのパフォーマンスをよりよく把握するには、 SNMPデータ監視を設定します。

ネットワークがどのように使用されているかをよりよく把握するには、ネットワークフローデータの監視を設定します。

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。