Configurar o monitoramento de dados de fluxo de rede

Você pode usar nosso processo de instalação guiada para instalar o agente de monitoramento de fluxo de rede ou instalar o agente manualmente. Este documento aborda os pré-requisitos para iniciar o processo de instalação e um passo a passo das opções de instalação.

Pré-requisitos

Antes de começar, você precisará se inscrever em uma conta New Relic. Se você optar por instalar o agente manualmente, também precisará de:

Um ID de conta New Relic.
Uma New Relic
.

Tipos suportados de dados de fluxo de rede

O monitoramento de fluxo de rede oferece suporte aos quatro principais tipos de dados de fluxo de rede e seus derivados. Ao executar o agente, você pode especificar qual tipo principal deseja monitor usando a opção -nf.source.

Dica

A coleção de modelos NetFlow v5, NetFlow v9, sFlow e IPFIX pode ser tratada usando -nf.source.=auto em um único agente. Isso é ativado como configuração padrão ao usar o argumento nr1.flow em tempo de execução.

Tipo de fluxo de rede	Ativado com `auto`?	`-nf.source` valor
AppFlow	✓	`auto` \| `netflow5`
Argus	✓	`auto` \| `netflow5`
Cisco ASA		`asa`
Cisco NBAR		`nbar`
cflowd	✓	`auto` \| `netflow5`
IPFIX	✓	`auto` \| `ipfix`
Fluxo J	✓	`auto` \| `netflow5`
NetFlow v5	✓	`auto` \| `netflow5`
NetFlow v9	✓	`auto` \| `netflow9`
NetStream	✓	`auto` \| `netflow5`
Palo Alto Networks		`pan`
Fluxo RF	✓	`auto` \| `netflow5`
sFlow	✓	`auto` \| `sflow`

Quando você deve dimensionar a coleta de fluxo de rede?

Ao planear a sua estratégia para recolher fluxos de rede em escala, os seguintes itens devem ser considerados:

O agente ktranslate só pode executar uma tarefa por vez. Um agente que executa a coleta SNMP também não pode escutar fluxos de rede.
O agente ktranslate só pode escutar fluxos de rede de entrada em uma única porta de escuta por vez (padrão: 9995). Se você precisar que várias portas estejam abertas, cada uma exigirá um agente dedicado, usando a opção de configuração -nf.port no tempo de execução para alterar a porta.
A configuração padrão -nf.source=auto permite que o contêiner detecte vários tipos de fluxo padrão. Se você precisar analisar outros tipos de dados de fluxo, como modelos Cisco ASA, Cisco NBAR ou Palo Alto Networks, cada um exigirá seu próprio agente.
A New Relic recomenda 1 CPU por 2.000 fluxos por segundo (120.000 fluxos por minuto). Decidir se escalar horizontalmente vários agentes para distribuir a carga ou escalar verticalmente alguns agentes maiores para consolidar o gerenciamento é uma questão de preferência pessoal.

Configurar o monitoramento de dados de fluxo de rede

Para a maioria dos casos de uso, recomendamos nossa instalação guiada para configurar o monitoramento de dados de fluxo de rede. Se sua configuração for mais avançada com configurações personalizadas, recomendamos a instalação manual.

Vá para one.newrelic.com > All capabilities > Add more data
Role para baixo até ver Network e clique em Network Flows.
Siga as etapas descritas no processo de instalação guiada. Você pode usar Docker, Podman ou Linux.
Adicionar dados de fluxo de rede
one.newrelic.com > All capabilities > Add more data > Network > Network Flows para configurar o monitoramento de dados de fluxo de rede.
Investigue os dados de fluxo da sua rede na interface New Relic .

Antes de ler sobre a instalação manual do agente de fluxo de rede, considere usar nosso processo de instalação guiada para evitar erros:

Adicionar dados de fluxo de rede

Em um host Linux com Docker instalado, faça download da imagem ktranslate executando um dos seguintes procedimentos:
- Hub Docker:
  bash
```
$docker pull kentik/ktranslate:v2
```
- Quay.io:
  bash
```
$docker pull quay.io/kentik/ktranslate:v2
```
Copie o arquivo snmp-base.yaml para o diretório local $HOME do seu usuário Docker e descarte o contêiner executando:
bash
```
$cd ~
$id=$(docker create kentik/ktranslate:v2)
$docker cp $id:/etc/ktranslate/snmp-base.yaml .
$docker rm -v $id
```
Edite o arquivo snmp-base.yaml e adicione seus dispositivos de fluxo de rede dentro da chave de dicionário devices com a seguinte estrutura:
```
devices:
  # This key and the corresponding 'device_name'
  # need to be unique for each device
  flow_device1:
    device_name: flow_device1
    device_ip: x.x.x.x/yy
    flow_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production
```
Importante
Se você já está monitorando dispositivos de dados SNMP que também enviarão fluxos de rede, você vai querer garantir que o valor de device_name seja idêntico para ambos os arquivos de configuração para garantir que o fluxo de telemetria seja atribuído à entidade certa no New Relic interface.

Execute ktranslate para escutar fluxos de rede com o comando:

bash

$docker run -d --name ktranslate-$CONTAINER_SERVICE --restart unless-stopped --pull=always --net=host \
>-v `pwd`/snmp-base.yaml:/snmp-base.yaml \
>-e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \
>kentik/ktranslate:v2 \
>  -snmp /snmp-base.yaml \
>  -nr_account_id=$YOUR_NR_ACCOUNT_ID \
>  -metrics=jchf \
>  -tee_logs=true \
>  # Use this field to create a unique value for `tags.container_service` inside of New Relic
>  -service_name=$CONTAINER_SERVICE \
>  -flow_only=true \
>  nr1.flow

Investigue os dados de fluxo da sua rede na interface New Relic .

Em um host com o Podman instalado, faça download da imagem ktranslate executando o seguinte comando:
- Hub Docker:
  bash
```
$podman pull docker.io/kentik/ktranslate:v2
```
Copie o arquivo snmp-base.yaml para o diretório local $HOME do seu usuário Podman e descarte o contêiner executando:
bash
```
$cd ~
$id=$(podman create kentik/ktranslate:v2)
$podman cp $id:/etc/ktranslate/snmp-base.yaml .
$podman rm -v $id
```
Edite o arquivo snmp-base.yaml e adicione seus dispositivos de fluxo de rede dentro da chave de dicionário devices com a seguinte estrutura:
```
devices:
  # This key and the corresponding 'device_name'
  # need to be unique for each device
  flow_device1:
    device_name: flow_device1
    device_ip: x.x.x.x/yy
    flow_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production
```
Importante
Se você já está monitorando dispositivos de dados SNMP que também enviarão fluxos de rede, você vai querer garantir que o valor de device_name seja idêntico para ambos os arquivos de configuração para garantir que o fluxo de telemetria seja atribuído à entidade certa no New Relic interface.

Execute ktranslate para escutar fluxos de rede com o comando:

bash

$podman run -d --name ktranslate-$CONTAINER_SERVICE --userns=keep-id --restart unless-stopped --pull=always --net=host \
>-v `pwd`/snmp-base.yaml:/snmp-base.yaml \
>-e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \
>kentik/ktranslate:v2 \
>  -snmp /snmp-base.yaml \
>  -nr_account_id=$YOUR_NR_ACCOUNT_ID \
>  -metrics=jchf \
>  -tee_logs=true \
>  # Use this field to create a unique value for `tags.container_service` inside of New Relic
>  -service_name=$CONTAINER_SERVICE \
>  -flow_only=true \
>  nr1.flow

Dica

O contêiner Rootless Podman não consegue se vincular a portas abaixo de 1024. Se os fluxos de rede forem enviados em uma porta abaixo de 1024 em vez do padrão (9995), você precisará criar uma regra iptables para lidar com o redirecionamento de pacotes com o comando:

bash

$sudo iptables -t nat -A PREROUTING -p udp --dport $srcPort -j REDIRECT --to-port 9995

Investigue os dados de fluxo da sua rede na interface New Relic .

Dependendo do seu gerenciador de pacote, use um dos comandos abaixo para instalar ktranslate

Yum:

bash

$curl -s https://packagecloud.io/install/repositories/kentik/ktranslate/script.rpm.sh | sudo bash && \
>  sudo yum install ktranslate

Apt:

bash

$curl -s https://packagecloud.io/install/repositories/kentik/ktranslate/script.deb.sh | sudo bash && \
>  sudo apt-get install ktranslate

Defina as variáveis de ambiente usadas por ktranslate:

bash

$sudo tee "/etc/default/ktranslate.env" > /dev/null <<'EOF'
$NR_ACCOUNT_ID=$YOUR_NR_ACCOUNT_ID
$NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY
$KT_FLAGS="-snmp /etc/ktranslate/snmp-base.yaml \
>  -metrics=jchf \
>  -flow_only=true \
>  -tee_logs=true \
>  -service_name=$CONTAINER_SERVICE \
>  nr1.flow"
$EOF
$
$# ensure /etc/default/ktranslate.env is owned by ktranslate user
$sudo chown ktranslate:ktranslate /etc/default/ktranslate.env

Se você não tiver um arquivo de configuração snmp-base.yaml , crie um com:
bash
```
$cd ~
$touch snmp-base.yaml
```

Edite o arquivo snmp-base.yaml e adicione seus dispositivos de fluxo de rede dentro da chave de dicionário devices com a seguinte estrutura:

devices:
  # This key and the corresponding 'device_name'
  # need to be unique for each device
  flow_device1:
    device_name: flow_device1
    device_ip: x.x.x.x/yy
    flow_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production

Reinicie o serviço ktranslate para aplicar as alterações ao arquivo snmp-base.yaml :
bash
```
$sudo systemctl restart ktranslate
```
Investigue os dados de fluxo da sua rede na interface New Relic .

Encontre e use sua métrica

Todo log de fluxo de rede exportado do ktranslate contêiner utiliza o KFlow namespace, por meio da New Relic de eventos API. Atualmente, estes são os campos padrão preenchidos nesta integração:

Atributo	Tipo	Descrição
`application`	Corda	A classe do programa que gera o tráfego neste registro de fluxo. Isso é derivado do valor numérico mais baixo de `l4_dst_port` e `l4_src_port`. Exemplos comuns incluem `http`, `ssh` e `ftp`.
`device_name`	Corda	O nome de exibição do dispositivo de amostragem para esse registro de fluxo.
`dst_addr`	Corda	O endereço IP de destino para este registro de fluxo.
`dst_as`	Numérico	O destino [Autonomous System Number](https://www.iana.org/assignments/ as-numbers/as-numbers.xhtml) para este registro de fluxo.
`dst_as_name`	Corda	O destino [Autonomous System Name](https://www.iana.org/assignments/ as-numbers/as-numbers.xhtml) para este registro de fluxo.
`dst_endpoint`	Corda	A tupla `IP:Port` de destino para este registro de fluxo. Esta é uma combinação de `dst_addr` e `l4_dst_port`.
`dst_geo`	Corda	O país de destino deste registo de fluxo, se conhecido.
`in_bytes`	Numérico	O número de bytes transferidos para registros de fluxo de entrada.
`in_pkts`	Numérico	O número de pacotes transferidos para registros de fluxo de entrada.
`input_port`	Numérico	`If_Index` valor para a interface na origem deste registro de fluxo.
`l4_dst_port`	Numérico	A porta de destino para este registro de fluxo.
`l4_src_port`	Numérico	A porta de origem deste registro de fluxo.
`output_port`	Numérico	`If_Index` valor para a interface no destino deste registro de fluxo.
`protocol`	Corda	O nome de exibição do protocolo usado neste registro de fluxo, derivado do [número numérico do protocolo IANA](https://www.iana.org/assignments/ protocol-numbers/protocol-numbers.xhtml).
`provider`	Corda	Este atributo é usado para identificar exclusivamente diversas fontes de dados de `ktranslate`. O log de fluxo de rede sempre terá o valor `kentik-flow-device`.
`sample_rate`	Numérico	Taxa de amostragem aplicada pela configuração do dispositivo de amostragem ou pelo argumento `sample_rate` em `ktranslate`.
`src_addr`	Corda	O endereço IP de origem deste registro de fluxo.
`src_as`	Numérico	A fonte [Autonomous System Number](https://www.iana.org/assignments/ as-numbers/as-numbers.xhtml) para este registro de fluxo.
`src_as_name`	Corda	A fonte [Autonomous System Name](https://www.iana.org/assignments/ as-numbers/as-numbers.xhtml) para este registro de fluxo.
`src_endpoint`	Corda	A tupla `IP:Port` de origem para este registro de fluxo. É uma combinação de `src_addr` e `l4_src_port`.
`src_geo`	Corda	O país de origem deste registo de fluxo, se conhecido.
`tcp_flags`	Numérico	Sinalizadores TCP neste registro de fluxo.
`timestamp`	Numérico	O horário, em segundos Unix, em que esse registro de fluxo foi recebido pela API de evento New Relic.

Este documento ajudou você na instalação?

Qual é o próximo?

Você pode configurar algum agente adicional para complementar seus dados de fluxo de rede:

Para obter melhor visibilidade do desempenho do seu dispositivo de rede, configure o monitoramento de dados SNMP.
Para obter melhor visibilidade das mensagens do syslog da rede, configure o monitoramento do syslog da rede.

Esta tradução de máquina é fornecida para sua comodidade.

Configurar o monitoramento de dados de fluxo de rede

Pré-requisitos

Pré-requisitos Docker

Pré-requisitos do Podman

Pré-requisitos de host Linux

Pré-requisitos de dispositivos de dados de fluxo de rede

Pré-requisitos de segurança de rede

Tipos suportados de dados de fluxo de rede

Dica

Tipos de fluxo de rede

Quando você deve dimensionar a coleta de fluxo de rede?

Configurar o monitoramento de dados de fluxo de rede

Configuração de instalação guiada

Configuração manual do contêiner

Importante

Importante

Dica

Encontre e use sua métrica

Campos do KFlow

Este documento ajudou você na instalação?

Qual é o próximo?

Esta tradução de máquina é fornecida para sua comodidade.

Configurar o monitoramento de dados de fluxo de rede

Pré-requisitos .css-21sua1{background:none;border:none;width:0;padding:0;}

Pré-requisitos do Podman

Pré-requisitos de host Linux

Pré-requisitos de dispositivos de dados de fluxo de rede

Pré-requisitos de segurança de rede

Tipos suportados de dados de fluxo de rede

Dica

Tipos de fluxo de rede

Quando você deve dimensionar a coleta de fluxo de rede?

Configurar o monitoramento de dados de fluxo de rede

Configuração de instalação guiada

Configuração manual do contêiner

Encontre e use sua métrica

Campos do KFlow

Este documento ajudou você na instalação?

Qual é o próximo?

Pré-requisitos