ネットワークフローデータ監視の設定

ネットワークデータをNewRelicに送信するようにネットワークデバイスを設定します。

ネットワークフローデータを追加する

ネットワークフローデータの前提条件と対応種類

NewRelicの前提条件

NewRelicアカウント。持っていませんか？無料でお申し込み頂けます！クレジットカードは必要ありません。
A New Relic アカウントID 。
A New Relic ライセンスキー。

Linuxホストの前提条件

LinuxホストにインストールされたDocker 。
DockerホストにSSHでアクセスし、新しいコンテナを起動することができます。

ネットワークフローデータデバイスの前提条件

ktranslate dockerコンテナを実行しているホストにフローデータを送信するネットワークデバイスを設定しました。ここでは、いくつかのデバイスでネットワークフローデータ収集を設定する方法を紹介します。
- NetFlowデータ
- sFlowデータ
  - F5 - BIG-IP
- jFlowデータ
  - ジュニパー - Junos

ネットワークセキュリティの前提条件

方向性	ソース	行き先	ポート	プロトコル
アウトバウンド	ドッカーホスト	`ktranslate` DockerHubまたはQuay.ioのイメージ	443	TCP
アウトバウンド	ドッカーホスト	New Relic Event API USエンドポイント： `https://insights-collector.newrelic.com` EUエンドポイント： `https://insights-collector.eu01.nr-data.net`	443	TCP
アウトバウンド	ドッカーホスト	New Relic Log API USエンドポイント： `https://log-api.newrelic.com` EUエンドポイント： `https://log-api.eu.newrelic.com`	443	TCP
インバウンド	ネットワークフローデータのソースデバイス	ドッカーホスト	9995（デフォルト）	UDP

対応するネットワークフローデータの種類

ネットワークフロー監視は、4つの主要なタイプのネットワークフローデータとその派生物をサポートします。 ktranslateコンテナーを実行するときは、 -nf.sourceオプションを使用して監視するメジャータイプを指定します。

重要

ktranslate コンテナは、一度に1種類のネットワーク・フロー・データ・タイプの監視しかサポートしていません。複数のタイプを監視したい場合は、それぞれにコンテナが必要になります。

IPFIXとNetFlow v9は同じコンテナに送ることができますが、ベストプラクティスとして別のコンテナで実行することをお勧めします。

ネットワークフローデータタイプ	`-nf.source` value
IPFIX	`ipfix`
NetFlow v5	`netflow5`
NetFlow v9	`netflow9`
sFlow	`sflow`
AppFlow	`netflow5`
アーガス	`netflow5`
cflowd	`netflow5`
J-Flow	`netflow5`
ネットストリーム	`netflow5`
RFロー	`netflow5`
Cisco NSEL	`netflow9`

スケーリングネットワークフローコレクション

大規模なネットワークフローを収集するための戦略を計画する際、New Relicは2000フロー/秒（12万フロー/分）ごとに1CPUを推奨しています。負荷を分散するために小さなコンテナを多く実行するか、管理を統合するために大きなコンテナを少なくするかは、個人の好みによります。

NewRelicでネットワークフローデータモニタリングを設定する

one.newrelic.com にアクセスし、 Add more data をクリックします。
[ネットワーク監視]が表示されるまで下にスクロールし、[ネットワークフロー]をクリックします。
NewRelicの手順に従います。
one.newrelic.com >データの追加>ネットワーク監視>ネットワークフローネットワークフローデータ監視を設定します。
ネットワークのパフォーマンスデータをNew Relicで可視化.

手動で設定したい場合は、以下の手順で進めてください。

ローカルマシンでは、DockerがインストールされたLinuxホストから、次のいずれかを実行して、 ktranslate イメージをダウンロードします。
- Docker Hub
  bash
```
$docker pull kentik/ktranslate:v2
```
- Quay.io
  bash
```
$docker pull quay.io/kentik/ktranslate:v2
```
snmp-base.yamlファイルをDockerユーザーのローカル$HOMEディレクトリにコピーし、次のコマンドを実行してコンテナを破棄します。
bash
```
$cd .
$id=$(docker create kentik/ktranslate:v2)
$docker cp $id:/etc/ktranslate/snmp-base.yaml .
$docker rm -v $id
```
snmp-base.yamlファイルで、次の構造を持つdevicesキー内にネットワークフローデバイスを追加します。
```
devices:
  flowDevice:
    device_name: edge-router
    device_ip: 10.10.1.254
    flow_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production
```
ヒント
ネットワークフローデータを送信するSNMPデータデバイスをすでに監視している場合は、それらをsnmp-base.yamlファイルに再度追加する必要はありません。

ktranslateを実行して、以下を実行してネットワークフローをリッスンします。

bash

$docker run -d --name ktranslate-sflow --restart unless-stopped --net=host \
>-v `pwd`/snmp-base.yaml:/snmp-base.yaml \
>-e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \
>kentik/ktranslate:v2 \
>  -snmp /snmp-base.yaml \
>  -nr_account_id=$YOUR_NR_ACCOUNT_ID \
>  ## If your account is located in Europe, add the following flag:
$  ## -nr_region=EU \
$  ## If you want to use FedRAMP, add the following flag to use the FedRAMP authorized endpoints:
$  ## -nr_region=GOV \
$  -metrics=jchf \
>  -tee_logs=true \
>  -flow_only=true \
>  -nf.source=sflow \
>  -service_name=sflow \
>  nr1.flow

ヒント

このコマンドは、 sflowデータの収集を想定しています。他のフロータイプを収集する場合は、コンテナの--nameフラグのサフィックスを変更し、必要に応じて-nf.source }フラグと-service_nameフラグを更新する必要があります。

デバイスからのシステムメッセージを把握するために、 network syslog collectionを設定する。
ネットワークのパフォーマンスデータをNew Relicで可視化.

指標を見つけて使う

ktranslateコンテナからエクスポートされたすべてのネットワークフローログは、 New RelicEventAPIを介してKFlow名前空間を使用します。現在、これらはこの統合から入力されるデフォルトのフィールドです。

属性	タイプ	説明
`application`	弦	このフローレコードでトラフィックを生成するプログラムのクラス。これは、 `l4_dst_port`と`l4_src_port`の最小の数値から導き出されます。一般的な例には、 `http` 、 `ssh` 、および`ftp`が含まれます。
`device_name`	弦	このフローレコードのサンプリングデバイスの表示名。
`dst_addr`	弦	このフローレコードのターゲットIPアドレス。
`dst_as`	数値	このフローレコードのターゲット自律システム番号。
`dst_as_name`	弦	このフローレコードの対象となる Autonomous System Name 。
`dst_endpoint`	弦	このフローレコードのターゲット`IP:Port`タプル。これは、 `dst_addr`と`l4_dst_port`の組み合わせです。
`dst_geo`	弦	このフローレコードの対象国がわかっていれば、その国。
`in_bytes`	数値	入口フローレコードの転送バイト数。
`in_pkts`	数値	入口フローレコードの転送パケット数。
`input_port`	数値	`If_Index` このフローレコードのソースにあるインターフェイスの値。
`l4_dst_port`	数値	このフローレコードのターゲットポートです。
`l4_src_port`	数値	このフローレコードのソースポートです。
`output_port`	数値	`If_Index` このフローレコードの宛先にあるインターフェイスの値。
`protocol`	弦	このフローレコードで使用されているプロトコルの表示名で、数値化されたIANAプロトコル番号から導き出されたものです。
`provider`	弦	この属性は、 `ktranslate`からのさまざまなデータソースを一意に識別するために使用されます。ネットワークフローログの値は常に`kentik-flow-device`になります。
`sample_rate`	数値	サンプリングデバイス構成、または`ktranslate`の`sample_rate`引数のいずれかによって適用されるサンプリングレート。
`src_addr`	弦	このフローレコードのソースIPアドレスです。
`src_as`	数値	このフローレコードのソース自律システム番号。
`src_as_name`	弦	このフローレコードのソース Autonomous System Name 。
`src_endpoint`	弦	このフローレコードのソース`IP:Port`タプル。 `src_addr`と`l4_src_port`の組み合わせです。
`src_geo`	弦	このフローレコードのソース国がわかっていれば、その国。
`tcp_flags`	数値	このフローレコードのTCPフラグ。
`timestamp`	数値	このフローレコードがNew Relic Event APIで受信された時刻をUnix秒で表したもの。

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。