ネットワークsyslogモニタリングを設定する

ネットワークデバイスをセットアップして、syslogデータをNewRelicに送信するようにします。

ネットワークsyslogデータを追加する

前提条件

NewRelicの前提条件

NewRelicアカウント。持っていませんか？無料でお申し込み頂けます！クレジットカードは必要ありません。
NewRelicアカウントID 。
NewRelicライセンスキー。

Linuxホストの前提条件

LinuxホストにインストールされたDocker 。
新しいコンテナを起動する機能を備えたDockerホストへのSSHアクセス。

ネットワークsyslogデバイスの前提条件

ktranslatedockerコンテナを実行しているホストにsyslogを送信するようにネットワークデバイスを構成しました。一部のデバイスでネットワークsyslogデータ収集を構成する方法は次のとおりです。
- チェックポイント-セキュリティゲートウェイ。User Center/PartnerMAPチェックポイントにサインインする必要があります。
- Cisco-ASA
- Cisco-IOS
- Cisco-Meraki
- Cisco-NX-OS
- F5-BIG-IP
- フォーティネットFortigate
- ジュニパー-Junos
- パロアルト-PAN-OS

ネットワークセキュリティの前提条件

方向	ソース	行き先	ポート	プロトコル
アウトバウンド	Dockerホスト	`ktranslate` DockerHubまたはQuay.ioのイメージ	443	TCP
アウトバウンド	Dockerホスト	New Relic Log APIエンドポイント：米国のエンドポイント： `https://log-api.newrelic.com` EUエンドポイント： `https://log-api.eu.newrelic.com` New RelicFedRAMPAPIエンドポイント FedRAMPエンドポイント： `https://gov-log-api.newrelic.com/log/v1`	443	TCP
インバウンド	syslogデータのソースデバイス	Dockerホスト	5143（デフォルト）	UDP

方向

ソース

行き先

ポート

プロトコル

アウトバウンド

Dockerホスト

ktranslate DockerHubまたはQuay.ioのイメージ

443

TCP

アウトバウンド

Dockerホスト

New Relic Log APIエンドポイント：

米国のエンドポイント：
```
https://log-api.newrelic.com
```
EUエンドポイント：
```
https://log-api.eu.newrelic.com
```
New RelicFedRAMPAPIエンドポイント
FedRAMPエンドポイント：
```
https://gov-log-api.newrelic.com/log/v1
```

443

TCP

インバウンド

syslogデータのソースデバイス

Dockerホスト

5143（デフォルト）

UDP

ヒント

ktranslateのデフォルトのリスニングポートは5143 (TCP/UDP)です。デフォルトのsyslogポートである514を使用する必要がある場合は、実行コマンドから--net=hostを削除し、 -p 514:5143/udpに置き換えることで使用できます。リスナーを1024より上のポートにバインドするには、代わりに実行コマンドの最後に-syslog.source="0.0.0.0:<port>"を追加します。

NewRelicでネットワークsyslogモニタリングを設定する

one.newrelic.comにアクセスし、[データを追加]をクリックします。
ネットワーク監視が表示されるまで下にスクロールし、[ Syslog ]をクリックします。
NewRelicの手順に従います。

ネットワークsyslogモニタリングを設定する方法を示す短いビデオ（2:56分）は次のとおりです。

手動でセットアップを行う場合は、以下の手順を参照してください。

ネットワークsyslogモニタリングを設定するための手動の手順は次のとおりです。

DockerがインストールされているLinuxホストから、次のいずれかを実行してktranslateイメージをダウンロードします。
- DockerHub
  bash
```
$docker pull kentik/ktranslate:v2
```
- Quay.io
  bash
```
$docker pull quay.io/kentik/ktranslate:v2
```
snmp-base.yamlファイルをDockerユーザーのローカル$HOMEディレクトリにコピーし、次のコマンドを実行してコンテナを破棄します。
bash
```
$cd .
$id=$(docker create kentik/ktranslate:v2)
$docker cp $id:/etc/ktranslate/snmp-base.yaml .
$docker rm -v $id
```
snmp-base.yamlファイルで、次の構造を持つdevicesキー内にネットワークsyslogデバイスを追加します。
```
devices:
  syslogDevice:
    device_name: edge-router
    device_ip: 10.10.1.254
    ping_only: true
    # Optional user tags
    user_tags:
      owning_team: net_eng
      environment: production
```
ヒント
ネットワークsyslogを送信するSNMPデータデバイスをすでに監視している場合は、それらをsnmp-base.yamlファイルに再度追加する必要はありません。構成ファイルで使用されるping_only属性は、オプションでflow_onlyに置き換えて、応答時間の監視を削除し、ホストからのみsyslogメッセージを収集できます。

ktranslateを実行して、以下を実行してネットワークsyslogをリッスンします。

bash

$docker run -d --name ktranslate-syslog --restart unless-stopped --net=host \
>  -v `pwd`/snmp-base.yaml:/snmp-base.yaml \
>  -e NEW_RELIC_API_KEY=$YOUR_NR_LICENSE_KEY \
>  kentik/ktranslate:v2 \
>    -snmp /snmp-base.yaml \
>    -nr_account_id=$YOUR_NR_ACCOUNT_ID \
>    ## If your account is located in Europe, add the following option:
$    ## -nr_region=EU \
$    ## If you want to use FedRAMP, add the following flag to use the FedRAMP authorized endpoints:
$    ## -nr_region=GOV \
$    -metrics=jchf \
>    -tee_logs=true \
>    -service_name=syslog \
>    ## Optional: To override the default listening port of "0.0.0.0:5143":
$    ## -syslog.source="<ip_address>:<port>"
$    nr1.syslog

ヒント

ktranslate 次の形式でsyslogを処理します： RFC3164 、 RFC5424 、およびRFC6587 。

次のクエリを使用して、NewRelicログUIでデバイスのsyslogメッセージを調査します。

"plugin.type":"ktranslate-syslog"

ネットワークデバイスのパフォーマンスをよりよく把握するには、 SNMPデータ監視を設定します。

ネットワークがどのように使用されているかをよりよく把握するには、ネットワークフローデータの監視を設定します。

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

ネットワークsyslogモニタリングを設定する

前提条件

NewRelicの前提条件

Linuxホストの前提条件

ネットワークsyslogデバイスの前提条件

ネットワークセキュリティの前提条件

ヒント

NewRelicでネットワークsyslogモニタリングを設定する

手動セットアップの代替

ヒント

ヒント