Paragon Insightsプッシュモデルのインジェスト方法
Paragon Insightsは現在、以下のプッシュモデルセンサーをサポートしています。
ネイティブGPB
ネイティブセンサーは、Googleプロトコルバッファ(GPB)を使用したジュニパー独自のデータモデルを使用します。デバイスは、テレメトリ データ(設定されている場合)を UDP 経由でプッシュします。
デバイスは、パケット転送エンジンから、つまりラインカードから直接データをプッシュします。つまり、テレメトリデータは転送プレーンを介して送信されるため、コレクターはデバイスに帯域内接続できる必要があります。
ネイティブ形式を使用するには、テレメトリ データの送信先を含む設定を使用してデバイスを構成します。データの収集を開始するようにParagon Insightを設定すると、ストリームはすでにサーバーに向かって流れています。
ネイティブセンサーの詳細については、 収集データのJunos Telemetry Interfaceエクスポート形式についてを参照してください。
ネイティブGPB - デバイス構成
Junos OSデバイスでネイティブGPBセンサータイプを使用するための要件を以下に示します。
Junos OS バージョン: 15.1 以降
必要な設定—Paragon Insightsの関連する関連ルールごとにセンサープロファイルを設定します。
##Streaming Server Profile set services analytics streaming-server COLLECTOR-1 remote-address <HealthBot-server-address> set services analytics streaming-server COLLECTOR-1 remote-port 22000 ##Export Profile set services analytics export-profile EXP-PROF-1 local-address <local-router-IP> set services analytics export-profile EXP-PROF-1 local-port 22001 set services analytics export-profile EXP-PROF-1 reporting-rate 30 set services analytics export-profile EXP-PROF-1 format gpb set services analytics export-profile EXP-PROF-1 transport udp ##Sensor Profile set services analytics sensor SENSOR-1 server-name COLLECTOR-1 set services analytics sensor SENSOR-1 export-name EXP-PROF-1 set services analytics sensor SENSOR-1 resource <resource> # example /junos/system/linecard/interface/
Paragon Insights GUIでストリーミングサーバーのポートを設定するには:
[設定]>[取り込み]に移動します。
[取り込み設定] ページの [ ネイティブ GPB ] タブを選択します。
ポート番号を入力します。ポート番号は、ストリーミングサーバープロファイルで設定されたリモートポートと同じでなければなりません。
トグル ボタンを使用して、[ ポート ] フィールドを有効または無効にできます。
[保存 & 展開] をクリックして、センサーがネットワーク内のデータを収集できるようにします。
詳細については、「 Junos テレメトリ インターフェイス センサーの設定 」を参照してください。
Netflow
リリース3.0.0以降、Paragon Insights(旧HealthBot)は、他のParagon Insightsのインジェストメカニズムと連携するデータモデルを使用して、別のインジェスト方法としてNetFlowをネイティブにサポートし、すべて同じ機能の豊富さを提供します。このリリースでは、Paragon InsightsはNetFlow v9およびNetFlow v10(IPFIX)をサポートしています。
How it Works
NetFlow は、IP トラフィック統計を収集するためのネットワーク プロトコルであり、分析用のツールにエクスポートできます。NetFlow にはさまざまなバージョンがあり、最新のものは NetFlow v9 と NetFlow v10 です。NetFlow v9 データ エクスポート形式については、 RFC 3954 を参照してください。NetFlow v10 は正式には IPFIX として知られており、 RFC 7011 で標準化されています。
Junosデバイスは、これらのプロトコルを使用してフローの監視とアグリゲーションをサポートします。Junos OSはトラフィックをサンプリングし、フローテーブルを構築して、設定されたUDPポートを介してフローテーブルの詳細をコレクター(この場合はParagon Insights)に送信します。Paragon Insightsは、受信したNetflowデータを受信し、v9またはv10として自動検出して、さらに処理します。
上記のように、ネットワークデバイスはパケット転送エンジンから、つまりラインカードから直接データをプッシュします。つまり、フローデータは転送プレーンを介して送信されるため、コレクターはデバイスに帯域内接続できる必要があります。フロー センサー オプションを使用するには、フロー データの送信先などの設定でデバイスを構成します。Paragon Insightsがデータの収集を開始するように設定すると、フローデータはすでにサーバーに向かって流れています。
NetFlow テンプレート
他のインジェスト方法でセンサーのフォーマットや識別の詳細が確立されている場合(例えば、ネイティブGPBはパスを参照し、SNMPはMIBを参照します)、フローには同等のメカニズムはありません。代わりに、Paragon Insightはテンプレートを使用します。これらのフロー テンプレートは、受信したフロー データを識別してデコードしてから、さらに処理するメカニズムを提供します。
Paragon Insightsには、NetFlow v9およびv10(IPFIX)用に事前に定義されたフローテンプレートが用意されています。または、独自に定義することもできます。定義済みテンプレートは、Junos OSが現在サポートしているものと一致します。例えば、 ipv4-templateJunos OSテンプレート 、 は、 Paragon Insightsテンプレート hb-ipfix-ipv4-templateと一致します。Junos OSテンプレートで使用されるフィールドを表示するには、 インラインアクティブフロー監視についてを参照してください。
NetFlow の現在の取り込み実装では、次のフィールド タイプはサポートされていません。
企業固有の要素の項目
可変長フィールド
NetFlow 取り込み処理
Paragon Insightsが受け取る生のフローデータはバイナリ形式であり、読み取ることができません。このデータを使用できるようにするために、Paragon Insightsは流入フローデータを以下のように処理します。
Paragon Insightsは設定されたポートで受信フローデータをリッスンします
NetFlow メッセージには送信デバイスを識別するフィールドが含まれていないため、Paragon Insights は設定された送信元 IP アドレスを使用してデバイス ID を取得します
テンプレートは、受信フローデータを識別してデコードし、それに含まれるフィールドを決定します
結果のデコードおよび正規化されたデータは、読み取り可能で使用可能な形式になります。hb-ipfix-ipv4-template テンプレートを使用してデコードされたフロー データの例を次に示します。
hb-ipfix-ipv4-template, destinationIPv4Address=192.168.48.200, destinationTransportPort=443, icmpTypeCodeIPv4=0,ingressInterface=1113, ipClassOfService=0,protocolIdentifier=6, sourceIPv4Address=172.16.235.191,sourceTransportPort=51032, bgpDestinationAsNumber=4200000000i,bgpSourceAsNumber=65000i, destinationIPv4PrefixLength=24i, dot1qCustomerVlanId=0i,dot1qVlanId=0i,egressInterface=1041i, flowEndMilliseconds=1483484591502u, flowEndReason=2i,flowStartMilliseconds=1483484577531u, ipNextHopIPv4Address="192.168.41.49", maximumTTL=120i,minimumTTL=120i,octetDeltaCount=188i, packetDeltaCount=4i,sourceIPv4PrefixLength=19i, tcpControlBits=16i,vlanId=0i 1483484642000000000データは、 IPFIX 情報要素に従った命名を使用して、NetFlow メッセージからの情報を示しています。たとえば、宛先IPv4Address は、要素テーブルの要素 ID 12 にマップされます。
その後、Paragon Insightは、ユーザーが対応するルールで定義したタグ付け、正規化、集計をさらに実行します。
最後に、時系列データベース、TSDBがデータを受信する。ここで、トリガー評価などが発生します。
NetFlowを取り込む場合は、デバイスとParagon Insightsの間のネットワークパスにソースNATがないことを確認します。ネットワーク パスにソース NAT が含まれている場合、受信したデバイス情報は正確ではありません。
NetFlow - デバイス コンフィギュレーション
Paragon InsightsでNetFlowをインジェストメソッドとして使用するには、監視するデバイスに設定を追加して、フローデータをParagon Insightsにエクスポートできるようにする必要があります。
この例には、Netflow v10 IPv4 テンプレートが含まれています。環境に合わせて必要に応じて調整します。まだ完了していない場合は、次に示すように、NetFlow データを Paragon Insights に送信するためのデバイス設定を完了します。
## IPFIX テンプレートの設定
set services flow-monitoring version-ipfix template IPv4-TEMPLATE ipv4-template
## IPFIXテンプレートを適用してトラフィックサンプリングを有効にする
set forwarding-options sampling instance IPFIX-IPv4-INSTANCE input rate 10 set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output flow-server 10.102.70.200 port 2055
## 10.102.70.200 = Paragon Insightsサーバー
NOTE:これは、 フロー展開ノードのデバイスグループ設定フィールドに従って、NetFlowトラフィックを受信するParagon InsightsノードのIPアドレスです。これは、Paragon Insightsクラスタの仮想IPアドレスではありません(Netflowプロトコルは、仮想IPアドレスを使用してトラフィックを受信することに制限があります)。
## ポート 2055;Paragon Insights GUIでこの値を使用する(デバイスグループ設定)
set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output flow-server 10.102.70.200 version-ipfix template IPv4-TEMPLATE set forwarding-options sampling instance IPFIX-IPv4-INSTANCE family inet output inline-jflow source-address 198.51.100.1
## inline-jflow = 指定されたアドレスからのトラフィックのインライン フロー監視を有効にします。
## 198.51.100.1 = エクスポートを行うインバンドインターフェイス。Paragon Insights GUIでこの値を使用する(デバイス設定)
## サンプリング インスタンスを FPC に関連付ける
set chassis fpc 0 sampling-instance IPFIX-IPv4-INSTANCE
## サンプリングするインターフェイストラフィックを指定する
set interfaces ge-0/0/0 unit 0 family inet sampling input set interfaces ge-0/0/0 unit 0 family inet sampling output
例:Paragon Insightsでデバイスを追加し、NetFlow用にParagon Insightsを設定し、監視します
次の例では、次の方法について説明します。
- Paragon Insightsにデバイスを追加
- デバイスグループの追加
- NetFlow 取り込み設定の定義 - 定義済みテンプレートの確認
- NetFlow 取り込み設定の定義:(オプション)独自の NetFlow テンプレートを作成する
- NetFlow 取り込み設定の定義 - 既存の NetFlow テンプレートのクローン作成
- NetFlow 取り込み設定の定義:NetFlow テンプレートの削除
- フローセンサーを使用したルールの設定
- プレイブックへのルールの追加
- デバイス グループへのプレイブックの適用
- デバイスの監視
Paragon Insightsにデバイスを追加
次に、Paragon Insightsにデバイスを追加し、フローデータを送信するIPアドレスを指定します。
デバイスの追加の詳細については、「デバイス、デバイス グループ、およびネットワーク グループの管理」の「デバイスの追加」を参照してください。
Usage Notes:
受信 NetFlow メッセージにはデバイス ID は含まれません。Paragon Insightは、メッセージの送信元IPアドレスを使用してデバイスIDを導き出します
この手順を設定するときは、デバイスのサンプリング インスタンス設定で設定したインバンド インターフェイスの IP アドレスを使用します。
デバイスグループの追加
デバイスを追加したら、デバイスグループを作成し、デバイスグループのフローインジェストポートを定義する必要があります。
NetFlow 取り込み設定の定義 - 定義済みテンプレートの確認
NetFlow テンプレートは、受信したフロー データを Paragon Insights 内でさらに処理するために送信する前に、そのデータを識別してデコードするメカニズムを提供します。
Usage Notes:
NetFlow v9 および v10 のそれぞれについて、IPv4、IPv6、MPLS、MPLS-IPv4、MPLS-IPv6、および VPLS のデフォルト フロー テンプレートがあることに注意してください。
NetFlow テンプレートには、着信メッセージの認識、識別、および分類に役立つ、include フィールドおよび exclude フィールドと呼ばれる認識パターンが含まれています。
NetFlow メッセージはキーと値を区別しないため(すべてのフィールドは単なる受信データです)、テンプレートは生データのキーとして扱うフィールドを指定します。
NetFlow 取り込み設定の定義:(オプション)独自の NetFlow テンプレートを作成する
既存のテンプレートがニーズに合わない場合は、独自のテンプレートを作成できます。カスタムテンプレートを使用して、他のベンダーのデバイスをサポートすることもできます。
Usage Notes:
優先度 - プレイブックにフロー センサーを使用する複数のルールが含まれている場合、優先度の値は、どのセンサーとテンプレートが他のセンサーとテンプレートよりも優先されるかを識別します。
含める/除外するフィールド - 使用するテンプレートを識別するのに役立つフィールド、または少なくとも使用するテンプレートの「短いリスト」を含めます。フィールドを除外し、目的の 1 つのテンプレートに絞り込みます。
例 1 - hb-ipfix-ipv4-template テンプレートを考えてみましょう: hb-ipfix-ipv4-template と hb-ipfix-mpls-ipv4-template に絞り込む 2 つの IPv4 フィールドが含まれ、MPLS フィールドを除外して hb-ipfix-mpls-ipv4-template を削除し、hb-ipfix-ipv4-template のみを残します。
例 2 - hb-ipfix-mpls-ipv4-template テンプレートを考えてみましょう: hb-ipfix-ipv4-template と hb-ipfix-mpls-ipv4-template に絞り込むための同じ 2 つの IPv4 フィールドが含まれています。また、MPLSフィールドも含まれており、前者のテンプレートがすぐに削除され、後者が使用するテンプレートとして残ります。
NetFlow 取り込み設定の定義 - 既存の NetFlow テンプレートのクローン作成
Paragon Insightsリリース4.0.0以降、既存のNetFlowテンプレートのクローンを作成できます。
既存の NetFlow テンプレートのクローンを作成するには、次の手順を実行します。
NetFlow 取り込み設定の定義:NetFlow テンプレートの削除
NetFlow テンプレートを削除するには、次の手順を実行します。
- 削除するデバイスを選択し、 削除(ゴミ箱) アイコンをクリックします。
[削除テンプレートの確認] ポップアップが表示されます。
図1:テンプレート削除ポップアップ
の確認
フローセンサーを使用したルールの設定
NetFlow の取り込み設定が完了したら、フローをセンサーとして使用してルールを作成できます。
このルールの例には、次の 3 つの要素が含まれています。
NetFlow v10 IPv4 テンプレートを使用するフロー センサー
対象のデータをキャプチャする 6 つのフィールド
トラフィックフローが予想よりも多いまたは低いときを示すトリガー
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
- [+ センサーの追加] ボタンをクリックし、[センサー] タブに次のパラメーターを入力します。
- 次に、[フィールド] タブに移動し、[+ フィールド の追加 ] ボタンをクリックして、最初のフィールドである source-ipv4-address を構成するパラメーターを入力します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して 2 番目のフィールドである宛先 ipv4-address を設定します。
- [+ フィールドの追加(+ Add Field)] ボタンをもう一度クリックし、次のパラメータを入力して、3 番目のフィールドである sensor-traffic-count を設定します。
- [+ フィールドの追加(+ Add Field)] ボタンをもう一度クリックし、次のパラメータを入力して 4 番目のフィールド (total-traffic-count) を設定します。
- [+ フィールドの追加(+ Add Field )] ボタンをもう一度クリックし、次のパラメータを入力して、5 番目のフィールドである traffic-count-maximum を設定します。
- [+ フィールドの追加(+ Add Field )] ボタンをもう一度クリックし、次のパラメータを入力して、6 番目のフィールドである traffic-count-minimum を設定します。
- フィールド設定の最後の手順として、フィールド集計の時間範囲の値を 10s に設定します。
- 次に、[変数]タブに移動し、[+ 変数の追加]ボタンをクリックして、それぞれフィールドとフィールドの定数traffic-count-maximumtraffic-count-minimumである変数と変数を作成します。traffic-count-max traffic-count-min
メモ:traffic-count-maxの定義のみがグラフィカルに表示されます。と traffic-count-min 変数の両方traffic-count-maxを設定する場合は、適切なデフォルト値を選択します。上記の値はテストのみを目的としており、ネットワークには適していない場合があります。
- 次に、[トリガー]タブに移動し、[+トリガーの追加]ボタンをクリックして、次のパラメーターを入力して、トラフィック測定トリガーと呼ばれるトリガーを構成します。
Usage Notes:
Sensor Tab:
センサー名 ipv4フローセンサー はユーザー定義です
センサーの種類は流量です
センサーは、事前定義されたテンプレートhb-ipfix-ipv4-templateを使用します
Variables Tab:
変数traffic-count-maxとtraffic-count-minは、静的に設定された整数です。この場合、値はバイト/秒を表します
これらの値は、トラフィックカウント最大フィールドとトラフィックカウント最小フィールドで参照され、総トラフィックカウントフィールドと比較するための参照ポイントを提供します
Fields Tab:
6 つのフィールドが定義されています。一部のフィールドはトリガー設定で使用され、あるフィールドは別のフィールド内で参照されます
フィールド名はユーザー定義フィールド (UDF) です
送信元-ipv4-address、宛先-ipv4-address、sensor-traffic-countの各フィールドは、フローセンサー入力から情報を抽出しています
これらのフィールドのパス値は、IPFIX 情報要素に従った名前付けを使用して、NetFlow メッセージの特定の値を識別します
フィールド source-ipv4-address と destination-ipv4-address では、[ルール キーに追加] 設定が有効になっており、このフィールドをデバイスの正常性ページにこのルールの検索可能なキーとして表示する必要があることを示しています
フィールド の合計トラフィック カウント: 10秒ごとにセンサートラフィック カウントフィールドからのIPv4パケットカウントを合計します
トラフィック-カウント-最大値とトラフィック-カウント-最小のフィールドは、単に固定値です。値は、上記で定義した変数から派生します
フィールド 集約時間範囲 - 通常、データベースに送信される情報の頻度を減らす目的で、個々のフィールド時間範囲設定よりも高い (長い) 値に設定されます
Triggers Tab:
トリガー名 traffic-measurement-trigger はユーザー定義です。
周波数90秒 - HearthBotは90秒ごとにトラフィックカウントを比較します
トラフィック異常-grという用語では、
$total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-max(2500 Bps)より大きい場合、赤と表示し、「総トラフィック カウントは通常を上回っています。現在の総トラフィック数は$totalトラフィック数」です。
トラフィック異常-lsという用語では、次のようになります。
$total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-minimum(500 Bps)未満の場合は、黄色で表示し、「総トラフィック カウントが通常を下回っています。現在の総トラフィック数は$totalトラフィック数」です。
default-termという用語では、
それ以外の場合は、緑色とメッセージを表示します:「総トラフィック数は正常です。現在の総トラフィック数は$totalトラフィック 数」です。
プレイブックへのルールの追加
ルールを作成したら、プレイブックに追加できます。この例では、新しいルールを保持する新しいプレイブックを作成します。
- 表示されるページで、次のパラメーターを入力します。
デバイス グループへのプレイブックの適用
デバイスの監視
プレイブックを適用すると、デバイスの監視を開始できます。
- 左側のナビゲーション バーで [デバイス グループの正常性の監視 ] をクリックし> [デバイス グループ] プルダウン メニューからプレイブックを適用した デバイス グループ を選択します。
- 監視するデバイスを 1 つ以上選択します。
- タイル ビューの外部タイルには、前に構成したルールのパラメーターが含まれます。
NetFlow と sFlow の違い
名前は似ているように聞こえますが、NetFlow と sFlow は 2 つのまったく異なるプロトコルです。表 1 に、NetFlow と sFlow の違いを示します。
NetFlow/IPFIX |
Sflow |
|
|---|---|---|
概要 |
フローは、同じプロパティを共有する一連のパケットであり、送信ホストと受信ホストの間を移動します。フロー分析は、パケットのフロー内のメタデータを調べます。NetFlow はフロー分析技術に基づいています。 |
sFlowは、デバイスから実際のネットワークパケットサンプルを取得し、分析のためにコレクターに転送します。sFlowはパケットサンプリングおよび分析テクノロジーであり、フロー分析テクノロジーではありません。 |
詳細 |
フロー分析は、ネットワーク内のトップトーカー、トッププロトコル、帯域幅使用量などを特定する扱いを扱います。トラフィック メタデータを使用してこの情報を提供します。 |
パケット分析は、特定のネットワーク会話に関する詳細な情報を取得することを扱います。これは、パケットヘッダーとペイロードがsFlowデータに含まれているために可能になります。 |
データ |
NetFlow/IPFIX を使用すると、デバイスから収集するデータをテンプレートのフィールドとして定義できます。データは、パケットヘッダー、トラフィック特性、またはデバイス自体からの値に基づくことができます。 NetFlow は、OSI モデルのレイヤ 2 からレイヤ 4 までの情報を提供できます。 |
sFlow は、データを報告する単一の方法、つまり、サンプリングされたインターフェイスからパケットヘッダー全体とペイロードデータを提供する方法を指定します。 sFlow は、OSI モデルのレイヤー 2 からレイヤー 7 までの情報を提供できます。 |
時間 |
NetFlow/IPFIX ヘッダーには、フローのエクスポート時間が含まれています。フローデータは蓄積され、設定された任意の頻度で送信できます。テンプレート定義では、観測されたフローの時間を表すために30以上の異なる方法を使用できます。 |
sFlow 標準では、サンプリングされたパケットはキャプチャ後すぐにコレクターに転送される必要があります。 |
状態 |
NetFlow/IPFIX はステートフル プロトコルです。NetFlow データを受信するデバイス(Paragon Insights)は、追加データを送信する前に、データの受信を確認する必要があります。 |
sFlow はステートレス プロトコルです。送信者はキャプチャしたパケットを受信者に転送するだけです(Paragon Insights)。 |
処理 |
NetFlow/IPFIX はステートフル プロトコルです。送信デバイスと受信デバイスの両方に、フローをエンコードおよびデコードするための正しい NetFlow/IPFIX テンプレートが必要です。新しいテンプレートをユーザーが設定し、送信者と受信者の間で共有(Paragon Insights) |
送信デバイスはsFlow標準を使用してメッセージ(パケット)をエンコードし、コレクター(Paragon Insights)は同じ標準を使用してメッセージをデコードします。 |
Sflow
Paragon Insightsリリース3.2.0以降、Paragon Insightsは、他のParagon Insightsのインジェストメカニズムと連携したデータモデルを使用して、別のフローベースのインジェスト方法としてsFlow(v5)をネイティブにサポートし、すべて同じ機能の豊富さを提供します。
sFlow プロトコル
sFlowは、高速スイッチまたはルーティングされたネットワーク向けの統計サンプリングベースのテクノロジーです。必要に応じて、sFlow を設定して、すべてのインターフェイスで同時にワイヤ スピードでトラフィックを継続的にモニタできます。
sFlowは以下を提供または支援します。
ギガビット速度での詳細かつ定量的なトラフィック測定
転送の決定に関するインサイト
ネットワーク問題のトラブルシューティング
輻輳制御
セキュリティと監査証跡分析
ルートプロファイリング
sFlowが上記のすべてのことを行い、転送やネットワークパフォーマンスに影響を与えることなく実行します。sFlow の詳細については、 RFC 3176、InMon Corporation の sFlow: A Method for Monitoring Traffic in Switched and Routed Networksを参照してください。
統計サンプリングプロトコルとして、ジュニパーのsFlowエージェントは、ネットワークインターフェイス上のトラフィックとカウンターをサンプリングし、sFlowデータグラムを作成して、外部のsFlowコレクターに転送します。Paragon Insightsもそのようなコレクターの1つです。
sFlow インジェスト処理
Paragon Insightsが受け取る生のsFlowデータはバイナリ形式であり、読み取ることができません。このデータを使用できるようにするために、Paragon Insightsは流入フローデータを以下のように処理します。
Paragon Insightsは設定されたポートで受信フローデータをリッスンします
Paragon Insightsルール設定に基づき、データがデコードされ、レコードタイプ(生のパケットヘッダー、イーサネットフレームなど)別にデータセットにグループ化されます。
sFlowのソースIP(sFlowパケットから抽出)をParagon InsightsのデバイスIDにマッピングします
メモ:一致できない場合、パケットは破棄され、それ以上のデコードは実行されません。
システム内でさらに使用するためにフィールドを正規化します。
その後、Paragon Insightは、ユーザーが対応するルールで定義したタグ付け、正規化、集計をさらに実行します。
最後に、時系列データベース、TSDBがデータを受信する。ここで、トリガー評価などが発生します。
sFlow - Paragon Insightsの設定
前述のように、sFlowパケットの処理はParagon Insightsルールの設定に依存します。また、デバイス グループまたはデバイス定義で sFlow を有効にする必要もあります。このセクションでは、sFlow の有効化と、sFlow のルールとセンサーの構成オプションについて説明します。
まず、sFlow を有効にするには、[ フロー ソース IP] の下のデバイス定義に少なくとも 1 つの IP アドレスを入力し、[ sFlow ポート] の下のデバイス グループ定義に少なくとも 1 つのポート番号を入力する必要があります。 下の図 2 は、デバイス グループ定義とデバイス定義を重ね合わせた合成イメージです。各ウィンドウの適切なセクションが赤で強調表示されます。
を有効にする
グループ内のデバイスは、設定されたIPアドレスから、設定されたUDPポートを介してsFlowパケットをParagon Insightsに送信します。これらの定義で使用されるポート番号は、Paragon Insightsインストール全体で一意である必要があります。
フロー ソース IP アドレスは、デバイス定義の ホスト名/IP アドレス/範囲フィールドからマッピングできる IP アドレスと一致する必要があります。デバイスがsFlowパケットを送信しても、Paragon Insightsが送信元IPと定義済みのデバイスIPを一致させない場合、パケットはデコードされずに破棄されます。
Paragon Insightsでは、パケットを見てsFlowとNetFlowを区別できません。NetFlow と sFlow の両方を使用している場合は、ポート番号も 2 つのフロー タイプ間で一意である必要があります。
sFlow の性質と、1 台のデバイスからでも大量のデータが得られる可能性があるため、sFlow の取り込みを管理するための次のベスト プラクティスをお勧めします。
sFlow には、UDP/49152 から UDP/65535 の範囲の固有のポートを使用します。
定期的な集約を使用して、TSDB 内の書き込みプロシージャーの数を減らします。
Paragon Insights TSDBに十分な高速ストレージが使用可能でない限り、sFlowで生のテーブルデータストレージオプションを有効にしないでください。
sFlowインジェストの設定
他の取り込み方法と同様に、[設定] > [取り込み] に移動し、[取り込み] ウィンドウの左側にある [sFlow] タブを選択します。
Sflow 設定は、次の 4 つのセクションに分かれています。
-
Sample 2 つの定義済みサンプル カテゴリがあり、それぞれが sFlow ヘッダーで整数のサンプル タイプの値として表されます。以下の 表2 に、サンプルの種類とその数値を示します。
表 2: sFlow サンプルの種類 サンプルタイプ
sFlow ヘッダーの整数値
カウンターサンプル
2
拡張カウンターサンプル
4
フローサンプル
1
エキスパンドフローサンプル
3
メモ:拡張されたセンサータイプと拡張されていないサンプルタイプの違いは、データフィールドのサイズです。フィールド名とタイプは同じですが、展開されたサンプルタイプではフィールドサイズが大きくなります。
これらのサンプルタイプのパケット定義については、 sFlow サンプルを参照してください。
表 3 に、sFlow サンプル ヘッダーに含まれるその他のフィールド (サンプルの種類別) とフィールドの種類を示します。
表 3: sFlow パケット ヘッダーのフィールド フィールドタイプ/ビットサイズ
カウンターサンプル
フローサンプル
整数/32
サンプルシーケンス番号
サンプルシーケンス番号
整数/8
sourceIDType
0 = SNMP インターフェイス インデックス
1 = VLAN ID (smonVlanDataSource)
2 = 物理エンティティ (entPhysicalEntry)
sourceIDType
0 = SNMP インターフェイス インデックス
1 = VLAN ID (smonVlanDataSource)
2 = 物理エンティティ (entPhysicalEntry)
整数/24
sourceIDValue
sourceIDValue
整数/32
n (カウンタ サンプルに含まれるサンプリングされたレコードの数)
サンプルサンプリングレート
整数/32
-
samplePool (サンプリングされた可能性のあるパケットの数)
整数/32
-
sampleDroppedPackets(リソース不足のためにドロップされたパケット数)
整数/8
-
sampleInputInterfaceFormat (input interface type)
整数/32
-
sampleInputInterfaceValue (input interface (SNMP interface index)
整数/1
sampleOutputInterfaceFormat (output interface type)
整数/33
-
sampleOutputInterfaceValue (SNMP インターフェイス インデックス)
整数/32
-
n(フロー レコードの数)
データ
カウンターレコード
フロー レコード
-
Flow Record [フロー レコード] セクションには、sFlow キャプチャに表示される可能性のあるさまざまなタイプのフローを定義するために必要なツールが用意されています。Paragon Insightsには、以下の表4に示すように、16種類の事前定義されたフローレコードが付属しており、それぞれにフォーマット番号とsFlowルールの定義に使用するセンサーパスがあります。フロー レコードの種類ごとに複数のフィールドがあります。これらは、リストから目的のレコードタイプを選択し、編集(鉛筆)ボタンをクリックすることで確認できます。
表 4: フロー レコード タイプ レコードの種類
フォーマット番号
センサー パス値
生のパケットヘッダー
1
/sflow-v5/flow-sample/raw-packet-header
イーサネット・フレーム・データ
2
/sflow-v5/flow-sample/ethernet-frame-data
IPv4データ
3
/sflow-v5/flow-sample/ipv4-data
IPv6 データ
4
/sflow-v5/flow-sample/ipv6-data
拡張スイッチ データ
1001
/sflow-v5/flow-sample/extended-switch-data
拡張ルーターデータ
1002
/sflow-v5/flow-sample/extended-router-data
拡張ゲートウェイデータ
1003
/sflow-v5/flow-sample/extended-gateway-data
拡張ユーザーデータ
1004
/sflow-v5/flow-sample/extended-user-data
拡張 URL データ
1005
/sflow-v5/flow-sample/extended-url-data
拡張 MPLS データ
1006
/sflow-v5/flow-sample/extended-mpls-data
拡張NATデータ
1007
sflow-v5/flow-sample/extended-nat-data
拡張MPLSトンネル
1008
/sflow-v5/flow-sample/extended-mpls-tunnel
拡張MPLS VC
1009
/sflow-v5/flow-sample/extended-mpls-vc
拡張MPLS FEC
1010
/sflow-v5/flow-sample/extended-mpls-fec
拡張 LVP FEC
1011
/sflow-v5/flow-sample/extended-mpls-lvp-fec
拡張VLANトンネル
1012
/sflow-v5/flow-sample/extended-vlan-tunnel
sFlow のルールを設定するときは、これらのレコードタイプのいずれかを選択できます。新しいフロー レコードを作成するには、[Sflow 設定] ページの追加 (+) アイコンをクリックします。
-
Counter Record [カウンター レコード] セクションでは、2 つの定義済みのカウンター レコードの種類の定義を提供します。カウンタ レコードには、イーサネット インターフェイス カウンタと汎用インターフェイス カウンタの 2 種類があります。汎用インターフェイス カウンターは形式番号 1、イーサネット インターフェイス カウンターは形式番号 2 です。汎用インターフェイス カウンターのセンサー パスは、/sflow-v5/counter-sample/generic-interface-counter です。イーサネット インターフェイス カウンターのセンサー パスは、/sflow-v5/counter-sample/ethernet-interface-counter です。
カウンタレコード内で使用可能なフィールドは、考えられるエラーと、次のようなカウント可能な統計です。
フレームエラー
衝突
遅延送信
送信エラー
管理ステータス
運用状況
入力パケット
出力パケット
入力エラー
出力エラー
その他
定義するルールでは、汎用インターフェイスカウンターまたはイーサネットインターフェイスカウンターのいずれかを使用できます。カウンターセンサーは、使用可能なカウンターのいずれかから単一のフィールドを選択するように定義できます。追加のカウンターレコードタイプを作成するには、[Sflow 設定] ページ ([カウンターレコード] セクション) の追加 (+) アイコンをクリックします。
-
Protocol [プロトコル] セクションでは、sFlow キャプチャに含まれるプロトコルを定義し、多くのネットワーク プロトコルのデコードを可能にする手段を提供します。各プロトコルエントリに含まれるフィールドは、そのタイプのフレームまたはパケットに表示されるものと同じフィールドです。たとえば、イーサネットフレームには、宛先MACアドレス、送信元MACアドレス、およびイーサネットネクストヘッダータイプのフィールドがあります。デコードするプロトコルで定義されたフィールドは、パケットまたはフレームに表示されるのと同じ順序でプロトコル定義に表示される必要があります。
表示される番号列は、そのプロトコルに割り当てられた IANA プロトコル番号です。たとえば、TCP プロトコルはプロトコル番号 6 です。
[ サンプル]、[ フロー レコード]、および [カウンタ レコード ] セクションには、[ エンタープライズ ] 列があります。この列では、ベンダー固有またはカスタムのデコードの詳細を使用します。たとえば、Foundry ACL ベースのフロー サンプルの企業値 1991、形式 1 には、その Foundry フロー専用の追加フィールドが含まれています。ほとんどの場合、[エンタープライズ] の値は 0 です。
sFlowデコード機能を拡張
sFlowインジェスト設定ページの[サンプル]、[フローレコード]、[カウンターレコード]、および[プロトコル]タブで追加のデコードスキーマを作成することで、Paragon Insightsのプロトコルデコード機能を拡張できます。
取り込み設定を更新すると、新しいルールは次のようにそれらを利用できます。
Wireshark などのパケット キャプチャ ユーティリティを使用して、sFlow パケット内で新しいプロトコルが表示される順序を特定します。
センサー定義で使用するセンサー パスが、 ここで、 は新しいサンプルrecord-name、 は新しいカウンターまたはフロー レコード、 l2-protocol と l3-protocol は新しいプロトコルの形式
/sflow-v5/<sample-name>/<record-name>/<l2-protocol>/<l3-protocol>sample-nameになっていることを確認します。ここでも、これらのプロトコルには、sFlow キャプチャに表示されるとおりに名前を付けて配置する必要があります。
sFlow ルールの設定
他のルール定義と同様に、sFlow ルールはセンサー、フィールド、ベクトルなどで構成されます。sFlow センサーには、図 3 に示すように、センサー名、センサーの種類 sFlow、および sFlow パスがあります。
センサーパスは、センサーの定義において大きな役割を果たします。Paragon Insightsは、センサーパスを使用して、sFlowフロータイプだけでなく、サンプルタイプ、レコードタイプ、プロトコル、およびその他のカスタムパス要素(必要な場合)を定義します。
sFlow設定の削除
sFlow 設定を削除するには:
左側のナビゲーション バーで [ 設定 ] > [ 取り込み ] をクリックします。
[取り込み設定] ページが表示されます。
[sFlow] タブをクリックして、[sFlow 設定] ページを表示します。
次のいずれかの操作を行います。
sFlow サンプルを削除するには:
[ サンプル ] をクリックして、sFlow サンプルのリストを表示します。
削除する sFlow サンプルを選択します。
削除(ゴミ箱)アイコンをクリックします。
[サンプルの削除を確認] ポップアップが表示されます。
図4:サンプル削除ポップアップ
の確認
フロー レコードを削除するには:
[ フロー レコード ] をクリックして、フロー レコードのリストを表示します。
削除するフロー レコードを選択します。
削除(ゴミ箱)アイコンをクリックします。
[フローレコードの削除を確認]ポップアップが表示されます。
図 5: フローレコードの削除ポップアップ
の確認
カウンターレコードを削除するには:
[ カウンター レコード ] をクリックして、カウンター レコードの一覧を表示します。
削除するカウンター レコードを選択します。
削除(ゴミ箱)アイコンをクリックします。
[カウンターレコードの削除の確認]ポップアップが表示されます。
図 6: 削除の確認ポップアップ
プロトコルを削除するには:
[ プロトコル ] をクリックして、プロトコルの一覧を表示します。
削除するプロトコルを選択します。
削除(ゴミ箱)アイコンをクリックします。
[削除プロトコルの確認] ポップアップが表示されます。
図7:削除プロトコルポップアップ
の確認
表示されるポップアップで、以下のいずれかの操作を行います:
[ はい ] をクリックして、データベースから sFlow 設定を削除します。ただし、変更は取り込みサービスには適用されません。
メモ:現在使用中の sFlow 設定は削除しないことをお勧めします。
データベースから sFlow 設定を削除すると、変更を展開していなくても、新しいデバイスまたはデバイス グループでその sFlow 設定を構成することはできません。
また、[ 保留中の構成 ] ページから、取り込みサービスへの変更をデプロイしたり、既に削除した変更をロールバックしたりすることもできます。詳細については、 Paragon Insightsの設定変更のコミットまたはロールバックを参照してください。
「変更をデプロイ」チェック・ボックスを選択し、「はい」をクリックしてデータベースからsFlow設定を削除し、インジェスト・サービスに変更を適用します。
(オプション)この操作をキャンセルするには、[ いいえ ] をクリックします。
sFlow - デバイス構成
sFlowをコレクターに送信するようにデバイスを設定する場合は、送信元IPアドレス、サンプルレート、ポーリング間隔、udpポート、キャプチャ元のインターフェイスを設定し、コレクターのIPアドレスを指定するだけです。デバイス側から送信されるデータをフィルタリングまたは選択する機会はありません。
次の例は、IPアドレス10.204.32.46のコレクターにsFlowを送信するようにすでに設定されているスイッチからの出力を示しています
[edit protocols sflow]
user@switch# show
polling-interval 20;
sample-rate egress 1000;
collector 10.204.32.46 {
udp-port 5600;
}
interfaces ge-0/0/0.0;
OpenConfig
このフォーマットは、gRPC を使用した OpenConfig データ モデルを利用しています。ネットワークデバイスはgRPCサーバーとして機能し、クライアントとして実行されるParagon InsightsからのgRPCセッションを終了します。Paragon InsightsからのRPC呼び出しは、定期的にデータをストリーミングするかイベントを報告するセンサーの作成をトリガーし、そのセンサーはprotobuf(GPB)メッセージとして適切なgRPCチャネルに送られます。
3.1.0より前のParagon Insightsリリースでは、OpenConfigはJunos OSおよび特定のCiscoデバイスでのみ使用できました。これは、ジュニパーとシスコが使用しているOpenConfig RPCをParagon Insightsがネイティブにサポートしており、それぞれがOpenConfigデータに独自のエンコーディングを使用しているためです。リリース3.1.0以降、Paragon InsightsはOpenConfig通信用のgRPCネットワーク管理インターフェイス(gNMI)をサポートします。このプロトコルにより、Paragon Insightsは、ベンダーに依存しない方法で、多くのサードパーティのOpenConfig実装と連携することができます。
OpenConfigを使用すると、デバイスはParagon Insightsからセンサーサブスクリプションを受信し、インバンドまたはアウトオブバンドにかかわらず、利用可能なインターフェイスを介してテレメトリデータをプッシュします。
なお、上の図では、帯域外接続はJunosデバイスのインターフェイスへの接続 fxp0 として示されています。デバイスがサードパーティベンダー製の場合、アウトオブバンド接続はベンダー固有の管理ポートになります。同様に、インバンド接続は、ベンダー固有のインターフェイス指定に対して行われます。
OpenConfig RPC
OpenConfig 形式を使用するには、デバイスを gRPC サーバーとして構成します。Paragon Insightsがクライアントとして動作し、サブスクライブするセンサーを定義し、デバイスに対してサブスクリプションリクエストを行います。
gRPC を介してストリーミングされるデータは、プロトコル バッファー (GPB) でエンコードされたメッセージで OpenConfig キーと値のペアで書式設定されます。キーは、監視対象のデバイスの OpenConfig スキーマ内のシステム リソースのパスに対応する文字列です。値は、インターフェイス カウンターなど、システム リソースの動作状態を識別する整数または文字列に対応します。OpenConfig RPC メッセージは、1 つのメッセージに複数のインターフェイス カウンターを提供するなど、一括で転送できるため、メッセージ転送の効率が向上します。
OpenConfig センサーの詳細については、 Junos Telemetry Interface での OpenConfig と gRPC についてを参照してください。
gNMIエンコードされたOpenConfig RPC
gNMIでエンコードされたOpenConfigは、Paragon Insightsがサブスクリプションリクエストを行うOpenConfigサーバーとしてネットワークデバイスを設定する必要があります。ただし、gNMIはParagon Insightsが現在サポートしているよりも多くのサブスクリプションタイプをサポートしています。現在、Paragon Insightsは、サンプルモードのgNMI STREAMサブスクリプションのみをサポートしています。STREAM サブスクリプションは、サブスクリプション内で構成されたパスのセットに関連する更新を無期限に送信し続ける、存続期間の長いサブスクリプションです。サンプル モード ストリーム サブスクリプションには、 sample_interval.
gNMI を介してクライアントに返されるメッセージは、デバイスによって protobuf、JSON、または JSON-IETF 形式でエンコードされており、一括で送信することはできません。これにより、gNMI でエンコードされたメッセージングは、gRPC でエンコードされたメッセージングよりも効率が低下します。
JSONまたはJSON-IETFの場合、デバイスはgNMIの更新を、階層またはサブ階層全体をJSONオブジェクトとして返すのではなく、JSONでエンコードされたリーフ値のみとして返すことを想定しています。
JSONまたはJSON-IETFでエンコードされた数値は、RFC 7159およびRFC 7951に従って、Paragon Insightsによってfloat64、int64、または文字列としてデコードされます。OpenConfig ルールに異なるタイプのフィールドが含まれている場合は、それに応じてフィールドタイプを変更することをお勧めします。
Junos OSとCiscoデバイスは、gNMIでエンコードされたOpenConfigを使用してParagon Insightsで管理できます。デバイスが一般的に gNMI をサポートしていない場合、または SAMPLE モードで STREAM サブスクリプションをサポートしていない場合、または OpenConfig リクエストをサポートしていない場合は、次のいずれかのエラーが返されます。
未実装
利用
無効な引数
Junos OS またはシスコ デバイスの場合、このエラーにより接続が OpenConfig RPC にフォールバックします。サードパーティのデバイスの場合、エラーが原因で接続が失敗します。
gNMI でエンコードされた OpenConfig は、デバイスまたはデバイス グループ レベルで有効にできます。デバイスグループレベルで有効にすると、グループに追加されたすべてのデバイスがデフォルトでgNMIを使用します。デバイス レベルで有効 (または無効) の場合、デバイス レベルの設定がデバイス グループ レベルの設定よりも優先されます。
初期接続中に、gNMI デバイスはクライアントとの初期同期を実行しようとします。デバイスとコレクター(Paragon Insights)が同期するまで、デバイスはデータのストリームを連続して送信します。初期同期後、デバイスは設定されたレポート レートに基づいて通常のストリーミング操作を開始します。これにより処理負荷が発生するため、Paragon Insightではこの機能はデフォルトで無効になっています。必要に応じて、デバイス グループまたはデバイス レベルで有効にできます。
gNMI の詳細については、 gRPC ネットワーク管理インターフェイス (gNMI) を参照してください。
OpenConfig - デバイス構成
OpenConfig には以下が必要です。
Junos OS バージョン: 16.1 以降
OpenConfig センサーを使用するには、Junos デバイスに OpenConfig パッケージとネットワーク エージェント パッケージがインストールされている必要があります。これらのパッケージは、Junos OS リリース 18.2X75、18.3 以降に組み込まれています。16.1 と 18.2X75 または 18.2 の間のリリースでは、パッケージをインストールする必要があります。
ネットワークエージェントパッケージのインストールについて詳しくは、 ネットワークエージェントパッケージのインストール(Junos Telemetry Interface) トピックを参照してください。
これらのパッケージがあるかどうかを確認するには、次のコマンドを入力します。
user@host> show version | match "Junos:|openconfig|na telemetry" Junos: 19.2R1.8 JUNOS na telemetry [19.2R1.8] JUNOS Openconfig [19.2R1.8]
詳細については、「 Junos Telemetry Interface 上の OpenConfig と gRPC について 」を参照してください。
ネットワークエージェントは PPC プラットフォーム(MX104、MX80 など)ではサポートされていません
必要な構成:
set system services extension-service request-response grpc clear-text port number
Syslog
上記のJTI関連のオプションに加えて、リリース2.1.0以降、Paragon Insightsは別のデータ収集方法としてsyslogをネイティブにサポートし、他のParagon Insightsのインジェストメカニズムと連携するデータモデルを使用して、すべて同じ機能の豊富さを提供します。
デバイスは、ルーターの管理インターフェイスを使用してルーティングエンジン(RE)を介して帯域外で、またはパケット転送エンジンを介して帯域内、つまりラインカードから直接、UDP経由でParagon Insightsサーバーにsyslogメッセージ(設定されている場合)をプッシュできます。
syslog形式を使用するには、syslogメッセージの送信先などの設定をデバイスに設定します。詳細については、以下の 「Syslog - デバイス設定 」を参照してください。データの収集を開始するようにParagon Insightを設定すると、メッセージはすでにサーバーに流れています。
ジュニパーのデバイスで使用される syslog の詳細については、 Junos OS システムログの概要を参照してください。
- 概要
- システム生成フィールド
- 使用上の注意
- 省略可能な構成要素
- 例:Syslog インジェストを使用したルールの作成
- ネットワーク デバイスの設定
- SYSLOGインジェストを設定する
- ルールの作成、プレイブックの適用
概要
Syslogの取り込みでは、ルールのセンサーとして使用する前に、いくつかの設定が必要です。
パターン:パターンは、いくつかのsyslogイベントを識別します。監視するイベントごとにパターンを作成します。構造化イベントと非構造化イベントの両方のパターンを設定できます。
パターンセット:パターンを設定したら、パターンセットにグループ化し、ルール内でsyslogセンサー設定を定義するときに参照します。
パターンとパターンセットの使用方法については、 例:Syslog インジェストを使用したルールの作成を参照してください。
システム生成フィールド
一部のフィールドは、syslogメッセージで共通です。Paragon Insightはこれらのフィールドを抽出して未加工のテーブルに自動的に含めるため、ルールの作成時に直接利用することができ、パターンを設定する必要がありません。
これらの値の使用方法を説明するために、次の syslog メッセージの例を考えてみましょう。
構造- <30>1 2019-11-22T03:17:53.605-08:00 R1 mib2d 28633 SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16
同等の非構造化 - <30>Nov 22 03:17:53 R1 mib2d[28633]: SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16
システム生成フィールド:
"__log_priority__" - syslog メッセージの優先度
例中、
<30>は優先順位を示す
"__log_timestamp__ - syslog メッセージ内の epcoh のタイムスタンプ
構造化された例では、 は、
2019-11-22T03:17:53.605-08:00タイム ゾーンを示す -08:00 を持つエポックに変換されます非構造化の例では、構成のタイム ゾーンを使用してエポックが計算されます
"__log_host__" - syslog メッセージ内のホスト名
例では、
R1はホスト名を示します
"__log_application_name__" - syslog メッセージ内のアプリケーション名
例では、
mib2dはアプリケーション名です
"__log_application_process_id__" - syslog メッセージ内のアプリケーション プロセス ID
例では、
28633は ID です
"__log_message_payload__" - メッセージ内のペイロード
構造化された例 -
“SNMP_TRAP_LINK_DOWN [junos@2636.1.1.1.2.29 snmp-interface-index="545" admin-status="up(1)" operational-status="down(2)" interface-name="ge-1/0/0.16"] ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”非構造化の例 -
“SNMP_TRAP_LINK_DOWN: ifIndex 545, ifAdminStatus up(1), ifOperStatus down(2), ifName ge-1/0/0.16”
"Event-id" - パターンで設定されたイベント ID を示します
例では、
SNMP_TRAP_LINK_DOWNはイベント ID です
上記で既に定義した名前を使用して新しいフィールドを定義しないようにしてください。
使用上の注意
IPアドレスを使用してParagon Insightsでデバイスを追加する場合(そのアドレスがデバイスの実際のホスト名ではない場合)、[ Syslog Hostnames ]フィールドにデバイスのホスト名も追加する必要があります。
複数のデバイス グループが、同じポートを使用して syslog メッセージをリッスンできます。
構造化メッセージの処理時には、メッセージ自体にタイム ゾーンが含まれているため、設定されたタイム ゾーンは考慮されません。
夏時間は現在サポートされていません。
省略可能な構成要素
Syslogポートを設定する
デフォルトでは、Paragon InsightsはUDPポート514ですべてのデバイスグループからのsyslogメッセージをリッスンします。システムレベルのsyslogポートを変更したり、デバイスグループごとに1つ以上のポートを設定することができます。より具体的なデバイス グループ設定は、システム レベルの設定よりも優先されます。
システムレベルの syslog ポートを変更するには、次の手順に従います。
左側のナビゲーション バーで [ 設定] > [取り込み ] をクリックします。
[取り込み設定] ページの [Syslog ] タブを選択します。
[Syslog] ページで、ポート番号を編集します。
「 保存 & デプロイ」をクリックします。
デバイス グループの syslog ポートを設定するには、次の手順に従います。
[デバイス グループの構成>] ページに移動し、デバイス グループの名前をクリックします。
編集(鉛筆)アイコンをクリックします。
ポップアップウィンドウで、 Syslog ポートフィールドにポートを入力します。
「 保存 & デプロイ」をクリックします。
デバイスのタイムゾーンを設定する
デバイスが構造化された syslog メッセージをエクスポートすると、タイム ゾーン情報がメッセージ内に含まれます。ただし、構造化されていない syslog メッセージには、タイム ゾーン情報は含まれません。デフォルトでは、Paragon InsightsはデバイスのタイムゾーンとしてGMTを使用します。このような場合、Paragon Insights内でデバイスまたはデバイスグループにタイムゾーンを割り当てることができます。
デバイスグループレベルでデバイスのタイムゾーンを設定するには:
[構成>デバイス グループ] ページに移動し 、デバイス グループ の名前をクリックします。
編集(鉛筆)アイコンをクリックします。
ポップアップウィンドウで、[ タイムゾーン ]フィールドに値を入力します( 例:-05:00)。
デバイスレベルでデバイスのタイムゾーンを設定するには:
[デバイスの構成] ページに移動し>デバイスの名前をクリックします。
編集(鉛筆)アイコンをクリックします。
ポップアップウィンドウで、[ タイムゾーン ]フィールドに値を入力します(例 -05:00:)。
より具体的なデバイス設定が、デバイス グループ設定よりも優先されます。
デバイスに複数の送信元 IP アドレスを設定する
Paragon Insights GUIで最初に設定された送信元IPアドレスとは異なる送信元IPアドレスを使用してデバイスからsyslogメッセージが届いた場合は、送信元IPアドレスを追加することができます。
追加の送信元 IP アドレスをサポートするには:
[デバイスの構成>] ページに移動し、デバイスの名前をクリックします。
編集(鉛筆)アイコンをクリックします。
ポップアップウィンドウで、[ Syslogソース IP]フィールドにIPアドレスを入力します。
デバイスのホスト名エイリアスの設定
デュアルREを持つデバイスなど、デバイスに複数のホスト名がある場合、syslogメッセージがデバイスのメインホスト名ではないホスト名でParagon Insightsサーバーに届くことがあります。このような場合は、そのデバイスのホスト名エイリアスを追加できます。
IPアドレスを使用してParagon Insightsにデバイスを追加する場合、syslogメッセージに表示されるホスト名も追加する必要があります。
追加のホスト名エイリアスを設定するには:
[デバイスの構成>] ページに移動し、デバイスの名前をクリックします。
編集(鉛筆)アイコンをクリックします。
ポップアップウィンドウで、[ Syslog ホスト名]フィールドにホスト名を入力します。
Syslog - デバイス構成
Syslogでは、少なくとも次の構成要素がデバイスにコミットされている必要があります。
Junos OSバージョン:任意のリリース
必要な構成:
set system syslog host 110.1x.x0.1 any any set system syslog host 10.1x.x0.1 allow-duplicates set system syslog host 10.1x.x0.1 structured-data
## 10.1x.x0.1 = Paragon Insightsサーバー
例:Syslog インジェストを使用したルールの作成
syslog センサーを構成して使用する方法を説明するために、次のようなシナリオを考えてみましょう。
インターフェイスの動作ダウンステータスの監視
構造化イベントと非構造化イベントの 2 つの syslog イベントを使用します
PSEUDO_FPC_DOWN
インターフェイスがダウンするタイミングを示すトリガー付きのルールを使用する
このシナリオを実装するには、次のアクティビティを完了する必要があります。
ワークフローは次のとおりです。
ネットワーク デバイスの設定
この例では、すでにデバイスをParagon Insightsに追加し、デバイスグループに割り当てていることを前提としています。
ネットワーク デバイスへの syslog 設定の追加
まだ行っていない場合は、Paragon Insightsにsyslogデータを送信するようにネットワークデバイスを設定します。前のセクションのデバイス設定例をここで繰り返します。
set system syslog host 10.1x.x0.1 any any set system syslog host 10.1x.x0.1 allow-duplicates set system syslog host 10.1x.x0.1 structured-data
## 10.1x.x0.1 = Paragon Insightsサーバー
SYSLOGインジェストを設定する
イベントパターンの設定
イベントパターンは、何らかのsyslogイベントを監視するための設定です。監視するイベントごとにパターンを作成します。この例では、パターンを使用して、4 つの syslog イベント(2 つは構造化イベント、2 つは非構造化イベント)を監視します。
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
Paragon Insights GUIで、左側のナビゲーションバーにある 設定>取り込み をクリックします。
[取り込み設定] ページの [Syslog ] タブを選択します。
[Syslog] ページで、プラス (+) アイコンをクリックします。
表示されるポップアップウィンドウで、 snmp-if-link-downという名前の最初のパターンに次のパラメーターを入力します。
「 保存してデプロイ」をクリックします。
プラス(+)アイコンをもう一度クリックし、 fpc-offline という名前の 2 番目のパターンに次のパラメーターを入力します。
メモ:[フィルター] フィールドに入力された完全な値は fpc%{ NUMBER:fpc} です。ポート %{WORD:port-status} をマーキングしています。
「 保存してデプロイ」をクリックします。[Syslog] ページに、先ほど作成した 2 つのパターンが表示されます。
パターンの使用上の注意
構造化された syslog の場合:
イベントID(SNMP_TRAP_LINK_DOWN)は、syslogメッセージ内で見つかったイベント名を参照します。
フィールドは、構造化 syslog メッセージではオプションです。フィールドを構成しない場合、メッセージの属性名はフィールド名として扱われます。
ただし、この例ではユーザー定義フィールドがあります。
フィールド名 (if-name、 snmp-index)はユーザーが定義します。
フィールド interface-name 値は、syslog メッセージの属性です。例えば、
ge-0/3/1.0このフィールドの名前は if-name に変更されますフィールド snmp-interface-index 値は、syslog メッセージの属性です。例えば、
ifIndex 539このフィールドは snmp-index に名前が変更されますここでの フィールドsnmp-interface-index は整数として定義されています。デフォルトでは、syslog メッセージから抽出されるフィールドは文字列型ですが、整数型はこれを変更して値を整数として扱います
定数セクションはオプションであり、この例ではユーザー定義の定数があります。
定数名 ifOperStatus はユーザー定義です。この場合、整数値は '2' です。
構造化された syslog ではフィルタ設定はオプションですが、必要に応じて設定できます。使用する場合、フィルターで生成されたフィールドは、syslog メッセージに含まれるフィールドを上書きします。
キー フィールド セクションは省略可能です。デフォルトでは、ホスト名とイベントIDはParagon Insightsが使用するキーになります。ここにキーフィールドを追加します。この例では、 キーフィールド、つまり インターフェイス名があり、名前と値がsyslogメッセージの属性-値のペアから抽出されます
非構造化 syslog の場合:
イベント ID はユーザー定義で、この場合 はPSEUDO_FPC_DOWN
たとえば、構造化されていない syslog も、構造化された syslog も、それに対応する
<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down構造化された syslogNov 22 02:27:05 R1 fpc1 Marking ports downには、イベント ID が含まれていません
フィールドを取得するには、フィルターを使用する必要があります(適切な構造化されたsyslogとは異なります)。この例では
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}、 を使用します。ここで、fpc がフィールド名になり、 NUMBER はメッセージの特定の部分から文字を抽出するために使用される構文 ("2" など) を示しますgrok フィルターに一致する syslog メッセージの例として、「fpc2 ポート ダウンをマークしています」があります。
定数 FPCステータス - 文字列値が「オンライン」です
フィルターについて:
パターンのデフォルトでは、フィールドと定数値は文字列です。整数または浮動小数点数として扱うには、パターンのフィールド・タイプを整数または浮動小数点数として定義します
非構造化パターンの場合、メッセージは基本的にプレーンテキストとして送信され、それ自体ではフィールド情報を含まないため、フィルターを構成する必要があります
フィルターは、イベント ID の後のメッセージの部分と一致するように常に記述する必要があります。これにより、フィルターは、非構造化形式または構造化形式のどちらで到着したかに関係なく、syslogメッセージを解析できます
たとえば、フィルター
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}は以下の syslog メッセージの両方のバージョンに一致します。構造:
<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down非構造化:
Nov 22 02:27:05 R1 fpc1 Marking ports down
既存の syslog イベントパターンファイルのクローニング
Paragon Insightsリリース4.0.0以降、既存のSyslogパターンファイルのクローンを作成できます。
既存のSyslogイベントパターンを複製するには、次の手順に従います。
左側のナビゲーション バーで [ 設定] > [取り込み ] をクリックします。
[取り込み設定] ページが表示されます。
[Syslog] タブをクリックして、[Syslog] ページを表示します。
[Syslog 設定] ページの [イベント パターン] セクションをクリックして展開し、既存の syslog イベント パターンを表示します。
Paragon Insightsリリース4.0.0および4.1.0のパターンファイルのクローンを作成するには、[ クローン ]アイコンをクリックします。
Paragon Insightsリリース4.2.0以降用に特定のテンプレートをクローンするには、テンプレート名の横にあるオプションボタンを選択し、[ クローン]をクリックします。
「 クローン・パターン: <name of syslog pattern> 」ページが表示されます。
「クローン・パターン:<name of syslog pattern>」ページから、次の操作を実行できます。
既存のフィールドの編集
新しいフィールドまたは定数を追加する
キー項目を追加または削除する
[ 保存(Save )] をクリックして設定を保存し、syslog パターンを複製します。
または、[ Save&Deploy ]をクリックして設定を保存し、syslogパターンを複製して、パターンを展開します。
パターンセットへのパターンの追加
パターンを設定したら、それらをパターンセットにグループ化します。
[Syslog] ページで、[ パターン セット] セクションをクリックして展開し、プラス (+) アイコンをクリックします。
表示されるポップアップウィンドウで、次のパラメーターを入力します。
「 保存してデプロイ」をクリックします。[Syslog] ページに、作成したパターン セットが表示されます。
既存の syslog パターン セットのクローン作成
Paragon Insightsリリース4.0.0以降、既存のSyslogパターンセットのクローンを作成できます。
既存のSyslogパターンセットのクローンを作成するには、次の手順に従います。
左側のナビゲーション バーで [ 設定] > [取り込み ] をクリックします。
[取り込み設定] ページが表示されます。
[Syslog] タブをクリックして、[Syslog] ページを表示します。
[Syslog] ページの [パターン セット] セクションをクリックして展開し、既存の syslog パターン セットを表示します。
Paragon Insightsリリース4.0.0および4.1.0のパターンセットをクローンするには、[ クローン ]アイコンをクリックします。
Paragon Insightsリリース4.2.0以降用に特定のテンプレートをクローンするには、テンプレート名の横にあるオプションボタンを選択し、[ クローン]をクリックします。
「 クローン・パターン・セット: <name of pattern-set> 」ページが表示されます。
「クローン・パターン・セット:<name of pattern-set>」ページから、次の操作を実行できます。
名前と説明のフィールドを編集する
[パターン] フィールドのパターンを追加または削除します。
[ Save ] をクリックして設定を保存し、syslog パターン セットのクローンを作成します。
または、[ Save&Deploy ]をクリックして設定を保存し、syslogパターンセットをクローンして、パターンセットを展開します。
ヘッダーパターンの設定
Paragon Insightsリリース4.0.0以降、syslogメッセージのヘッダー部分を解析するためのパターン値を設定できます。このリリースでは、ジュニパー以外のデバイスの非構造化 syslog メッセージがサポートされています。以前のリリースでは、 RFC 5424 標準で規定されている構造化syslogメッセージ、またはジュニパーデバイスの非構造化syslogメッセージのペイロード部分のみを解析できます。
一般的に、構造化されていないsyslogメッセージは、Juniper syslogメッセージのパターンに一致すると想定されます。例えば、ジュニパーのヘッダーパターンはParagon Insightsに組み込まれているため、設定する必要はありません。ただし、ジュニパー以外のデバイスの非構造化syslogメッセージが組み込みパターンと一致しない場合は、ユーザーが設定したヘッダーパターンの1つと最初の一致が行われます。一致が成功すると、フィールドが抽出されます。一致するものがない場合、着信 syslog メッセージはドロップされます。
ヘッダーパターンを設定するには:
左側のナビゲーション バーの [設定] > [取り込み ] に移動します。
[取り込み設定] ページが表示されます。
[Syslog] をクリックして [Syslog] ページを表示します。
[ ヘッダー パターン] セクションをクリックして展開します。
[Syslog] ページの [ヘッダー パターン] セクションが表示されます。このページから、新しいヘッダー パターンを追加したり、既存のヘッダー パターンを編集または削除したりできます。
プラス(+)アイコンをクリックして、新しいヘッダーを追加します。
「 ヘッダー・パターンの追加」 ページが表示されます。
[ ヘッダー パターンの追加] ページに次の情報を入力します。
「 名前 」フィールドにヘッダー・パターンの名前を入力します。
[ 説明 ] フィールドにヘッダー パターンの説明を入力します。
たとえば、このヘッダー パターンを作成する理由を 1 行で説明できます。
ヘッダーパターンのフィルターまたは正規表現( regex )を [フィルター] フィールドに入力します。
メモ:regex101.com を使用して、ヘッダー パターンに追加するフィルター パターンを編集、検証、および変更できます。
フィルター パターンの例としては、 (.*):([A-Z][a-z]{2} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2}\.\d*)\s:\s([a-z]*)\[(\d*)\]:\s*(.*)\s*.
フィールドセクションのlog-host、log-timestamp、およびlog-message-payloadは、ヘッダーの位置を決定する必須フィールドです。
[フィールド] セクションで、
[ログホスト] をクリックし、次の情報を入力します。
「 名前 」フィールドにログ・ホストの名前を入力します。
log-host が既定の名前です。
[ 説明 ] フィールドにログ ホストの説明を入力します。
デフォルトの説明は 「ホスト名の位置」です。
キャプチャ グループの値をプレフィックス $ を付けて [ From ] フィールドに入力します。
キャプチャー・グループは、 ログ・ホスト がヘッダー内のどの位置から開始するかを決定します。
[ログ タイムスタンプ] をクリックし、次の情報を入力します。
[ 名前 ] フィールドにログ タイムスタンプの名前を入力します。
ログタイムスタンプ がデフォルト名です。
[ 説明 ] フィールドにログタイムスタンプの説明を入力します。
既定の説明は [タイム スタンプの位置] です。
キャプチャ グループの値をプレフィックス $ を付けて [ From ] フィールドに入力します。
キャプチャー・グループは、ヘッダー内のどの位置から ログ・タイム・スタンプ を開始するかを決定します。
メモ:タイムスタンプ形式が、サンプルのタイムスタンプ形式 "
Jan _2 15:04:05 2006" に従っていることを確認します。そうしないと、syslogメッセージの解析が未定義の動作につながります。「ログ・メッセージ・ペイロード」をクリックし、以下の情報を入力します。
[ Name ] フィールドにログ メッセージ ペイロードの名前を入力します。
ログメッセージペイロード がデフォルト名です。
[説明] フィールドにログ メッセージ ペイロードの説明を入力します。
デフォルトの説明は [ペイロードの位置] です。
キャプチャ グループの値をプレフィックス $ を付けて [ From ] フィールドに入力します。
キャプチャー・グループは、ヘッダー内のどの位置から ログ・メッセージ・ペイロード を開始するかを決定します。
(オプション)プラス (+) アイコンをクリックして、新しいフィールドを追加します。
[ 名前 ] フィールドに新しいフィールドの名前を入力します。
[ 説明 ] フィールドに新しいフィールドの説明を入力します。
キャプチャ グループの値をプレフィックス $ を付けて [ From ] フィールドに入力します。
キャプチャー・グループは、ヘッダー内のどの位置から新規フィールドを開始するかを決定します。
1 つ以上のフィールドを追加するには、プラス (+) アイコンをクリックします。
[ キー フィールド ] テキスト ボックスにキー フィールドの名前を入力します。
「保存」をクリックして構成を保存するか、「保存 & Deploy」をクリックして構成を保存し、すぐに展開します。
または、構成をキャンセルするには、[ キャンセル] をクリックします。
既存のヘッダーパターンの編集
設定済みのヘッダーパターンを編集するには:
左側のナビゲーション バーの [設定] > [取り込み ] に移動します。
[取り込み設定] ページが表示されます。
[Syslog] をクリックして [Syslog] ページを表示します。
[ ヘッダー パターン] セクションをクリックして展開します。
[Syslog 設定] ページの [ヘッダー パターン] セクションが表示されます。
ヘッダーパターン名の横にあるチェックボックスをオンにして編集するヘッダーパターンを選択し、[ 編集](鉛筆) アイコンをクリックします。
「ヘッダー・パターンの編集」 Header Name ページが表示されます。
必須フィールドを編集したら、[ 保存(Save )] をクリックして構成を保存します。
[ Save&Deploy ] をクリックして、編集した構成を保存し、すぐに展開することもできます。
ルールの作成、プレイブックの適用
Syslog センサーを使用したルールの設定
syslog の取り込み設定が完了したら、syslog をセンサーとして使用してルールを作成できます。
このルールには、次の 3 つの要素が含まれます。
Syslogセンサー
対象のデータをキャプチャする 4 つのフィールド
インターフェイスがダウンしたことを示すトリガー
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
左側のナビゲーション バーで [ 構成] > [ルール ] をクリックします。
[ルール] ページで、[ + ルールの追加] ボタンをクリックします。
表示されるページのルールウィンドウの一番上の行で、ルール名を設定します。この例では、 check-interface-statusです。
必要に応じて、説明と概要を追加します。
[+ センサーの追加] ボタンをクリックし、[センサー] タブに次のパラメーターを入力します。
次に、[フィールド] タブに移動し、[+ フィールド の追加 ] ボタンをクリックして、次のパラメーターを入力して、 event-id という名前の最初のフィールドを構成します。
[+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、fpc-slot という名前の 2 番目のフィールドを構成します。
[+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、if-name という名前の 3 番目のフィールドを構成します。
[+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、snmp-index という名前の 4 番目のフィールドを構成します。
次に、[トリガー] タブに移動し、[ + トリガーの追加 ] ボタンをクリックして、次のパラメーターを入力して、 link-down という名前のトリガーを構成します。
ウィンドウの右上にある [+ Save & Deploy ] ボタンをクリックします。
ルールの使用上の注意
[センサー] タブ
センサー名 if-status-sensor はユーザー定義です
センサーの種類は syslog です
パターンセット check-interface-status - 以前に設定されたパターンセットへの参照
設定しない場合、[最大保持期間] の既定値は 1 です
[フィールド] タブ
4 つのフィールドが定義されています。パターンは 4 つ以上のデータ フィールドをキャプチャしていますが、この例では 4 つの対象フィールドを定義します。これらのフィールドは、トリガー設定で使用されます
フィールド名(event-id、 fpc-slot、 if-name、 snmp-index)は、ユーザーが定義します
パス イベントID - 生のテーブルに syslog インジェストによって作成されたデフォルトフィールド。パターン構成からフィールドを参照します
path fpc - 非構造化パターン構成で使用されるフィルターからの値を参照します。
path if-name - パターン構成からフィールドを参照します。
すべてのインターフェイスが欠落している場合のデータ - if-name 値が syslog メッセージに含まれていない場合は、文字列値「all interfaces」を使用します。
パス snmp-index - パターン設定からフィールドを参照します。
[トリガー] タブ
トリガー名の リンクダウン はユーザー定義です
頻度 2s - Paragon Insightsが2秒ごとにリンクダウンsyslogメッセージを確認する
用語 はリンクダウン - $event-ID が SNMP_TRAP_LINK_DOWNような場合、過去 300秒間のsyslogメッセージで、 赤 にしてメッセージを表示します $if-name(snmp-id:$snmp-index)のリンクダウン
$event-id - $ は、ルール フィールド event-id を参照することを示します
$if-name(snmp-id: $snmp-index) のリンク ダウン - 例:「FPC 2 の ge-2/0/0 のリンク ダウン」
$if-name :フィールド値、つまりsyslogメッセージ内のインターフェイスの名前を参照します
term is-fpc-down - $event-id が like PSEUDO_FPC_DOWN の場合、過去 300 秒間の syslog メッセージで、赤色にして FPC$fpc-slot の$if名のリンク ダウン メッセージを表示します。
$event-id - $ は、ルール フィールド event-id を参照することを示します。
$if名 - "すべてのインターフェイス"
FPC$fpc-slot の$if名の リンク ダウン - 例: "FPC 2 のすべてのインターフェイスのリンク ダウン"
プレイブックへのルールの追加
ルールを作成したら、プレイブックに追加できます。この例では、新しいルールを保持する新しいプレイブックを作成します。
左側のナビゲーション バー で [構成] > [プレイブック] をクリックします。
[プレイブック] ページで、[ + プレイブックの作成 ] ボタンをクリックします。
表示されるページで、次のパラメーターを入力します。
「 保存 & デプロイ」をクリックします。
デバイス グループへのプレイブックの適用
プレイブックを利用するには、それをデバイス グループに適用します。
[プレイブック] ページで、インターフェイスステータスの確認プレイブックの [適用 (飛行機)] アイコンをクリックします。
表示されるページで、次の操作を行います。
名前を入力
目的のデバイスグループを選択します
「 インスタンスの実行」をクリックします。
[プレイブック] ページで、プレイブック インスタンスが実行されていることを確認します。プレイブックのアクティブ化には時間がかかる場合があることに注意してください。
デバイスの監視
プレイブックを適用すると、デバイスの監視を開始できます。
左側のナビゲーション バーで [デバイス グループの正常性の監視] > をクリックし、[デバイス グループ] プルダウン メニューからプレイブックを適用した デバイス グループ を選択します。
監視するデバイスを 1 つ以上選択します。
タイル ビューでは、外部というラベルの付いたタイルには、前に構成したルールのパラメーターが含まれています。
この例では、ルール トリガーに "緑" の用語が含まれていないため、問題があるときは状態が赤で表示され、それ以外の場合は灰色 (データなし) が表示されます。
SNMPトラップおよびインフォーム通知
Paragon Insightsリリース4.0.0は、障害管理のためにネットワーク内のデバイスから送信されるインフォーム通知とトラップ通知をサポートしています。トラップとインフォームは、ネットワークの状態変化に関する通知であり、 SNMPマネージャー (Paragon Insights)と SNMPエージェント (デバイス)の間で送信され、Paragon Insightsがトリガー評価を実行します。Paragon Insightは、SNMP通知ルールを含むプレイブックが指定されたデバイスに対して実行されている場合にのみ、設定されたデバイスからのトラップとインフォームを処理します。それ以外の場合、トラップまたはインフォームメッセージはSNMPマネージャによって破棄されます。
次のセクションでは、関連する用語、CLIを使用したトラップとインフォームの設定、ポートの設定、CLIを使用したSNMPトラップのアクセスステータスについて説明します。
SNMPトラップ通知は、SNMPv2cおよびSNMPv3でサポートされています。SNMPインフォームメッセージは、SNMPv3プロトコルを使用する場合のみサポートされます。
用語 集
以下の用語は、SNMPトラップやインフォームに関連するプロセスや概念を説明するときに使用します。
権限のあるエージェント — 2 つのエンティティ (エージェントとマネージャー) 間の SNMPv3 トランザクションでは、通知の送信フローは、SNMPv3 の固有の機能である認証とプライバシーによって制御されます。認証は、SNMPv3 メッセージの送信元を識別して検証します。プライバシー機能は、パケット アナライザがメッセージを暗号化してその内容をスヌーピングするのを防ぎます。
通知フローを制御するエンティティは、権限のあるエージェントと呼ばれます。SNMPv3 では、権限のないエンティティは、通信を成功させるために権限のあるエージェントの を知っている <Engine ID> 必要があります。
トラップまたはトラップメッセージ:トラップは、SNMPエージェントからSNMPマネージャーに送信される未確認通知です。トラップメッセージでは、SNMPエージェントが権限のあるエージェントです。管理者は、SNMP v3 <user> (ローカルの IAM ユーザーとは異なる)および<Context Engine ID>トラップメッセージを送信するデバイス上で設定する必要があります。トラップの場合、 <Context Engine ID> はSNMPエージェントを一意に識別する に設定されますEngine ID。
インフォームまたはインフォームメッセージ:インフォームは、SNMPエージェントからSNMPマネージャーに送信される通知でもあります。インフォームメッセージでは、SNMPマネージャーが権限のあるエージェントです。設定は、リモート権限エージェントであるSNMPマネージャーの詳細とともに、インフォームメッセージを送信する必要があるデバイス上で行われます。管理者は、リモート SNMP マネージャーで見つかった を設定する必要があります<user>。
エンジンID : <Engine ID> SNMPエージェントを一意に識別する特定のエージェントに対して生成される16進数で、特定の管理ドメイン全体で一意である必要があります。また、再起動またはアップグレード間で永続的である必要があります。
セキュリティエンジンID:エージェントとマネージャ間のSNMP通信のセキュリティパラメータです。通常、関係する権限のあるエージェントの に設定されます<Engine ID>。トラップ メッセージには、ヘッダーとトラップ PDU(プロトコル データ ユニット)の 2 つの部分があります。ヘッダーには、トラップ設定内の と セットが含まれています<Security Engine ID><username>。エージェントがトラップを送信すると、トラップヘッダー内のこれらのパラメータが、USMテーブルに格納されている詳細と照合されます。トラップは、一致した場合にのみさらに処理されます。
コンテキストエンジンID : <Context Engine ID> トラップPDUの一部です。元のトラップメッセージを送信したデバイスを一意に識別します。 <Context Engine ID> ほとんどの場合 <Security Engine ID> 、同一です。
USMテーブル:トラップを受信するSNMPマネージャは、トラップメッセージの送信元を検証するためのキーとしておよび <username> を持つUSMテーブル(ユーザーベースセキュリティモデル)<Security Engine ID>を維持する必要があります。
SNMPプロキシの仮想IPアドレス — Paragon InsightはKubernetesアプリケーションとして導入され、仮想IPアドレスを外部エンティティに公開するロードバランサーを使用します。メッセージがロード バランサー経由でルーティングされると、トラップ メッセージの送信元 IP アドレスはロード バランサーの IP アドレスに設定されます。
SNMP エージェントの送信元 IP アドレスを保持する必要があるサービスに排他的仮想 IP アドレスを割り当てる場合、ロード バランサーには送信元 IP アドレスを保持するオプションがあります。SNMP 通知では、メッセージの解析に送信元 IP アドレスが必要なため、SNMP プロキシに排他的仮想 IP を割り当てる必要があります。ターゲット アドレスと同じ仮想 IP をデバイスまたはデバイス グループに構成する必要があります。
ネットワーク内のインターフェイス フラップなどのイベントによって、複数のインフォーム通知またはトラップ通知を作成できます。通知の順序を決定するには、Paragon InsightsがSNMP通知を送信するデバイスのタイムスタンプをナノ秒単位でキャプチャする必要があります。ただし、SNMPプロトコルは、通知がParagon Insightに到達すると、デバイスのタイムスタンプ(秒単位)を記録します。SNMP 通知は UDP 経由で送信されるため、SNMP 通知の順序も保証されません。
SNMP 通知の順序をキャプチャできるように、通知パケットの SNMP ヘッダーから次のフィールドが解析されます。
メッセージ ID: SNMP メッセージを識別し、メッセージへの応答を照合するためにデバイスによって使用されます。メッセージIDはSNMPヘッダーで確認できます。
SNMP トラップまたはインフォーム通知のルールを作成する場合、フィールドのパス __msg_id__ を使用してメッセージ ID を収集します。
要求 ID: SNMP プロトコル データ ユニット (PDU) を識別するために使用されます。リクエストIDはトラップまたはインフォームPDUで確認できます。
SNMP トラップまたはインフォーム通知のルールを作成する場合、フィールドのパス __req_id__ を使用して要求 ID を収集します。
SNMP バージョン: SNMP 通知のバージョン番号 (2 または 3) を識別します。
SNMP トラップまたはインフォーム通知のルールを作成する場合、フィールドのパス __version__ を使用してバージョン番号を収集します。
SNMP PDUタイプ: SNMP通知のタイプ(v2cトラップまたはインフォームリクエスト)を識別します。
SNMPトラップまたはインフォーム通知のルールを作成する場合、フィールドのパス __pdu_type__ を使用してPDUタイプを収集します。
時系列データベースにキャプチャされたSNMP PDUタイプフィールドデータは、すべてのSNMPトラップ通知のv2cを示しています。バージョン番号を確認して、トラップが SNMP v2c または SNMP v3 のどちらを使用して生成されたかを判断できます。
構成
次のセクションでは、次の方法について詳しく説明します。
エンジン ID を確認する
トラップまたはインフォーム通知を送信するようにデバイスを構成するかどうかに応じて、まずいずれかのSNMPエージェントの を見つける <Engine ID> 必要があります。以下のサンプル コマンドを参照すると、Junos デバイスのエンジン ID を確認できます。
検索 <Engine ID> する CLI コマンドは、ベンダーによって異なります。
JunosベースのプラットフォームであるSNMPエージェント(デバイス)を見つける <Engine ID> には、CLIで次のコマンドを入力します。
show snmp v3 engine-id
デバイス <Engine ID>としてHEX出力を受け取ります。
トラップ設定
SNMPv2c と SNMPv3 を使用してトラップ通知を送信するようにデバイスを設定できます。
送信元 IP アドレスはデバイスを一意に識別するため、すべてのデバイスで一意である必要があります。送信元 IP アドレスは [デバイス] でのみ設定できますが、コミュニティ名は [デバイスとデバイス グループ] の両方で設定できます。
Paragon Insightsでは、SNMPv2cとSNMPv3のインジェストとトラップの構成は同じワークフローを共有しています。
デバイスレベルでSNMPトラップ通知を設定するには:
左側のナビゲーション バー で [デバイスの構成> ] オプションをクリックします。
デバイスの追加ボタン(+)をクリックします。
テキスト ボックスに必要な値を入力し、デバイスに適したオプションを選択します。
次の表では、[ デバイスの追加 ] ウィンドウの属性について説明します。
表 5: デバイスの追加ページの詳細 属性
説明
名前
デバイスの名前。デフォルトはホスト名です。(必須)
ホスト名/IPアドレス/範囲
単一デバイスのホスト名またはIPアドレス。IP アドレスの範囲を指定する場合は、アドレス範囲の開始と終了をマークするデバイスの IP アドレスを入力します。(必須)
Snmp
SNMP ポート番号
SNMP に必要なポート番号。ポート番号は標準値の 161 に設定されます。
SNMPバージョン
ドロップダウン メニューで [ v2c ] または [v3 ] を選択します。
SNMP コミュニティ
このフィールドは、[ SNMP バージョン ] フィールドで v2c を選択した場合に表示されます。
トラップ通知用に SNMPv2c を設定する場合は、SNMP コミュニティ文字列を入力します。
SNMPv2c では、コミュニティ文字列を使用して、SNMP エージェント(ルーター、スイッチ、サーバーなどのデバイス)が発行するトラップ メッセージの信頼性を検証します。
SNMPv3ユーザー名
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
トラップ通知のユーザー名を入力します。
認証: なし
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
SNMPv3 認証を None に設定する場合は、このオプションを有効にします。
プロトコルなし
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
SNMPv3 プロトコルを None に設定する場合は、このオプションを有効にします。
SNMPv3認証プロトコル
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[ 認証なし] を無効にした場合に表示されます。
ドロップダウンメニューから認証プロトコルを選択します。
SNMP 認証プロトコルは、入力したパスフレーズで SNMP username をハッシュします。ハッシュされた出力は、トラップ通知メッセージとともに送信されます。Paragon Insightsは、認証用に入力したパスフレーズで を再度 username ハッシュします。出力が一致すると、トラップ通知がさらに処理されます。
SNMPv3認証パスフレーズ
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[ プライバシーなし] を無効にした場合に表示されます。
SNMPv3認証のパスフレーズを入力します。
SNMPv3プライバシープロトコル
ドロップダウンメニューからプライバシープロトコルを選択します。
プライバシーアルゴリズムは、トラップ通知メッセージをプロトコルパスフレーズで暗号化し、ネットワーク内の不正アプリケーションがメッセージを読み取ることができないようにします。
SNMPv3プライバシーパスフレーズ
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[プライバシーなし] を無効にした場合に表示されます。
トラップ通知を暗号化するためのパスフレーズを入力します。
コンテキストエンジンID
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
は Engine ID 、SNMP エージェントの engine-id に設定する必要があります。
送信元 IP アドレス
デバイスの を入力します source IP address 。
このフィールドは、SNMPv2c トラップでは必須で、SNMPv3 トラップおよびインフォームではオプションです。
NAT または SNMP プロキシを使用する場合は、SNMP プロキシ用に構成する仮想 IP アドレスを送信元 IP アドレスとして設定する必要があります。
SNMP プロキシの仮想 IP アドレスを設定するには、左側のナビゲーション バーの [ 設定] > [展開 ] に移動します。[ロードバランサー] ページで、仮想 IP アドレスを入力し、[ 保存してデプロイ] ボタンをクリックします。
[保存]をクリックして設定をコミットするか、[保存して展開]をクリックしてParagon Insightsに設定を展開します。
デバイスグループレベルでSNMPトラップ通知を設定するには:
左側のナビゲーション バー で [デバイス グループ>構成 ] オプションをクリックします。
グループの追加ボタン(+)をクリックします。
テキスト ボックスに必要な値を入力し、デバイス グループに適したオプションを選択します。
次の表では、[ デバイス グループの追加 ] ウィンドウの属性について説明します。
表 6: [デバイス グループの追加] ページの詳細 属性
説明
名前
デバイス グループの名前。(必須)
説明
デバイス グループの説明。
デバイス
ドロップダウン リストからデバイス グループにデバイスを追加します。(必須)
Paragon Insightsリリース4.0.0以降、デバイスグループごとに50台を超えるデバイスを追加できます。ただし、追加できるデバイス数の実際の規模は、使用可能なシステム リソースによって異なります。
たとえば、120 台のデバイスのデバイス グループを作成するとします。リリース 4.0.0 より前のリリースでは、それぞれ 50、50、20 デバイスの 3 つのデバイス グループを作成することを推奨します。Paragon Insightsリリース4.0.0では、デバイスグループを1つ作成するだけです。
Snmp
SNMP ポート番号
SNMP に必要なポート番号。ポート番号は標準値の 161 に設定されます。
SNMPバージョン
ドロップダウン メニューで [ v2c ] または [v3 ] を選択します。
v2c を選択すると、[SNMP コミュニティ名] フィールドが表示されます。v2c 認証で使用される文字列は、デフォルトで に設定されていますpublic。ユーザーはコミュニティ文字列を変更することをお勧めします。
v3 を選択すると、ユーザー名、認証とプライバシー方法、および認証とプライバシーの秘密を設定するオプションが表示されます。
通知ポート
通知ポートをカンマで区切って入力します。
Paragon Insightは、これらの通知ポートで、デバイスグループからのトラップとインフォーム通知メッセージをリッスンします。
SNMP コミュニティ
このフィールドは、[ SNMP バージョン ] フィールドで v2c を選択した場合に表示されます。
トラップとインジェスト用にSNMPv2cを設定する場合は、SNMPコミュニティ文字列を入力します。
SNMPv2c では、SNMP エージェントが発行するトラップ通知メッセージの信頼性を検証するためにコミュニティ文字列が使用されます。
SNMPv3ユーザー名
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
トラップ通知のユーザー名を入力します。
デバイスグループの下に設定されたUSM設定は、同じデバイスグループの下に設定されたデバイス間で共有されます。
認証: なし
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
SNMPv3 認証を None に設定する場合は、このオプションを有効にします。
プライバシー: なし
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。
SNMPv3 プライバシープロトコルを None に設定する場合は、このオプションを有効にします。
SNMPv3認証プロトコル
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[ 認証なし] を無効にした場合に表示されます。
ドロップダウンメニューから認証プロトコルを選択します。
SNMP 認証プロトコルは、入力したパスフレーズで SNMP username をハッシュします。ハッシュされた出力は、トラップ通知メッセージとともに送信されます。Paragon Insightsは、認証用に入力したパスフレーズで を再度 username ハッシュします。出力が一致すると、トラップ通知がさらに処理されます。
SNMPv3認証パスフレーズ
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[ プライバシーなし] を無効にした場合に表示されます。
SNMPv3認証のパスフレーズを入力します。
SNMPv3プライバシープロトコル
ドロップダウンメニューからプライバシープロトコルを選択します。
プライバシーアルゴリズムは、トラップ通知メッセージをプロトコルパスフレーズで暗号化し、ネットワーク内の不正アプリケーションがメッセージを読み取ることができないようにします。
SNMPv3プライバシーパスフレーズ
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択し、[プライバシーなし] を無効にした場合に表示されます。
トラップ通知を暗号化するためのパスフレーズを入力します。
ロギング設定
SNMP 通知
Paragon Insightsリリース4.0.0は、SNMP通知のログデータの収集をサポートしています。デバイスグループ内のsnmp通知サービスのログの異なる重大度レベルを収集できます。
これらのフィールドを使用して、収集するログ レベルを構成します。
Global Log Level ドロップダウンリストから、デバイスグループに対して実行中のParagon Insightsサービスごとに収集するログメッセージのレベルを選択します。このレベルは、デフォルトで error に設定されています。
Log Level for specific services [グローバル ログ レベル( Global Log Level )] 設定とは異なる方法で構成する特定のサービスのドロップダウン リストからログ レベルを選択します。特定のサービスに対して選択したログレベルは、[ グローバルログレベル ] 設定よりも優先されます。
[保存]をクリックして設定をコミットするか、[保存して展開]をクリックしてParagon Insightsに設定を展開します。デバイス グループ カードの使用方法については、次を参照してください:デバイスとネットワークの状態を監視する。
SNMPv3 インフォーム設定
デバイスがインフォーム通知を送信できるようにするには、SNMPv3 USMユーザーを設定する必要があります。
Paragon InsightsでUSMユーザーを作成するには:
[設定] > [取り込み] に移動します。
[取り込み設定] ページの [SNMP 通知 ] タブを選択します。
[ Usm ユーザー ] セクションをクリックします。
プラス(+)アイコンをクリックして、USM ユーザーを追加します。
[USM ユーザーの追加] ページで、ユーザー名を入力し、認証とプライバシー プロトコルを選択して、パスフレーズを入力します。
[認証なし] と [プライバシーなし] を有効にした場合、プロトコル メニューとパスフレーズのフィールドは表示されません。
[ 保存 ] をクリックして構成のみを保存し、[ 保存して展開] をクリックして構成を Insights に展開します。
USM ユーザーを追加した後、デバイス構成の デバイスの追加 ページまたはデバイス グループ構成のデバイス グループの追加ページで、次の詳細を構成できます。
属性 |
説明 |
|---|---|
Snmp |
|
SNMP ポート番号 |
SNMP に必要なポート番号。ポート番号は標準値の 161 に設定されます。 |
SNMPバージョン |
ドロップダウン メニューで [v3 ] を選択します。 |
通知ポート(デバイス グループのみ) |
通知ポートをカンマで区切って入力します。 Paragon Insightは、これらの通知ポートで、デバイスグループからのトラップとインフォーム通知メッセージをリッスンします。 |
コンテキスト エンジン ID(デバイスのみ) |
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。 は Engine ID 、SNMP エージェントの engine-id に設定する必要があります。 |
送信元 IP アドレス(デバイスのみ) |
このフィールドは、[ SNMP バージョン ] フィールドで v3 を選択した場合に表示されます。 デバイスの を入力します source-IP-address 。 NAT または SNMP プロキシを使用する場合は、SNMP プロキシ用に構成する仮想 IP アドレスを送信元 IP アドレスとして設定する必要があります。 SNMP プロキシの仮想 IP アドレスを設定するには、左側のナビゲーション バーの [ 設定] > [展開 ] に移動します。「ロードバランサー」ページで、仮想 IP アドレスを入力し、「 保存してデプロイ」をクリックします。 |
Paragon Insights 4.2.0以降、生データメトリックとして収集 _device_timestamp_ できるようになりました。デバイスタイムスタンプ(秒)は、インフォーム通知がデバイスから送信された時間を示します。
インフォーム通知のデバイスタイムスタンプは、インフォームメッセージの認証を設定した場合のみ、SNMPセンサーによってキャプチャされます。
SNMPトラップ通知のデバイスタイムスタンプデータは、Paragon Insightsの 受信時間 メトリックと同じです。トラップのデバイスタイムスタンプとトラップ通知の 時間 メトリックは、Paragon InsightsがSNMP通知を受信した時間を示します。
ポート構成
デフォルトでは、Paragon Insightは標準のSNMPトラップポート162でトラップとインフォームをリッスンします。これは、必要に応じて、すべてのデバイス グループに適用されるグローバル レベルまたは特定のデバイス グループに適用されるデバイス グループ レベルで変更できます。
INGEST で構成されたポートは、すべてのデバイス グループに適用されます。その他のポートを介して受信されたトラップおよびインフォームメッセージは破棄されます。
取り込みレベルでポート番号を設定するには:
左側のナビゲーション バーの [設定] > [取り込み ] に移動します。
[取り込み設定] ページの [SNMP 通知 ] タブを選択します。
[ ポート ] セクションで、ポート番号を入力します。
[ 保存 ] をクリックして構成のみを保存し、[ 保存して展開] をクリックして構成を Insights に展開します。
デバイス グループで構成されたポートは、特定のデバイス グループにのみ適用されます。その他のポートを介して受信されたトラップとインフォームは破棄されます。デバイス・グループ・レベルでポート番号を構成するには、 表 6 を参照してください。
ルール構成
デバイスがトラップまたはインフォーム通知を送信するように設定されたら、Paragon Insightsがデバイスからのトラップを処理できるように、SNMPトラップを含むルールをデバイスに設定する必要があります。デバイスグループでは、snmp通知ルールを持つプレイブックインスタンスを適用できます。ルールでSNMP通知を設定する場合、監視したいMIB名を選択する必要があります。Junos デバイスの MIB ファイルを参照するには Juniper MIBS エクスプローラ に移動し、シスコ デバイスの MIB ファイルを参照するには Cisco MIBS ロケータ に移動します。
次の例は、 chassis.interfaces/ トピックのインターフェイスが起動した場合にアラートを送信するルールを SNMP 通知で設定する方法を示しています。
SNMP トラップ通知用のデバイスまたはデバイス グループを設定済みであることを前提としています。デバイスまたはデバイスグループでSNMPトラップ通知を設定するには、 Paragon Insightsプルモデル取り込み方法 を参照してください。
トピック system.trap/ でルールを設定するには、以下のようにします。
[構成>ルール] に移動します。
[ルール] ページの [ ルールの追加] ボタンをクリックします。
[ルール] フィールドに トピック/ルール名の形式でルール 名を入力し、[説明] フィールドに説明を入力します。たとえば、 chassis.interfaces/linkup.
[センサー]タブの[ センサーの追加 ]ボタンをクリックします。
[センサー名] フィールドに名前を入力し、[センサー タイプ] のドロップダウン メニューから選択します SNMP Notification 。
通知名を MIB-Name::Notification Name 形式で入力します。
たとえば、 IFMIB::linkDown.
[フィールド] タブの [ フィールドの追加 ] ボタンをクリックします。
SNMP通知ルールのフィールドは、次のように導き出すことができます。
指定されたトラップの変数(varbinds)。
トラップの変数は、フィールドとして定義できます。次の手順では、この例 IfAdminStatus を varbind および IF-MIB:linkDown snmp-notification として使用します。
フィールド名を入力します IfAdminStatus 。
[フィールド タイプ] を選択しますInteger。
GUI に入力する フィールド タイプ は、MIB ファイルで定義されているタイプと同じである必要があります。
取り込みタイプ(フィールドソース)として選択しますSensor。
取り込みタイプ (フィールド ソース) を センサー に設定する必要があります。
[センサー] の下のドロップダウン メニューからセンサー名を選択します。
センサー名は、SNMP 通知センサーに入力した名前です。
センサーパスとして入力します IfAdminStatus 。
パスは、MIBファイルで定義された変数(varbind)名に設定する必要があります。
特定のsnmp通知の変数として(varbind)の IfOperStatus 2番目のフィールドを追加するには、ここで説明する手順に従いますが、フィールド名とセンサーパスを IfOperStatusに変更します。
[保存]をクリックしてルールをコミットするか、[保存]をクリックしてParagon Insightsにルールを展開します。
既存のルールのリストに新しいトピック名とルールが表示されます。
追加したフィールドに基づいてトリガーまたは関数を構成することもできます。 Paragon Insightsのルールとプレイブックで説明されているGUIで新しいルールを作成する方法を参照してください。
このルールをプレイブックに含め、デバイスまたはデバイス グループにプレイブック インスタンスを適用する必要があります。
デバイスグループから送信された新しいSNMP通知を確認するには、rootユーザーとしてParagon Insightsサーバーにログインし、次のコマンドを入力します。
healthbot cli --device-group healthbot -s influxdb
設定したフィールド(例えば、IfAdminStatus)について、SNMPトラップ通知によってParagon Insightsサーバーに送信された新しいエントリーを追跡できます。