Freigeben über


Zugreifen auf Syslog-Daten in Container Insights

Container Insights bietet die Möglichkeit, Syslog-Ereignisse von Linux-Knoten in Ihren AKS-Clustern (Azure Kubernetes Service) zu sammeln. Dies umfasst die Möglichkeit, Protokolle von Komponenten der Steuerungsebene wie Kubelets zu sammeln. Kund*innen können Syslog auch zum Überwachen von Sicherheits- und Integritätsereignissen verwenden, in der Regel durch Erfassung von Syslog in SIEM-Systemen wie Microsoft Sentinel.

Voraussetzungen

  • Die Syslog-Sammlung muss für Ihren Cluster aktiviert werden, indem Sie die Anleitung in Konfigurieren und Filtern der Log-Sammlung in Container-Insights verwenden.

  • Port 28330 sollte auf dem Hostknoten verfügbar sein.

  • Stellen Sie sicher, dass die HostPort-Funktionalität im Cluster aktiviert ist. In Cilium Enterprise ist die HostPort-Funktionalität beispielsweise nicht standardmäßig aktiviert, weshalb die Syslog-Funktion nicht funktioniert.

Integrierte Arbeitsmappen

Um eine schnelle Momentaufnahme Ihrer Syslog-Daten zu erhalten, verwenden Sie das integrierte Syslog-Workbook mit einer der folgenden Methoden:

Hinweis

Die Registerkarte Berichte ist nicht verfügbar, wenn Sie die Prometheus-Umgebung von Container Insights für Ihren Cluster aktivieren.

  • Berichte-Registerkarte in Container-Insights. Navigieren Sie im Azure-Portal zu Ihrem Cluster, und öffnen Sie die Insights. Öffnen Sie die Registerkarte Berichte und suchen Sie nach dem Syslog-Workbook.

    Video der Syslog-Arbeitsmappe, auf die über die Registerkarte „Container-Erkenntnisberichte“ zugegriffen wird.

  • Workbooks-Registerkarte in AKS Navigieren Sie zu Ihrem Cluster im Azure-Portal. Öffnen Sie die Registerkarte Workbooks und suchen Sie nach dem Syslog-Workbook.

    Video der Syslog-Arbeitsmappe, auf die über die Registerkarte „Clusterarbeitsmappen“ zugegriffen wird.

Grafana-Dashboard

Wenn Sie Grafana verwenden, können Sie das Syslog-Dashboard für Grafana verwenden, um eine Übersicht über Ihre Syslog-Daten zu erhalten. Dieses Dashboard ist standardmäßig verfügbar, wenn Sie eine neue von Azure verwaltete Grafana-Instanz erstellen. Andernfalls können Sie das Syslog-Dashboard aus dem Grafana Marketplace importieren.

Hinweis

Sie benötigen im Abonnement, das die von Azure verwaltete Grafana-Instanz enthält, die Rolle Überwachungsleser, um von Container Insights aus auf Syslog zuzugreifen.

Screenshot: Syslog-Grafana-Dashboard

Protokollabfragen

Syslog-Daten werden in der Syslog-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. Sie können eigene Protokollabfragen in Log Analytics erstellen, um diese Daten zu analysieren oder eine der vordefinierten Abfragen zu verwenden.

Screenshot: Syslog-Abfrage, die im Abfrage-Editor auf der Benutzeroberfläche des Azure Monitor-Portals geladen wurde

Sie können Log Analytics über das Menü Protokolle im Menü Überwachen öffnen, um auf Syslog-Daten für alle Cluster zuzugreifen, oder über das Menü des AKS-Clusters, um auf Syslog-Daten nur für einen einzelnen Cluster zuzugreifen.

Screenshot: Abfrage-Editor mit Syslog-Abfrage

Beispielabfragen

Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die Syslog-Protokolldatensätze abrufen.

Abfrage BESCHREIBUNG
Syslog Alle Syslog-Datensätze
Syslog | where SeverityLevel == "error" Alle Syslog-Datensätze mit Fehlerschweregrad
Syslog | summarize AggregatedValue = count() by Computer Anzahl der Syslog-Datensätze je Computer
Syslog | summarize AggregatedValue = count() by Facility Anzahl der Syslog-Datensätze je Einrichtung
Syslog | where ProcessName == "kubelet" Alle Syslog-Datensätze aus dem Kubelet-Prozess
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Syslog-Datensätze aus dem Kubelet-Prozess mit Fehlern

Nächste Schritte

Nach dem Setup können Kunden mit dem Senden von Syslogdaten an die Tools ihrer Wahl beginnen

Teilen Sie Ihr Feedback für dieses Feature hier: https://forms.office.com/r/BBvCjjDLTS