Zugreifen auf Syslog-Daten in Container Insights
Container Insights bietet die Möglichkeit, Syslog-Ereignisse von Linux-Knoten in Ihren AKS-Clustern (Azure Kubernetes Service) zu sammeln. Dies umfasst die Möglichkeit, Protokolle von Komponenten der Steuerungsebene wie Kubelets zu sammeln. Kund*innen können Syslog auch zum Überwachen von Sicherheits- und Integritätsereignissen verwenden, in der Regel durch Erfassung von Syslog in SIEM-Systemen wie Microsoft Sentinel.
Voraussetzungen
Die Syslog-Sammlung muss für Ihren Cluster aktiviert werden, indem Sie die Anleitung in Konfigurieren und Filtern der Log-Sammlung in Container-Insights verwenden.
Port 28330 sollte auf dem Hostknoten verfügbar sein.
Stellen Sie sicher, dass die HostPort-Funktionalität im Cluster aktiviert ist. In Cilium Enterprise ist die HostPort-Funktionalität beispielsweise nicht standardmäßig aktiviert, weshalb die Syslog-Funktion nicht funktioniert.
Integrierte Arbeitsmappen
Um eine schnelle Momentaufnahme Ihrer Syslog-Daten zu erhalten, verwenden Sie das integrierte Syslog-Workbook mit einer der folgenden Methoden:
Hinweis
Die Registerkarte Berichte ist nicht verfügbar, wenn Sie die Prometheus-Umgebung von Container Insights für Ihren Cluster aktivieren.
Berichte-Registerkarte in Container-Insights. Navigieren Sie im Azure-Portal zu Ihrem Cluster, und öffnen Sie die Insights. Öffnen Sie die Registerkarte Berichte und suchen Sie nach dem Syslog-Workbook.
Workbooks-Registerkarte in AKS Navigieren Sie zu Ihrem Cluster im Azure-Portal. Öffnen Sie die Registerkarte Workbooks und suchen Sie nach dem Syslog-Workbook.
Grafana-Dashboard
Wenn Sie Grafana verwenden, können Sie das Syslog-Dashboard für Grafana verwenden, um eine Übersicht über Ihre Syslog-Daten zu erhalten. Dieses Dashboard ist standardmäßig verfügbar, wenn Sie eine neue von Azure verwaltete Grafana-Instanz erstellen. Andernfalls können Sie das Syslog-Dashboard aus dem Grafana Marketplace importieren.
Hinweis
Sie benötigen im Abonnement, das die von Azure verwaltete Grafana-Instanz enthält, die Rolle Überwachungsleser, um von Container Insights aus auf Syslog zuzugreifen.
Protokollabfragen
Syslog-Daten werden in der Syslog-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. Sie können eigene Protokollabfragen in Log Analytics erstellen, um diese Daten zu analysieren oder eine der vordefinierten Abfragen zu verwenden.
Sie können Log Analytics über das Menü Protokolle im Menü Überwachen öffnen, um auf Syslog-Daten für alle Cluster zuzugreifen, oder über das Menü des AKS-Clusters, um auf Syslog-Daten nur für einen einzelnen Cluster zuzugreifen.
Beispielabfragen
Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die Syslog-Protokolldatensätze abrufen.
Abfrage | BESCHREIBUNG |
---|---|
Syslog |
Alle Syslog-Datensätze |
Syslog | where SeverityLevel == "error" |
Alle Syslog-Datensätze mit Fehlerschweregrad |
Syslog | summarize AggregatedValue = count() by Computer |
Anzahl der Syslog-Datensätze je Computer |
Syslog | summarize AggregatedValue = count() by Facility |
Anzahl der Syslog-Datensätze je Einrichtung |
Syslog | where ProcessName == "kubelet" |
Alle Syslog-Datensätze aus dem Kubelet-Prozess |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Syslog-Datensätze aus dem Kubelet-Prozess mit Fehlern |
Nächste Schritte
Nach dem Setup können Kunden mit dem Senden von Syslogdaten an die Tools ihrer Wahl beginnen
- Senden von Syslog an Microsoft Sentinel
- Exportieren von Daten aus Log Analytics
- Eigenschaften der Syslog-Datensätze
Teilen Sie Ihr Feedback für dieses Feature hier: https://forms.office.com/r/BBvCjjDLTS