Acceder a datos de Syslog en Container Insights
Container Insights ofrece la capacidad de recopilar eventos de Syslog de los nodos de Linux en los clústeres de Azure Kubernetes Service (AKS). Esto incluye la capacidad de recopilar registros de los componentes del plano de control, como kubelet. Los clientes también pueden usar Syslog para supervisar eventos de seguridad y estado, por lo general, mediante la ingesta de syslog en un sistema SIEM como Microsoft Sentinel.
Requisitos previos
La colección de Syslog debe habilitarse para el clúster mediante las instrucciones de Configuración y filtrado de la colección de registros en Container Insights.
El puerto 28330 debe estar disponible en el nodo host.
Asegúrese de que la funcionalidad hostPort está habilitada en el clúster. Por ejemplo, Cilium Enterprise no tiene habilitada la funcionalidad hostPort de forma predeterminada y evita que la característica syslog funcione.
Libros integrados
Para obtener una instantánea rápida de los datos de syslog, use el libro de Syslog integrado mediante uno de los métodos siguientes:
Nota:
La pestaña Informes no estará disponible si habilita la experiencia de Prometheus del Container Insights para el clúster.
Pestaña de Informes en Container Insights. Vaya al clúster en Azure Portal y abra Insights. Abra la pestaña Informes y busque el libro de Syslog.
La pestaña Libros en AKS Navegue hasta su clúster en Azure Portal. Abra la pestaña Libros y busque el libro de Syslog.
Panel de Grafana
Si se usa Grafana, se puede usar el panel de Syslog para Grafana para obtener información general de los datos de Syslog. Este panel está disponible de forma predeterminada si crea una nueva instancia de Grafana administrada por Azure. Si no, se puede importar el panel de Syslog desde el marketplace de Grafana.
Nota:
Deberá tener el rol Lector de supervisión en la suscripción que contiene la instancia de Azure Managed Grafana para acceder a Syslog desde Container Insights.
Consultas de registros
Los datos de Syslog se almacenan en la tabla Syslog del área de trabajo de Log Analytics. Puede crear sus propias consultas de registro en Log Analytics para analizar estos datos o usar cualquiera de las consultas precompiladas.
Puede abrir Log Analytics desde el menú Registros del menú Supervisión para acceder a los datos de Syslog de todos los clústeres, o desde el menú del clúster de AKS para acceder a los datos de Syslog de solo ese clúster.
Consultas de ejemplo
La tabla siguiente proporciona ejemplos distintos de consultas de registro que recuperan registros de Syslog.
Consultar | Descripción |
---|---|
Syslog |
Todos los registros de Syslog |
Syslog | where SeverityLevel == "error" |
Todos los registros de Syslog con gravedad de error |
Syslog | summarize AggregatedValue = count() by Computer |
Número de registros de Syslog por equipo |
Syslog | summarize AggregatedValue = count() by Facility |
Número de registros de Syslog por recurso |
Syslog | where ProcessName == "kubelet" |
Todos los registros de Syslog del proceso de kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Registros de Syslog del proceso de kubelet con errores |
Pasos siguientes
Una vez que los clientes pueden empezar a enviar datos de Syslog a las herramientas de su elección
- Envíe Syslog a Microsoft Sentinel
- Exportación de datos desde Log Analytics
- Propiedades de registros de Syslog
Comparta sus comentarios sobre esta característica aquí: https://forms.office.com/r/BBvCjjDLTS