Partager via


Accéder aux données Syslog dans Container Insights

Container Insights offre la possibilité de collecter des événements Syslog à partir de nœuds Linux dans vos clusters Azure Kubernetes Service (AKS). Cela inclut la possibilité de collecter des journaux à partir de composants de plan de contrôle tels que kubelet. Les clients peuvent également utiliser Syslog pour surveiller les événements de sécurité et d’intégrité, généralement en ingérant syslog dans un système SIEM comme Microsoft Sentinel.

Prérequis

  • La collecte Syslog doit être activée pour votre cluster sur la base des instructions fournies dans Configurer et filtrer la collecte de journaux dans Container Insights.

  • Le port 28330 doit être disponible sur le nœud hôte.

  • Vérifiez que la fonctionnalité hostPort est activée dans le cluster. Par exemple, la fonctionnalité hostPort de Cilium Enterprise n’est pas activée par défaut et empêche la fonctionnalité syslog de fonctionner.

Workbooks intégrés

Pour obtenir un instantané rapide de vos données Syslog, utilisez le classeur Syslog intégré au moyen de l’une des méthodes suivantes :

Remarque

L’onglet Rapports ne sera pas disponible si vous activez l’expérience Prometheus Container Insights pour votre cluster.

  • Onglet Rapports dans Container Insights. Accédez à votre cluster dans le portail Azure et ouvrez Insights. Ouvrez l’onglet Rapports et sélectionnez le classeur Syslog.

    Vidéo de l'accès au classeur Syslog depuis l'onglet Rapports de Container Insights.

  • Onglet Classeurs dans AKS. Accédez à votre cluster dans le portail Azure. Ouvrez l’onglet Classeurs et sélectionnez le classeur Syslog.

    Vidéo de l'accès au classeur Syslog depuis l'onglet classeurs du cluster.

Tableau de bord Grafana

Si vous utilisez Grafana, vous pouvez utiliser le tableau de bord Syslog pour Grafana pour obtenir une vue d’ensemble de vos données Syslog. Ce tableau de bord est disponible par défaut si vous créez une instance Grafana managée par Azure. Sinon, vous pouvez importer le tableau de bord Syslog depuis la Place de marché Grafana.

Remarque

Vous devez avoir le rôle Lecteur de supervision sur l'abonnement contenant l'instance Azure Managed Grafana pour accéder au syslog depuis Container Insights.

Capture d’écran de tableau de bord Syslog Grafana.

Requêtes de journal

Les données Syslog sont stockées dans la table Syslog de votre espace de travail Log Analytics. Vous pouvez créer vos propres requêtes de journal dans Log Analytics pour analyser ces données ou utiliser l’une des requêtes prédéfinies.

Capture d’écran de la requête Syslog chargée dans l’éditeur de requête dans l’interface utilisateur du portail Azure Monitor.

Vous pouvez ouvrir Log Analytics depuis le menu Journaux du menu Surveiller pour accéder aux données Syslog de tous les clusters ou depuis le menu du cluster AKS pour accéder uniquement aux données Syslog pour un cluster unique.

Capture d’écran de l’Éditeur de requête avec une requête Syslog.

Exemples de requêtes

Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements Syslog.

Requête Description
Syslog Tous les journaux Syslog
Syslog | where SeverityLevel == "error" Tous les enregistrements Syslog avec le niveau de gravité Erreur
Syslog | summarize AggregatedValue = count() by Computer Nombre d’enregistrements Syslog par ordinateur
Syslog | summarize AggregatedValue = count() by Facility Nombre d’enregistrements Syslog par installation
Syslog | where ProcessName == "kubelet" Tous les enregistrements Syslog du processus kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Enregistrements Syslog à partir du processus kubelet avec des erreurs

Étapes suivantes

Une fois la configuration terminée, les clients peuvent commencer à envoyer des données Syslog aux outils de leur choix

Partagez vos commentaires concernant cette fonctionnalité ici : https://forms.office.com/r/BBvCjjDLTS