Accéder aux données Syslog dans Container Insights
Container Insights offre la possibilité de collecter des événements Syslog à partir de nœuds Linux dans vos clusters Azure Kubernetes Service (AKS). Cela inclut la possibilité de collecter des journaux à partir de composants de plan de contrôle tels que kubelet. Les clients peuvent également utiliser Syslog pour surveiller les événements de sécurité et d’intégrité, généralement en ingérant syslog dans un système SIEM comme Microsoft Sentinel.
Prérequis
La collecte Syslog doit être activée pour votre cluster sur la base des instructions fournies dans Configurer et filtrer la collecte de journaux dans Container Insights.
Le port 28330 doit être disponible sur le nœud hôte.
Vérifiez que la fonctionnalité hostPort est activée dans le cluster. Par exemple, la fonctionnalité hostPort de Cilium Enterprise n’est pas activée par défaut et empêche la fonctionnalité syslog de fonctionner.
Workbooks intégrés
Pour obtenir un instantané rapide de vos données Syslog, utilisez le classeur Syslog intégré au moyen de l’une des méthodes suivantes :
Remarque
L’onglet Rapports ne sera pas disponible si vous activez l’expérience Prometheus Container Insights pour votre cluster.
Onglet Rapports dans Container Insights. Accédez à votre cluster dans le portail Azure et ouvrez Insights. Ouvrez l’onglet Rapports et sélectionnez le classeur Syslog.
Onglet Classeurs dans AKS. Accédez à votre cluster dans le portail Azure. Ouvrez l’onglet Classeurs et sélectionnez le classeur Syslog.
Tableau de bord Grafana
Si vous utilisez Grafana, vous pouvez utiliser le tableau de bord Syslog pour Grafana pour obtenir une vue d’ensemble de vos données Syslog. Ce tableau de bord est disponible par défaut si vous créez une instance Grafana managée par Azure. Sinon, vous pouvez importer le tableau de bord Syslog depuis la Place de marché Grafana.
Remarque
Vous devez avoir le rôle Lecteur de supervision sur l'abonnement contenant l'instance Azure Managed Grafana pour accéder au syslog depuis Container Insights.
Requêtes de journal
Les données Syslog sont stockées dans la table Syslog de votre espace de travail Log Analytics. Vous pouvez créer vos propres requêtes de journal dans Log Analytics pour analyser ces données ou utiliser l’une des requêtes prédéfinies.
Vous pouvez ouvrir Log Analytics depuis le menu Journaux du menu Surveiller pour accéder aux données Syslog de tous les clusters ou depuis le menu du cluster AKS pour accéder uniquement aux données Syslog pour un cluster unique.
Exemples de requêtes
Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements Syslog.
Requête | Description |
---|---|
Syslog |
Tous les journaux Syslog |
Syslog | where SeverityLevel == "error" |
Tous les enregistrements Syslog avec le niveau de gravité Erreur |
Syslog | summarize AggregatedValue = count() by Computer |
Nombre d’enregistrements Syslog par ordinateur |
Syslog | summarize AggregatedValue = count() by Facility |
Nombre d’enregistrements Syslog par installation |
Syslog | where ProcessName == "kubelet" |
Tous les enregistrements Syslog du processus kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Enregistrements Syslog à partir du processus kubelet avec des erreurs |
Étapes suivantes
Une fois la configuration terminée, les clients peuvent commencer à envoyer des données Syslog aux outils de leur choix
- Envoyer Syslog vers Microsoft Sentinel
- Exporter des données depuis Log Analytics
- Propriétés d’enregistrement Syslog
Partagez vos commentaires concernant cette fonctionnalité ici : https://forms.office.com/r/BBvCjjDLTS