Container Insights で Syslog データにアクセスする

Container Insights には、Azure Kubernetes Service (AKS) クラスター内の Linux ノードから Syslog イベントを収集する機能が用意されています。 これには、kubelet のようにコントロール プレーンのコンポーネントからログを収集する機能が含まれます。 お客様は、セキュリティと正常性のイベントを監視する場合にも Syslog を使用できます。通常は、Syslog を Microsoft Sentinel などの SIEM システムに取り込みます。

前提条件

• 「Container insights でのログ収集の構成とフィルター処理」のガイダンスを使用して、クラスターに対して Syslog 収集を有効にする必要があります。
• ポート 28330 は、ホスト ノードで使用できる必要があります。

組み込みのブック

syslog データのクイック スナップショットを取得するには、次のいずれかの方法を使用して、組み込みの Syslog ブックを使用します。

Note

クラスターで Customer Insights Prometheus エクスペリエンスを有効にすると、[レポート] タブは使用できなくなります。

• Container Insights の [レポート] タブ。 Azure portal でクラスターに移動し、[Insights] を開きます。 [レポート] タブを開き、Syslog ブックを見つけます。

  

• AKS の [ブック] タブで、Azure portal のクラスターに移動します。 [ブック] タブを開き、Syslog ブックを見つけます。

  

grafana ダッシュボード

Grafana を使用している場合は、Grafana の Syslog ダッシュボードを使用して Syslog データの概要を取得できます。 新しい Azure マネージド Grafana インスタンスを作成した場合、既定でこのダッシュボードを使用できます。 それ以外の場合、Grafana マーケットプレースから Syslog ダッシュボードをインポートできます。

Note

Container Insights から syslog にアクセスするには、Azure Managed Grafana インスタンスを含むサブスクリプションに対する監視閲覧者ロールが必要になります。

ログ クエリ

Syslog データは、Log Analytics ワークスペースの Syslog テーブルに格納されます。 Log Analytics で独自のログ クエリを作成して、このデータを分析したり、事前構築済みのクエリを使用したりできます。

[監視] メニューの [ログ] メニューから Log Analytics を開いて、すべてのクラスターの Syslog データにアクセスするか、AKS クラスターのメニューから 1 つのクラスターの Syslog データにアクセスできます。

サンプル クエリ

次の表は、Syslog レコードを取得するログ クエリのさまざまな例をまとめたものです。

クエリ	説明
Syslog	すべての Syslog
Syslog | where SeverityLevel == "error"	重大度がエラーであるすべての Syslog レコード
Syslog | summarize AggregatedValue = count() by Computer	コンピューターごとの Syslog レコードの数
Syslog | summarize AggregatedValue = count() by Facility	ファシリティごとの Syslog レコードの数
Syslog | where ProcessName == "kubelet"	kubelet プロセスのすべての Syslog レコード
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error"	エラーが発生した kubelet プロセスからの Syslog レコード

次のステップ

セットアップ後、お客様は選択したツールへの Syslog データの送信を開始できます

• rosoft Sentinel に Syslog を送信する
• Log Analytics からデータをエクスポートする
• Syslog レコードのプロパティ

この機能に関するフィードバックは、https://forms.office.com/r/BBvCjjDLTS からお寄せください。