Uzyskiwanie dostępu do danych dziennika systemowego w usłudze Container Insights
Usługa Container Insights umożliwia zbieranie zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi Azure Kubernetes Service (AKS). Obejmuje to możliwość zbierania dzienników ze składników płaszczyzny sterowania, takich jak kubelet. Klienci mogą również używać dziennika systemowego do monitorowania zdarzeń zabezpieczeń i kondycji, zazwyczaj przez pozyskiwanie dziennika systemowego do systemu SIEM, takiego jak Microsoft Sentinel.
Wymagania wstępne
Należy włączyć zbieranie komunikatów dziennika systemowego dla klastra, korzystając ze wskazówek w temacie Konfigurowanie i filtrowanie zbierania komunikatów dziennika w usłudze Container Insights.
Port 28330 powinien być dostępny w węźle hosta.
Upewnij się, że funkcja hostPort jest włączona w klastrze. Na przykład cilium Enterprise nie ma domyślnie włączonej funkcji hostPort i uniemożliwia działanie funkcji dziennika systemowego.
Wbudowane skoroszyty
Aby uzyskać szybką migawkę danych dziennika systemowego, użyj wbudowanego skoroszytu syslog przy użyciu jednej z następujących metod:
Uwaga
Karta Raporty nie będzie dostępna, jeśli włączysz środowisko Rozwiązania Prometheus usługi Container Insights dla klastra.
Karta Raporty w usłudze Container Insights. Przejdź do klastra w witrynie Azure Portal i otwórz szczegółowe informacje. Otwórz kartę Raporty i znajdź skoroszyt Syslog.
Karta Skoroszyty w usłudze AKS Przejdź do klastra w witrynie Azure Portal. Otwórz kartę Skoroszyty i znajdź skoroszyt Syslog.
Pulpit nawigacyjny narzędzia Grafana
Jeśli używasz narzędzia Grafana, możesz użyć pulpitu nawigacyjnego dziennika systemu dla narzędzia Grafana, aby zapoznać się z omówieniem danych dziennika systemowego. Ten pulpit nawigacyjny jest domyślnie dostępny, jeśli tworzysz nowe wystąpienie narzędzia Grafana zarządzane przez platformę Azure. W przeciwnym razie możesz zaimportować pulpit nawigacyjny dziennika systemu z witryny Grafana Marketplace.
Uwaga
Aby uzyskać dostęp do dziennika syslog z usługi Container Insights, potrzebna jest rola Czytelnik monitorowania w subskrypcji zawierającej wystąpienie zarządzanego narzędzia Grafana platformy Azure.
Rejestrowanie zapytań
Dane dziennika systemowego są przechowywane w tabeli Syslog w obszarze roboczym usługi Log Analytics. Możesz utworzyć własne zapytania dziennika w usłudze Log Analytics, aby przeanalizować te dane lub użyć dowolnych wstępnie utworzonych zapytań.
Usługę Log Analytics można otworzyć z menu Dzienniki w menu Monitor , aby uzyskać dostęp do danych dziennika systemowego dla wszystkich klastrów lub z menu klastra usługi AKS w celu uzyskania dostępu do danych dziennika systemowego dla jednego klastra.
Przykładowe zapytania
W poniższej tabeli przedstawiono różne przykłady zapytań dziennika, które pobierają rekordy dziennika systemowego.
| Query | opis |
|---|---|
Syslog |
Wszystkie dzienniki systemowe |
Syslog | where SeverityLevel == "error" |
Wszystkie rekordy dziennika systemowego o ważności błędu |
Syslog | summarize AggregatedValue = count() by Computer |
Liczba rekordów dziennika systemowego według komputera |
Syslog | summarize AggregatedValue = count() by Facility |
Liczba rekordów dziennika systemowego według obiektu |
Syslog | where ProcessName == "kubelet" |
Wszystkie rekordy dziennika systemu z procesu kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Rekordy dziennika systemowego z procesu kubelet z błędami |
Następne kroki
Po skonfigurowaniu klienci mogą rozpocząć wysyłanie danych dziennika systemowego do wybranego narzędzia
- Wysyłanie dziennika systemowego do usługi Microsoft Sentinel
- Eksportowanie danych z usługi Log Analytics
- Właściwości rekordu dziennika systemowego
Podziel się swoją opinią na temat tej funkcji tutaj: https://forms.office.com/r/BBvCjjDLTS