Partilhar via


Acessar dados do Syslog no Container Insights

O Container Insights oferece a capacidade de coletar eventos Syslog de nós Linux em seus clusters do Serviço Kubernetes (AKS) do Azure. Isto inclui a capacidade de recolher registos de componentes do plano de controlo, como kubelet. Os clientes também podem usar o Syslog para monitorar eventos de segurança e integridade, geralmente ingerindo syslog em um sistema SIEM como o Microsoft Sentinel.

Pré-requisitos

  • A coleção Syslog tem de ser ativada para o seu cluster utilizando as orientações em Configurar e filtrar a recolha de registos nas Informações do Contentor.

  • A porta 28330 deve estar disponível no nó do host.

  • Verifique se a funcionalidade hostPort está habilitada no cluster. Por exemplo, o Cilium Enterprise não tem a funcionalidade hostPort habilitada por padrão e impede que o recurso syslog funcione.

Livros incorporados

Para obter um instantâneo rápido dos dados do syslog, use a pasta de trabalho Syslog interna usando um dos seguintes métodos:

Nota

A guia Relatórios não estará disponível se você habilitar a experiência Container insights Prometheus para seu cluster.

  • Guia Relatórios no Container Insights. Navegue até o cluster no portal do Azure e abra o Insights. Abra a guia Relatórios e localize a pasta de trabalho Syslog .

    Vídeo da pasta de trabalho Syslog sendo acessada na guia Relatórios do Container Insights.

  • Guia Pastas de trabalho no AKS Navegue até o cluster no portal do Azure. Abra a guia Pastas de trabalho e localize a pasta de trabalho Syslog .

    Vídeo da pasta de trabalho Syslog sendo acessada a partir da guia pastas de trabalho de cluster.

Painel Grafana

Se você usa o Grafana, você pode usar o painel do Syslog para o Grafana para obter uma visão geral dos seus dados do Syslog. Esse painel estará disponível por padrão se você criar uma nova instância do Grafana gerenciada pelo Azure. Caso contrário, você pode importar o painel Syslog do mercado Grafana.

Nota

Você precisa da função Leitor de Monitoramento na Assinatura que contém a instância do Azure Managed Grafana para acessar o syslog do Container Insights.

Captura de tela do painel do Syslog Grafana.

Registar consultas

Os dados do Syslog são armazenados na tabela Syslog no espaço de trabalho do Log Analytics. Você pode criar suas próprias consultas de log no Log Analytics para analisar esses dados ou usar qualquer uma das consultas pré-criadas.

Captura de ecrã da consulta Syslog carregada no editor de consultas na IU do Portal do Azure Monitor.

Você pode abrir o Log Analytics no menu Logs no menu Monitor para acessar os dados do Syslog para todos os clusters ou no menu do cluster AKS para acessar os dados do Syslog para um único cluster.

Captura de ecrã do editor de consultas com consulta Syslog.

Consultas de amostra

A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros Syslog.

Query Description
Syslog Todos os Syslogs
Syslog | where SeverityLevel == "error" Todos os registos Syslog com gravidade de erro
Syslog | summarize AggregatedValue = count() by Computer Contagem de registros Syslog por computador
Syslog | summarize AggregatedValue = count() by Facility Contagem de registros Syslog por instalação
Syslog | where ProcessName == "kubelet" Todos os registros Syslog do processo kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Registros Syslog do processo kubelet com erros

Próximos passos

Após a configuração, os clientes podem começar a enviar dados do Syslog para as ferramentas de sua escolha

Partilhe os seus comentários sobre esta funcionalidade aqui: https://forms.office.com/r/BBvCjjDLTS