Acessar dados do Syslog no Container Insights
O Container Insights oferece a capacidade de coletar eventos Syslog de nós Linux em seus clusters do Serviço Kubernetes (AKS) do Azure. Isto inclui a capacidade de recolher registos de componentes do plano de controlo, como kubelet. Os clientes também podem usar o Syslog para monitorar eventos de segurança e integridade, geralmente ingerindo syslog em um sistema SIEM como o Microsoft Sentinel.
Pré-requisitos
A coleção Syslog tem de ser ativada para o seu cluster utilizando as orientações em Configurar e filtrar a recolha de registos nas Informações do Contentor.
A porta 28330 deve estar disponível no nó do host.
Verifique se a funcionalidade hostPort está habilitada no cluster. Por exemplo, o Cilium Enterprise não tem a funcionalidade hostPort habilitada por padrão e impede que o recurso syslog funcione.
Livros incorporados
Para obter um instantâneo rápido dos dados do syslog, use a pasta de trabalho Syslog interna usando um dos seguintes métodos:
Nota
A guia Relatórios não estará disponível se você habilitar a experiência Container insights Prometheus para seu cluster.
Guia Relatórios no Container Insights. Navegue até o cluster no portal do Azure e abra o Insights. Abra a guia Relatórios e localize a pasta de trabalho Syslog .
Guia Pastas de trabalho no AKS Navegue até o cluster no portal do Azure. Abra a guia Pastas de trabalho e localize a pasta de trabalho Syslog .
Painel Grafana
Se você usa o Grafana, você pode usar o painel do Syslog para o Grafana para obter uma visão geral dos seus dados do Syslog. Esse painel estará disponível por padrão se você criar uma nova instância do Grafana gerenciada pelo Azure. Caso contrário, você pode importar o painel Syslog do mercado Grafana.
Nota
Você precisa da função Leitor de Monitoramento na Assinatura que contém a instância do Azure Managed Grafana para acessar o syslog do Container Insights.
Registar consultas
Os dados do Syslog são armazenados na tabela Syslog no espaço de trabalho do Log Analytics. Você pode criar suas próprias consultas de log no Log Analytics para analisar esses dados ou usar qualquer uma das consultas pré-criadas.
Você pode abrir o Log Analytics no menu Logs no menu Monitor para acessar os dados do Syslog para todos os clusters ou no menu do cluster AKS para acessar os dados do Syslog para um único cluster.
Consultas de amostra
A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros Syslog.
Query | Description |
---|---|
Syslog |
Todos os Syslogs |
Syslog | where SeverityLevel == "error" |
Todos os registos Syslog com gravidade de erro |
Syslog | summarize AggregatedValue = count() by Computer |
Contagem de registros Syslog por computador |
Syslog | summarize AggregatedValue = count() by Facility |
Contagem de registros Syslog por instalação |
Syslog | where ProcessName == "kubelet" |
Todos os registros Syslog do processo kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Registros Syslog do processo kubelet com erros |
Próximos passos
Após a configuração, os clientes podem começar a enviar dados do Syslog para as ferramentas de sua escolha
- Enviar Syslog para o Microsoft Sentinel
- Exportar dados do Log Analytics
- Propriedades do registro Syslog
Partilhe os seus comentários sobre esta funcionalidade aqui: https://forms.office.com/r/BBvCjjDLTS