Доступ к данным системного журнала в Службе "Аналитика контейнеров"
Служба Container Insights предоставляет возможность собирать события Системного журнала с узлов Linux в кластерах Служба Azure Kubernetes (AKS). В частности, вы можете собирать журналы из таких компонентов уровня управления, как kubelet. Клиенты также могут использовать Системный журнал для мониторинга событий безопасности и работоспособности, как правило, путем приема системного журнала в систему SIEM, например Microsoft Sentinel.
Необходимые компоненты
Необходимо включить для кластера сбор системных журналов, следуя инструкциям по настройке и фильтрации коллекции журналов в аналитике контейнеров.
Порт 28330 должен быть доступен на узле узла.
Убедитесь, что функция hostPort включена в кластере. Например, Cilium Enterprise не имеет функций hostPort, включенных по умолчанию, и предотвращает работу функции системного журнала.
Встроенные книги
Чтобы получить быстрый снимок данных системного журнала, используйте встроенную книгу Системного журнала с помощью одного из следующих методов:
Примечание.
Вкладка "Отчеты " не будет доступна, если включить интерфейс Prometheus аналитики контейнеров для кластера.
Вкладка "Отчеты" в Container Insights. Перейдите к кластеру в портал Azure и откройте аналитику. Откройте вкладку "Отчеты " и найдите книгу системного журнала .
Вкладка "Книги" в AKS Перейдите к кластеру в портал Azure. Откройте вкладку "Книги" и найдите книгу Системного журнала .
Панель мониторинга Grafana
Если вы используете Grafana, вы можете использовать панель мониторинга Syslog для Grafana, чтобы получить общие сведения о данных системного журнала. Эта панель мониторинга доступна по умолчанию при создании нового экземпляра Grafana под управлением Azure. В противном случае можно импортировать панель мониторинга Системного журнала из Marketplace Grafana.
Примечание.
Вам нужна роль средства чтения мониторинга в подписке, содержащей экземпляр Azure Managed Grafana, чтобы получить доступ к системным журналам из Container Insights.
Запросы журнала
Данные системного журнала хранятся в таблице Syslog в рабочей области Log Analytics. Вы можете создать собственные запросы журналов в Log Analytics для анализа этих данных или использования любого предварительно созданного запроса.
Вы можете открыть Log Analytics из меню "Журналы" в меню "Монитор", чтобы получить доступ к данным системного журнала для всех кластеров или из меню кластера AKS, чтобы получить доступ к данным системного журнала для одного кластера.
Примеры запросов
В следующей таблице представлены различные примеры запросов к журналу, извлекающих записи из системного журнала.
| Query | Description |
|---|---|
Syslog |
Все системные журналы |
Syslog | where SeverityLevel == "error" |
Все записи системного журнала с серьезностью ошибки |
Syslog | summarize AggregatedValue = count() by Computer |
Количество записей системного журнала по компьютеру |
Syslog | summarize AggregatedValue = count() by Facility |
Количество записей системного журнала по объекту |
Syslog | where ProcessName == "kubelet" |
Все записи системного журнала из процесса kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Записи системного журнала из процесса kubelet с ошибками |
Следующие шаги
После настройки клиенты могут начать отправку данных системного журнала в средства по своему выбору
- Отправка системного журнала в Microsoft Sentinel
- Экспорт данных из анализа журналов
- Свойства записи системного журнала
Поделитесь своими отзывами об этой функции: https://forms.office.com/r/BBvCjjDLTS