Syslog-Sammlung mit Container Insights
Container Insights bietet die Möglichkeit, Syslog-Ereignisse von Linux-Knoten in Ihren AKS-Clustern (Azure Kubernetes Service) zu sammeln. Dies umfasst die Möglichkeit, Protokolle von Komponenten der Steuerungsebene wie Kubelets zu sammeln. Kund*innen können Syslog auch zum Überwachen von Sicherheits- und Integritätsereignissen verwenden, in der Regel durch Erfassung von Syslog in SIEM-Systemen wie Microsoft Sentinel.
Voraussetzungen
- Sie müssen auf Ihrem Cluster die Authentifizierung mit verwalteter Identität aktiviert haben. Informationen zum Aktivieren finden Sie unter Migrieren zur Authentifizierung mit verwalteten Identitäten. Hinweis: Durch aktivieren der verwalteten Identität wird eine neue Datensammlungsregel (Data Collection Rule, DCR) mit dem Namen
MSCI-<WorkspaceRegion>-<ClusterName>
erstellt - Port 28330 sollte auf dem Hostknoten verfügbar sein.
- Mindestversionen von Azure-Komponenten
- Azure CLI: Die erforderliche Mindestversion für die Azure CLI ist 2.45.0 (Link zu Versionshinweisen). Upgradeanweisungen finden Sie unter Upgraden der Azure CLI.
- Azure CLI-Erweiterung „AKS-Preview“: Die für die Azure CLI-Erweiterung „AKS-Preview“ erforderliche Mindestversion ist 0.5.125 (Link zu Versionshinweisen). Unter Aktualisieren von Erweiterungen finden Sie Anleitungen zum Aktualisieren.
- Linux-Imageversion: Die Mindestversion für das Linux-Image des AKS-Knotens ist 2022.11.01. Hilfe zu Upgrades finden Sie unter Upgrade für AKS-Knotenimages (Azure Kubernetes Service).
Aktivieren von Syslog
Über das Azure-Portal
Navigieren Sie zu Ihrem Cluster. Öffnen Sie die Registerkarte Erkenntnisse für Ihren Cluster. Öffnen Sie den Bereich Monitoreinstellungen. Klicken Sie auf „Sammlungseinstellungen bearbeiten“, und aktivieren Sie dann das Kontrollkästchen Syslogsammlung aktivieren
Verwenden von Azure CLI-Befehlen
Verwenden Sie den folgenden Befehl in der Azure CLI, um die Syslog-Sammlung zu aktivieren, wenn Sie einen neuen AKS-Cluster erstellen.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Verwenden Sie den folgenden Befehl in der Azure CLI, um die Syslog-Sammlung auf einem vorhandenen AKS-Cluster zu aktivieren.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
Verwenden von ARM-Vorlagen
Sie können auch ARM-Vorlagen zum Aktivieren der Syslog-Sammlung verwenden.
Laden Sie die Vorlage in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterOnboarding.json.
Laden Sie die Parameterdatei in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterParam.json.
Bearbeiten Sie die Werte in der Parameterdatei:
aksResourceId
: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.aksResourceLocation
: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.workspaceResourceId
: Verwenden Sie die Ressourcen-ID Ihres Log Analytics-Arbeitsbereichs.resourceTagValues
: Gleichen Sie die für die bestehende Regel für die Datensammlung (DCR) der Container Insights-Erweiterung des Clusters angegebenen vorhandenen Tagwerte mit dem Namen der DCR ab. Der Name lautet MSCI-<clusterName>-<clusterRegion> und diese in einer AKS-Clusterressourcengruppe erstellte Ressource. Ist dies das erste Onboarding, können Sie beliebige Tagwerte festlegen.enableSyslog
: Auf TRUE festgelegtsyslogLevels
: Array der zu erfassenden Syslog-Ebenen. Die Standardeinstellung erfasst alle Ebenen.syslogFacilities
: Array der zu erfassenden Syslog-Einrichtungen. Die Standardeinstellung erfasst alle Einrichtungen.
Hinweis
Die Anpassung der Syslog-Ebene und der -Einrichtungen ist derzeit nur über ARM-Vorlagen verfügbar.
Bereitstellen der Vorlage
Stellen Sie die Vorlage mit der Parameterdatei mithilfe einer beliebigen zulässigen Methode für die Bereitstellung von Resource Manager-Vorlagen bereit. Beispiele für verschiedene Methoden finden Sie unter Bereitstellen der Beispielvorlagen.
Bereitstellen mit Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:
provisioningState : Succeeded
Bereitstellen über die Azure-Befehlszeilenschnittstelle
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:
provisioningState : Succeeded
Zugreifen auf Syslog-Daten
Zugriff mittels integrierten Arbeitsmappen
Um eine schnelle Momentaufnahme Ihrer Syslogdaten zu erhalten, können Kunden unsere integrierte Syslog-Arbeitsmappe verwenden. Es gibt zwei Möglichkeiten, auf die integrierte Arbeitsmappe zuzugreifen.
Option 1 – Die Registerkarte „Berichte“ in Container-Erkenntnisse. Navigieren Sie zu Ihrem Cluster. Öffnen Sie die Registerkarte Erkenntnisse für Ihren Cluster. Öffnen Sie die Registerkarte Berichte, und suchen Sie nach der Syslog-Arbeitsmappe.
Option 2 – Die Registerkarte „Arbeitsmappen“ in AKS „Navigieren Sie zu Ihrem Cluster“. Öffnen Sie die Registerkarte Arbeitsmappen für Ihren Cluster, und suchen Sie nach der Syslog-Arbeitsmappe.
Zugriff mit einem Grafana-Dashboard
Kunden können unser Syslog-Dashboard für Grafana verwenden, um einen Überblick über ihre Syslog-Daten zu erhalten. Kund*innen, die eine neue, von Azure verwaltete Grafana-Instanz erstellen, steht dieses Dashboard standardmäßig zur Verfügung. Kund*innen mit bestehenden Instanzen oder solche, die eine eigene Instanz betreiben, können das Syslog-Dashboard vom Grafana-Marktplatz importieren.
Hinweis
Sie benötigen im Abonnement, das die von Azure verwaltete Grafana-Instanz enthält, die Rolle Überwachungsleser*in, um von Container Insights aus auf Syslog zuzugreifen.
Zugriff mittels Protokollabfragen
Syslog-Daten werden in der Syslog-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. Sie können eigene Protokollabfragen in Log Analytics erstellen, um diese Daten zu analysieren oder eine der vordefinierten Abfragen zu verwenden.
Sie können Log Analytics über das Menü Protokolle im Menü Überwachen öffnen, um auf Syslog-Daten für alle Cluster zuzugreifen, oder über das Menü des AKS-Clusters, um auf Syslog-Daten nur für diesen Cluster zuzugreifen.
Beispielabfragen
Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die Syslog-Protokolldatensätze abrufen.
Abfrage | BESCHREIBUNG |
---|---|
Syslog |
Alle Syslog-Datensätze |
Syslog | where SeverityLevel == "error" |
Alle Syslog-Datensätze mit Fehlerschweregrad |
Syslog | summarize AggregatedValue = count() by Computer |
Anzahl der Syslog-Datensätze je Computer |
Syslog | summarize AggregatedValue = count() by Facility |
Anzahl der Syslog-Datensätze je Einrichtung |
Syslog | where ProcessName == "kubelet" |
Alle Syslog-Datensätze aus dem Kubelet-Prozess |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Syslog-Datensätze aus dem Kubelet-Prozess mit Fehlern |
Bearbeiten Ihrer Syslog-Sammlungseinstellungen
Um die Konfiguration für Ihre Syslog-Sammlung zu ändern, ändern Sie die Datensammlungsregel (Data Collection Rule, DCR), die bei der Aktivierung erstellt wurde.
Wählen Sie im Azure-Portal im Menü Monitor die Option Datensammlungsregeln aus.
Wählen Sie Ihre DCR und dann Datenquellen anzeigen aus. Wählen Sie die Linux Syslog-Datenquelle aus, um die Syslog-Sammlungsdetails anzuzeigen.
Hinweis
Beim Aktivieren von Syslog wird automatisch eine DCR erstellt. Die DCR folgt der Namenskonvention MSCI-<WorkspaceRegion>-<ClusterName>
.
Wählen Sie den Mindestprotokolliergrad für jede Einrichtung aus, die Sie erfassen möchten.
Nächste Schritte
Nach dem Setup können Kunden mit dem Senden von Syslogdaten an die Tools ihrer Wahl beginnen
Weitere Informationen
Teilen Sie Ihr Feedback für dieses Feature hier: https://forms.office.com/r/BBvCjjDLTS
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für