Teilen über

Syslog-Sammlung mit Container Insights

  • Artikel

Container Insights bietet die Möglichkeit, Syslog-Ereignisse von Linux-Knoten in Ihren AKS-Clustern (Azure Kubernetes Service) zu sammeln. Dies umfasst die Möglichkeit, Protokolle von Komponenten der Steuerungsebene wie Kubelets zu sammeln. Kund*innen können Syslog auch zum Überwachen von Sicherheits- und Integritätsereignissen verwenden, in der Regel durch Erfassung von Syslog in SIEM-Systemen wie Microsoft Sentinel.

Voraussetzungen

Aktivieren von Syslog

Über das Azure-Portal

Navigieren Sie zu Ihrem Cluster. Öffnen Sie die Registerkarte Erkenntnisse für Ihren Cluster. Öffnen Sie den Bereich Monitoreinstellungen. Klicken Sie auf „Sammlungseinstellungen bearbeiten“, und aktivieren Sie dann das Kontrollkästchen Syslogsammlung aktivieren

Screen recording of syslog being enabled from the Azure portal through the Monitor Settings panel in Container Insights.

Verwenden von Azure CLI-Befehlen

Verwenden Sie den folgenden Befehl in der Azure CLI, um die Syslog-Sammlung zu aktivieren, wenn Sie einen neuen AKS-Cluster erstellen.

az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key

Verwenden Sie den folgenden Befehl in der Azure CLI, um die Syslog-Sammlung auf einem vorhandenen AKS-Cluster zu aktivieren.

az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster

Verwenden von ARM-Vorlagen

Sie können auch ARM-Vorlagen zum Aktivieren der Syslog-Sammlung verwenden.

  1. Laden Sie die Vorlage in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterOnboarding.json.

  2. Laden Sie die Parameterdatei in der GitHub-Inhaltsdatei herunter, und speichern Sie sie als existingClusterParam.json.

  3. Bearbeiten Sie die Werte in der Parameterdatei:

    • aksResourceId: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
    • aksResourceLocation: Verwenden Sie die Werte auf der AKS-Übersichtsseite für den AKS-Cluster.
    • workspaceResourceId: Verwenden Sie die Ressourcen-ID Ihres Log Analytics-Arbeitsbereichs.
    • resourceTagValues: Gleichen Sie die für die bestehende Regel für die Datensammlung (DCR) der Container Insights-Erweiterung des Clusters angegebenen vorhandenen Tagwerte mit dem Namen der DCR ab. Der Name lautet MSCI-<clusterName>-<clusterRegion> und diese in einer AKS-Clusterressourcengruppe erstellte Ressource. Ist dies das erste Onboarding, können Sie beliebige Tagwerte festlegen.
    • enableSyslog: Auf TRUE festgelegt
    • syslogLevels: Array der zu erfassenden Syslog-Ebenen. Die Standardeinstellung erfasst alle Ebenen.
    • syslogFacilities: Array der zu erfassenden Syslog-Einrichtungen. Die Standardeinstellung erfasst alle Einrichtungen.

Hinweis

Die Anpassung der Syslog-Ebene und der -Einrichtungen ist derzeit nur über ARM-Vorlagen verfügbar.

Bereitstellen der Vorlage

Stellen Sie die Vorlage mit der Parameterdatei mithilfe einer beliebigen zulässigen Methode für die Bereitstellung von Resource Manager-Vorlagen bereit. Beispiele für verschiedene Methoden finden Sie unter Bereitstellen der Beispielvorlagen.

Bereitstellen mit Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:

provisioningState       : Succeeded

Bereitstellen über die Azure-Befehlszeilenschnittstelle

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

Die Änderung der Konfiguration kann einige Minuten dauern. Wenn sie abgeschlossen ist, wird eine Meldung, die dem folgenden Beispiel ähnelt und das Ergebnis enthält, anzeigt:

provisioningState       : Succeeded

Zugreifen auf Syslog-Daten

Zugriff mittels integrierten Arbeitsmappen

Um eine schnelle Momentaufnahme Ihrer Syslogdaten zu erhalten, können Kunden unsere integrierte Syslog-Arbeitsmappe verwenden. Es gibt zwei Möglichkeiten, auf die integrierte Arbeitsmappe zuzugreifen.

Option 1 – Die Registerkarte „Berichte“ in Container-Erkenntnisse. Navigieren Sie zu Ihrem Cluster. Öffnen Sie die Registerkarte Erkenntnisse für Ihren Cluster. Öffnen Sie die Registerkarte Berichte, und suchen Sie nach der Syslog-Arbeitsmappe.

Video of Syslog workbook being accessed from Container Insights Reports tab.

Option 2 – Die Registerkarte „Arbeitsmappen“ in AKS „Navigieren Sie zu Ihrem Cluster“. Öffnen Sie die Registerkarte Arbeitsmappen für Ihren Cluster, und suchen Sie nach der Syslog-Arbeitsmappe.

Video of Syslog workbook being accessed from cluster workbooks tab.

Zugriff mit einem Grafana-Dashboard

Kunden können unser Syslog-Dashboard für Grafana verwenden, um einen Überblick über ihre Syslog-Daten zu erhalten. Kund*innen, die eine neue, von Azure verwaltete Grafana-Instanz erstellen, steht dieses Dashboard standardmäßig zur Verfügung. Kund*innen mit bestehenden Instanzen oder solche, die eine eigene Instanz betreiben, können das Syslog-Dashboard vom Grafana-Marktplatz importieren.

Hinweis

Sie benötigen im Abonnement, das die von Azure verwaltete Grafana-Instanz enthält, die Rolle Überwachungsleser*in, um von Container Insights aus auf Syslog zuzugreifen.

Screenshot of Syslog Grafana dashboard.

Zugriff mittels Protokollabfragen

Syslog-Daten werden in der Syslog-Tabelle in Ihrem Log Analytics-Arbeitsbereich gespeichert. Sie können eigene Protokollabfragen in Log Analytics erstellen, um diese Daten zu analysieren oder eine der vordefinierten Abfragen zu verwenden.

Screenshot of Syslog query loaded in the query editor in the Azure Monitor Portal UI.

Sie können Log Analytics über das Menü Protokolle im Menü Überwachen öffnen, um auf Syslog-Daten für alle Cluster zuzugreifen, oder über das Menü des AKS-Clusters, um auf Syslog-Daten nur für diesen Cluster zuzugreifen.

Screenshot of Query editor with Syslog query.

Beispielabfragen

Die folgende Tabelle zeigt verschiedene Beispiele für Protokollabfragen, die Syslog-Protokolldatensätze abrufen.

Abfrage BESCHREIBUNG
Syslog Alle Syslog-Datensätze
Syslog | where SeverityLevel == "error" Alle Syslog-Datensätze mit Fehlerschweregrad
Syslog | summarize AggregatedValue = count() by Computer Anzahl der Syslog-Datensätze je Computer
Syslog | summarize AggregatedValue = count() by Facility Anzahl der Syslog-Datensätze je Einrichtung
Syslog | where ProcessName == "kubelet" Alle Syslog-Datensätze aus dem Kubelet-Prozess
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Syslog-Datensätze aus dem Kubelet-Prozess mit Fehlern

Bearbeiten Ihrer Syslog-Sammlungseinstellungen

Um die Konfiguration für Ihre Syslog-Sammlung zu ändern, ändern Sie die Datensammlungsregel (Data Collection Rule, DCR), die bei der Aktivierung erstellt wurde.

Wählen Sie im Azure-Portal im Menü Monitor die Option Datensammlungsregeln aus.

Screenshot of Data Collection Rules tab in the Azure Monitor portal UI.

Wählen Sie Ihre DCR und dann Datenquellen anzeigen aus. Wählen Sie die Linux Syslog-Datenquelle aus, um die Syslog-Sammlungsdetails anzuzeigen.

Hinweis

Beim Aktivieren von Syslog wird automatisch eine DCR erstellt. Die DCR folgt der Namenskonvention MSCI-<WorkspaceRegion>-<ClusterName>.

Screenshot of Data Sources tab for Syslog data collection rule.

Wählen Sie den Mindestprotokolliergrad für jede Einrichtung aus, die Sie erfassen möchten.

Screenshot of Configuration panel for Syslog data collection rule.

Nächste Schritte

Nach dem Setup können Kunden mit dem Senden von Syslogdaten an die Tools ihrer Wahl beginnen

Weitere Informationen

Teilen Sie Ihr Feedback für dieses Feature hier: https://forms.office.com/r/BBvCjjDLTS