Collecte de Syslog avec Container Insights
Container Insights offre la possibilité de collecter des événements Syslog à partir de nœuds Linux dans vos clusters Azure Kubernetes Service (AKS). Cela inclut la possibilité de collecter des journaux à partir de composants de plan de contrôle tels que kubelet. Les clients peuvent également utiliser Syslog pour surveiller les événements de sécurité et d’intégrité, généralement en ingérant syslog dans un système SIEM comme Microsoft Sentinel.
Prérequis
- L’authentification d’identité managée doit être activée sur votre cluster. Pour l’activer, consultez Migrer votre cluster AKS vers l’authentification d’identité managée. Remarque : L’activation de l’identité managée crée une règle nommée de collecte de données (DCR)
MSCI-<WorkspaceRegion>-<ClusterName>
- Le port 28330 doit être disponible sur le nœud hôte.
- Versions minimales des composants Azure
- Azure CLI : la version minimale requise pour Azure CLI est 2.45.0 (lien vers les notes de publication). Consultez Guide pratique pour mettre à jour Azure CLI pour obtenir des instructions de mise à niveau.
- Extension Azure CLI AKS-Preview : la version minimale requise pour l'extension Azure CLI AKS-Preview est 0.5.125 (lien vers les notes de publication). Consultez Guide pratique pour mettre à jour les extensions pour obtenir des conseils de mise à niveau.
- Version de l’image Linux : la version minimale de l’image Linux du nœud AKS est 2022.11.01. Pour obtenir de l’aide sur la mise à niveau, consultez Mettre à niveau les images de nœud Azure Kubernetes service (AKS).
Comment activer Syslog
À partir du portail Azure
Accédez à votre cluster. Ouvrez l’onglet Insights pour votre cluster. Ouvrez le panneau Paramètres d’analyse . Cliquez sur Modifier les paramètres de regroupement, puis cochez la case Activer la collecte Syslog
Utilisation des commandes Azure CLI
Utilisez la commande suivante dans Azure CLI pour activer la collecte de syslog lorsque vous créez un cluster AKS.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Utilisez la commande suivante dans Azure CLI pour activer la collecte de syslog sur un cluster AKS existant.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
Utilisation de modèles ARM
Vous pouvez également utiliser des modèles ARM pour activer la collecte syslog
Téléchargez le modèle dans le fichier de contenu GitHub et enregistrez-le sous existingClusterOnboarding.json.
Téléchargez le fichier de paramètres dans le fichier de contenu GitHub et enregistrez-le sous existingClusterParam.json.
Modifiez les valeurs dans le fichier de paramètres :
aksResourceId
: Utilisez les valeurs sur la page Présentation AKS du cluster AKS.aksResourceLocation
: Utilisez les valeurs sur la page Présentation AKS du cluster AKS.workspaceResourceId
: Utilisez l’ID de la ressource de votre espace de travail Log Analytics.resourceTagValues
: Faites correspondre les valeurs d’étiquettes existantes spécifiées pour la règle de collecte de données de l’extension Container Insights existante du cluster et le nom de la règle de collecte de données. Le nom sera MSCI-<nomCluster>-<régionCluster> et cette ressource sera créée dans un groupe de ressources de clusters AKS. S’il s’agit de la première intégration, vous pouvez définir des valeurs d’étiquettes arbitraires.enableSyslog
: définir sur truesyslogLevels
: tableau de niveaux syslog à collecter. La valeur par défaut collecte tous les niveaux.syslogFacilities
: tableau d’installations syslog à collecter. La valeur par défaut collecte toutes les installations
Notes
La personnalisation des niveaux et des installations syslog est actuellement disponible uniquement avec les modèles ARM.
Déployer le modèle
Déployez le modèle avec le fichier de paramètres en utilisant une méthode valide pour déployer des modèles Resource Manager. Pour obtenir des exemples des différentes méthodes, consultez Déployer les exemples de modèles.
Déployer avec Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
Le changement de configuration peut prendre quelques minutes. Quand vous avez terminé, un message similaire à l’exemple suivant inclut ce résultat :
provisioningState : Succeeded
Déploiement avec l’interface de ligne de commande Azure
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
Le changement de configuration peut prendre quelques minutes. Quand vous avez terminé, un message similaire à l’exemple suivant inclut ce résultat :
provisioningState : Succeeded
Comment accéder aux données Syslog
Accès à l’aide de classeurs intégrés
Pour obtenir une capture instantanée rapide de vos données syslog, les clients peuvent utiliser notre classeur Syslog intégré. Il existe deux manières d’accéder au classeur intégré.
Option 1 : L’onglet Rapports dans Container Insights. Accédez à votre cluster. Ouvrez l’onglet Insights pour votre cluster. Ouvrez l’onglet Rapports et recherchez le classeur Syslog.
Option 2 : L’onglet Classeurs dans AKS. Accédez à votre cluster. Ouvrez l’onglet Classeurs de votre cluster et recherchez le classeur Syslog .
Accès à l’aide d’un tableau de bord Grafana
Les clients peuvent utiliser notre tableau de bord Syslog pour Grafana pour obtenir une vue d’ensemble de leurs données Syslog. Les clients qui créent une nouvelle instance Grafana managée par Azure disposeront de ce tableau de bord par défaut. Les clients qui disposent d'instances existantes ou qui exploitent leur propre instance peuvent importer le tableau de bord Syslog à partir de la marketplace Grafana.
Remarque
Vous devrez disposer du rôle Lecteur de supervision sur l'abonnement contenant l'instance Azure Managed Grafana pour accéder au syslog à partir de Container Insights.
Accès à l’aide de requêtes de journal
Les données Syslog sont stockées dans la table Syslog de votre espace de travail Log Analytics. Vous pouvez créer vos propres requêtes de journal dans Log Analytics pour analyser ces données ou utiliser l’une des requêtes prédéfinies.
Vous pouvez ouvrir Log Analytics à partir du menu Journaux du menu Surveiller pour accéder aux données Syslog pour tous les clusters ou à partir du menu du cluster AKS pour accéder uniquement aux données Syslog pour ce cluster.
Exemples de requêtes
Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements Syslog.
Requête | Description |
---|---|
Syslog |
Tous les journaux Syslog |
Syslog | where SeverityLevel == "error" |
Tous les enregistrements Syslog avec le niveau de gravité Erreur |
Syslog | summarize AggregatedValue = count() by Computer |
Nombre d’enregistrements Syslog par ordinateur |
Syslog | summarize AggregatedValue = count() by Facility |
Nombre d’enregistrements Syslog par installation |
Syslog | where ProcessName == "kubelet" |
Tous les enregistrements Syslog du processus kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Enregistrements Syslog à partir du processus kubelet avec des erreurs |
Modification de vos paramètres de collecte de Syslog
Pour modifier votre configuration de collecte de Syslog, vous modifiez la règle de collecte de données (DCR) qui a été créée lorsque vous l’avez activée.
Dans le menu Monitor du portail Azure, sélectionnez Règles de collecte des données.
Sélectionnez votre DCR, puis Afficher les sources de données. Sélectionnez la source de données Syslog Linux pour afficher les détails de la collecte de Syslog.
Notes
Une DCR est créée automatiquement lorsque vous activez syslog. La DCR suit la convention de d’affectation de noms MSCI-<WorkspaceRegion>-<ClusterName>
.
Sélectionnez le niveau de journal minimal pour chaque installation que vous souhaitez collecter.
Étapes suivantes
Une fois la configuration terminée, les clients peuvent commencer à envoyer des données Syslog aux outils de leur choix
En savoir plus
Partagez vos commentaires concernant cette fonctionnalité ici : https://forms.office.com/r/BBvCjjDLTS
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir :Soumettre et afficher des commentaires pour