Partage via

Collecte de Syslog avec Container Insights

  • Article

Container Insights offre la possibilité de collecter des événements Syslog à partir de nœuds Linux dans vos clusters Azure Kubernetes Service (AKS). Cela inclut la possibilité de collecter des journaux à partir de composants de plan de contrôle tels que kubelet. Les clients peuvent également utiliser Syslog pour surveiller les événements de sécurité et d’intégrité, généralement en ingérant syslog dans un système SIEM comme Microsoft Sentinel.

Prérequis

Comment activer Syslog

À partir du portail Azure

Accédez à votre cluster. Ouvrez l’onglet Insights pour votre cluster. Ouvrez le panneau Paramètres d’analyse . Cliquez sur Modifier les paramètres de regroupement, puis cochez la case Activer la collecte Syslog

Screen recording of syslog being enabled from the Azure portal through the Monitor Settings panel in Container Insights.

Utilisation des commandes Azure CLI

Utilisez la commande suivante dans Azure CLI pour activer la collecte de syslog lorsque vous créez un cluster AKS.

az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key

Utilisez la commande suivante dans Azure CLI pour activer la collecte de syslog sur un cluster AKS existant.

az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster

Utilisation de modèles ARM

Vous pouvez également utiliser des modèles ARM pour activer la collecte syslog

  1. Téléchargez le modèle dans le fichier de contenu GitHub et enregistrez-le sous existingClusterOnboarding.json.

  2. Téléchargez le fichier de paramètres dans le fichier de contenu GitHub et enregistrez-le sous existingClusterParam.json.

  3. Modifiez les valeurs dans le fichier de paramètres :

    • aksResourceId : Utilisez les valeurs sur la page Présentation AKS du cluster AKS.
    • aksResourceLocation : Utilisez les valeurs sur la page Présentation AKS du cluster AKS.
    • workspaceResourceId : Utilisez l’ID de la ressource de votre espace de travail Log Analytics.
    • resourceTagValues : Faites correspondre les valeurs d’étiquettes existantes spécifiées pour la règle de collecte de données de l’extension Container Insights existante du cluster et le nom de la règle de collecte de données. Le nom sera MSCI-<nomCluster>-<régionCluster> et cette ressource sera créée dans un groupe de ressources de clusters AKS. S’il s’agit de la première intégration, vous pouvez définir des valeurs d’étiquettes arbitraires.
    • enableSyslog : définir sur true
    • syslogLevels : tableau de niveaux syslog à collecter. La valeur par défaut collecte tous les niveaux.
    • syslogFacilities : tableau d’installations syslog à collecter. La valeur par défaut collecte toutes les installations

Notes

La personnalisation des niveaux et des installations syslog est actuellement disponible uniquement avec les modèles ARM.

Déployer le modèle

Déployez le modèle avec le fichier de paramètres en utilisant une méthode valide pour déployer des modèles Resource Manager. Pour obtenir des exemples des différentes méthodes, consultez Déployer les exemples de modèles.

Déployer avec Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

Le changement de configuration peut prendre quelques minutes. Quand vous avez terminé, un message similaire à l’exemple suivant inclut ce résultat :

provisioningState       : Succeeded

Déploiement avec l’interface de ligne de commande Azure

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

Le changement de configuration peut prendre quelques minutes. Quand vous avez terminé, un message similaire à l’exemple suivant inclut ce résultat :

provisioningState       : Succeeded

Comment accéder aux données Syslog

Accès à l’aide de classeurs intégrés

Pour obtenir une capture instantanée rapide de vos données syslog, les clients peuvent utiliser notre classeur Syslog intégré. Il existe deux manières d’accéder au classeur intégré.

Option 1 : L’onglet Rapports dans Container Insights. Accédez à votre cluster. Ouvrez l’onglet Insights pour votre cluster. Ouvrez l’onglet Rapports et recherchez le classeur Syslog.

Video of Syslog workbook being accessed from Container Insights Reports tab.

Option 2 : L’onglet Classeurs dans AKS. Accédez à votre cluster. Ouvrez l’onglet Classeurs de votre cluster et recherchez le classeur Syslog .

Video of Syslog workbook being accessed from cluster workbooks tab.

Accès à l’aide d’un tableau de bord Grafana

Les clients peuvent utiliser notre tableau de bord Syslog pour Grafana pour obtenir une vue d’ensemble de leurs données Syslog. Les clients qui créent une nouvelle instance Grafana managée par Azure disposeront de ce tableau de bord par défaut. Les clients qui disposent d'instances existantes ou qui exploitent leur propre instance peuvent importer le tableau de bord Syslog à partir de la marketplace Grafana.

Remarque

Vous devrez disposer du rôle Lecteur de supervision sur l'abonnement contenant l'instance Azure Managed Grafana pour accéder au syslog à partir de Container Insights.

Screenshot of Syslog Grafana dashboard.

Accès à l’aide de requêtes de journal

Les données Syslog sont stockées dans la table Syslog de votre espace de travail Log Analytics. Vous pouvez créer vos propres requêtes de journal dans Log Analytics pour analyser ces données ou utiliser l’une des requêtes prédéfinies.

Screenshot of Syslog query loaded in the query editor in the Azure Monitor Portal UI.

Vous pouvez ouvrir Log Analytics à partir du menu Journaux du menu Surveiller pour accéder aux données Syslog pour tous les clusters ou à partir du menu du cluster AKS pour accéder uniquement aux données Syslog pour ce cluster.

Screenshot of Query editor with Syslog query.

Exemples de requêtes

Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements Syslog.

Requête Description
Syslog Tous les journaux Syslog
Syslog | where SeverityLevel == "error" Tous les enregistrements Syslog avec le niveau de gravité Erreur
Syslog | summarize AggregatedValue = count() by Computer Nombre d’enregistrements Syslog par ordinateur
Syslog | summarize AggregatedValue = count() by Facility Nombre d’enregistrements Syslog par installation
Syslog | where ProcessName == "kubelet" Tous les enregistrements Syslog du processus kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Enregistrements Syslog à partir du processus kubelet avec des erreurs

Modification de vos paramètres de collecte de Syslog

Pour modifier votre configuration de collecte de Syslog, vous modifiez la règle de collecte de données (DCR) qui a été créée lorsque vous l’avez activée.

Dans le menu Monitor du portail Azure, sélectionnez Règles de collecte des données.

Screenshot of Data Collection Rules tab in the Azure Monitor portal UI.

Sélectionnez votre DCR, puis Afficher les sources de données. Sélectionnez la source de données Syslog Linux pour afficher les détails de la collecte de Syslog.

Notes

Une DCR est créée automatiquement lorsque vous activez syslog. La DCR suit la convention de d’affectation de noms MSCI-<WorkspaceRegion>-<ClusterName>.

Screenshot of Data Sources tab for Syslog data collection rule.

Sélectionnez le niveau de journal minimal pour chaque installation que vous souhaitez collecter.

Screenshot of Configuration panel for Syslog data collection rule.

Étapes suivantes

Une fois la configuration terminée, les clients peuvent commencer à envoyer des données Syslog aux outils de leur choix

En savoir plus

Partagez vos commentaires concernant cette fonctionnalité ici : https://forms.office.com/r/BBvCjjDLTS