Partage via

Collecte de Syslog avec Container Insights

  • Article

Container Insights offre la possibilité de collecter des événements Syslog à partir de nœuds Linux dans vos clusters Azure Kubernetes Service (AKS). Cela inclut la possibilité de collecter des journaux à partir de composants de plan de contrôle tels que kubelet. Les clients peuvent également utiliser Syslog pour surveiller les événements de sécurité et d’intégrité, généralement en ingérant syslog dans un système SIEM comme Microsoft Sentinel.

Prérequis

Accéder aux données Syslog au moyen de classeurs intégrés

Pour obtenir un instantané rapide de vos données Syslog, utilisez le classeur Syslog intégré au moyen de l’une des méthodes suivantes :

  • Onglet Rapports dans Container Insights. Accédez à votre cluster dans le portail Azure et ouvrez Insights. Ouvrez l’onglet Rapports et sélectionnez le classeur Syslog.

    Vidéo de l'accès au classeur Syslog depuis l'onglet Rapports de Container Insights.

  • Onglet Classeurs dans AKS. Accédez à votre cluster dans le portail Azure. Ouvrez l’onglet Classeurs et sélectionnez le classeur Syslog.

    Vidéo de l'accès au classeur Syslog depuis l'onglet classeurs du cluster.

Accéder aux données Syslog au moyen d’un tableau de bord Grafana

Les clients peuvent utiliser notre tableau de bord Syslog pour Grafana pour obtenir une vue d’ensemble de leurs données Syslog. Les clients qui créent une nouvelle instance Grafana managée par Azure disposeront de ce tableau de bord par défaut. Les clients qui disposent d'instances existantes ou qui exploitent leur propre instance peuvent importer le tableau de bord Syslog à partir de la marketplace Grafana.

Remarque

Vous devrez disposer du rôle Lecteur de supervision sur l'abonnement contenant l'instance Azure Managed Grafana pour accéder au syslog à partir de Container Insights.

Capture d’écran de tableau de bord Syslog Grafana.

Accéder aux données Syslog au moyen de requêtes de journal

Les données Syslog sont stockées dans la table Syslog de votre espace de travail Log Analytics. Vous pouvez créer vos propres requêtes de journal dans Log Analytics pour analyser ces données ou utiliser l’une des requêtes prédéfinies.

Capture d’écran de la requête Syslog chargée dans l’éditeur de requête dans l’interface utilisateur du portail Azure Monitor.

Vous pouvez ouvrir Log Analytics à partir du menu Journaux du menu Surveiller pour accéder aux données Syslog pour tous les clusters ou à partir du menu du cluster AKS pour accéder uniquement aux données Syslog pour ce cluster.

Capture d’écran de l’Éditeur de requête avec une requête Syslog.

Exemples de requêtes

Le tableau suivant fournit plusieurs exemples de requêtes de journaux qui extraient des enregistrements Syslog.

Requête Description
Syslog Tous les journaux Syslog
Syslog | where SeverityLevel == "error" Tous les enregistrements Syslog avec le niveau de gravité Erreur
Syslog | summarize AggregatedValue = count() by Computer Nombre d’enregistrements Syslog par ordinateur
Syslog | summarize AggregatedValue = count() by Facility Nombre d’enregistrements Syslog par installation
Syslog | where ProcessName == "kubelet" Tous les enregistrements Syslog du processus kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Enregistrements Syslog à partir du processus kubelet avec des erreurs

Modification de vos paramètres de collecte de Syslog

Pour modifier votre configuration de collecte de Syslog, vous modifiez la règle de collecte de données (DCR) qui a été créée lorsque vous l’avez activée.

Dans le menu Monitor du portail Azure, sélectionnez Règles de collecte des données.

Capture d’écran de l’onglet Règles de collecte de données dans l’interface utilisateur du portail Azure Monitor.

Sélectionnez votre DCR, puis Afficher les sources de données. Sélectionnez la source de données Syslog Linux pour afficher les détails de la collecte de Syslog.

Notes

Une DCR est créée automatiquement lorsque vous activez syslog. La DCR suit la convention de d’affectation de noms MSCI-<WorkspaceRegion>-<ClusterName>.

Capture d’écran de l’onglet Sources de données pour la règle de collecte de données Syslog.

Sélectionnez le niveau de journal minimal pour chaque installation que vous souhaitez collecter.

Capture d’écran du panneau Configuration pour la règle de collecte de données Syslog.

Étapes suivantes

Une fois la configuration terminée, les clients peuvent commencer à envoyer des données Syslog aux outils de leur choix

Partagez vos commentaires concernant cette fonctionnalité ici : https://forms.office.com/r/BBvCjjDLTS