Syslog-gyűjtemény tároló betekintő adatokkal
A tároló Elemzések lehetővé teszi a Syslog-események gyűjtését Linux-csomópontokról az Azure Kubernetes Service -fürtökben. Ez magában foglalja a naplók gyűjtését a vezérlősík összetevőiből, például a kubeletből. Az ügyfelek a Syslogot biztonsági és állapotesemények monitorozására is használhatják, általában úgy, hogy a syslogot egy SIEM-rendszerbe, például a Microsoft Sentinelbe betöltik.
Előfeltételek
- Engedélyeznie kell a felügyelt identitás hitelesítését a fürtön. Az engedélyezéshez tekintse meg az AKS-fürt felügyelt identitáshitelesítésre való migrálását. Megjegyzés: A felügyelt identitás engedélyezésével létre fog hozni egy új, névvel ellátott adatgyűjtési szabályt (DCR)
MSCI-<WorkspaceRegion>-<ClusterName> - A 28330-ás portnak elérhetőnek kell lennie a gazdacsomóponton.
- Az Azure-összetevők minimális verziói
- Azure CLI: Az Azure CLI minimálisan szükséges verziója a 2.45.0 (a kibocsátási megjegyzésekre mutató hivatkozás). A frissítési utasításokért tekintse meg az Azure CLI frissítésével kapcsolatos útmutatást.
- Azure CLI AKS előzetes verziójú bővítmény: Az AKS-Preview Azure CLI-bővítmény minimális verziója a 0.5.125 (kibocsátási megjegyzésekre mutató hivatkozás). A bővítmények frissítésével kapcsolatos útmutatásért tekintse meg a bővítmények frissítésével kapcsolatos útmutatást.
- Linux rendszerkép verziója: Az AKS-csomópont linuxos rendszerképének minimális verziója 2022.11.01. A frissítési súgóért tekintse meg az Azure Kubernetes Service (AKS) csomópontrendszerképeinek frissítését.
A Syslog engedélyezése
Az Azure Portalról
Lépjen a fürtre. Nyissa meg a fürt Elemzések lapját. Nyissa meg a Monitorozás Gépház panelt. Kattintson a Gyűjtemény beállításainak szerkesztése elemre, majd jelölje be a Syslog-gyűjtemény engedélyezése jelölőnégyzetet
Az Azure parancssori felület parancsait használva
Új AKS-fürt létrehozásakor használja az alábbi parancsot az Azure CLI-ben a syslog-gyűjtemény engedélyezéséhez.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Az Azure CLI következő parancsával engedélyezheti a syslog-gyűjteményt egy meglévő AKS-fürtön.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
ARM-sablonok használata
ARM-sablonokat is használhat a syslog-gyűjtemény engedélyezéséhez
Töltse le a sablont a GitHub tartalomfájljában, és mentse existingClusterOnboarding.json.
Töltse le a paraméterfájlt a GitHub-tartalomfájlba, és mentse existingClusterParam.json.
Szerkessze a paraméterfájl értékeit:
aksResourceId: Használja az AKS-fürt AKS Áttekintés lapján található értékeket.aksResourceLocation: Használja az AKS-fürt AKS Áttekintés lapján található értékeket.workspaceResourceId: Használja a Log Analytics-munkaterület erőforrás-azonosítóját.resourceTagValues: Egyezzen a fürt meglévő Container Insights-bővítmény adatgyűjtési szabályához (DCR) megadott meglévő címkeértékekkel és a DCR nevével. A név MSCI-clusterName-clusterRegion><<> lesz, és ez az erőforrás egy AKS-fürtök erőforráscsoportjában lett létrehozva. Ha ez az első előkészítés, beállíthatja az tetszőleges címkeértékeket.enableSyslog: Igaz értékre van állítvasyslogLevels: Gyűjtendő syslog-szintek tömbje. Az alapértelmezett érték az összes szintet összegyűjti.syslogFacilities: Gyűjtendő syslog-létesítmények tömbje. Alapértelmezés szerint az összes létesítményt összegyűjti
Feljegyzés
A syslog szint és a létesítmények testreszabása jelenleg csak ARM-sablonokon keresztül érhető el.
A sablon üzembe helyezése
Telepítse a sablont a paraméterfájllal a Resource Manager-sablonok üzembe helyezésének bármely érvényes módszerével. Példák a különböző módszerekre: A mintasablonok üzembe helyezése.
Üzembe helyezés az Azure PowerShell-lel
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
A konfiguráció módosítása eltarthat néhány percig. Ha elkészült, az alábbi példához hasonló üzenet tartalmazza ezt az eredményt:
provisioningState : Succeeded
Üzembe helyezés az Azure CLI-vel
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
A konfiguráció módosítása eltarthat néhány percig. Ha elkészült, az alábbi példához hasonló üzenet tartalmazza ezt az eredményt:
provisioningState : Succeeded
Syslog-adatok elérése
Hozzáférés beépített munkafüzetekkel
A syslog-adatok gyors pillanatképének lekéréséhez az ügyfelek használhatják a beépített Syslog-munkafüzetet. A beépített munkafüzet kétféleképpen érhető el.
1. lehetőség – A Tároló Elemzések Jelentések lapja. Lépjen a fürtre. Nyissa meg a fürt Elemzések lapját. Nyissa meg a Jelentések lapot, és keresse meg a Syslog-munkafüzetet .
2. lehetőség – Az AKS Munkafüzetek lapja keresse meg a fürtöt. Nyissa meg a fürt Munkafüzetek lapját, és keresse meg a Syslog-munkafüzetet .
Hozzáférés Grafana-irányítópult használatával
Az ügyfelek a Syslog-irányítópult Grafana számára való használatával áttekintést kaphatnak a Syslog-adataikról. Az új Azure által felügyelt Grafana-példányt létrehozó ügyfelek alapértelmezés szerint elérhetőek lesznek az irányítópulton. A meglévő vagy a saját példányt futtató ügyfelek importálhatják a Syslog-irányítópultot a Grafana piactérről.
Feljegyzés
Az Azure Managed Grafana-példányt tartalmazó előfizetés figyelési olvasó szerepkörével kell rendelkeznie ahhoz, hogy hozzáférjen a sysloghoz a Container Elemzések-ból.
Hozzáférés napló lekérdezésekkel
A rendszer a Syslog-adatokat a Log Analytics-munkaterület Syslog táblájában tárolja. Saját napló lekérdezéseket hozhat létre a Log Analyticsben az adatok elemzéséhez vagy az előre összeállított lekérdezések bármelyikének használatához.
A Log Analyticst a Monitor menü Naplók menüjéből megnyitva hozzáférhet az összes fürt Syslog-adataihoz, vagy az AKs-fürt menüjéből, hogy csak az adott fürt Syslog-adataihoz férhessen hozzá.
Minta lekérdezések
Az alábbi táblázat különböző példákat tartalmaz a Syslog-rekordokat lekérő napló lekérdezésekre.
| Lekérdezés | Leírás |
|---|---|
Syslog |
Minden syslogs |
Syslog | where SeverityLevel == "error" |
A hiba súlyosságú összes Syslog-rekord |
Syslog | summarize AggregatedValue = count() by Computer |
Syslog-rekordok száma számítógép szerint |
Syslog | summarize AggregatedValue = count() by Facility |
Syslog-rekordok száma létesítmény szerint |
Syslog | where ProcessName == "kubelet" |
A kubelet folyamat összes Syslog-rekordja |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Syslog-rekordok a kubelet-folyamatból hibákkal |
A Syslog-gyűjtemény beállításainak szerkesztése
A Syslog-gyűjtemény konfigurációjának módosításához módosítsa az engedélyezéskor létrehozott adatgyűjtési szabályt (DCR ).
Válassza az Adatgyűjtési szabályok lehetőséget az Azure Portal Monitor menüjében.
Válassza ki a DCR-t, majd tekintse meg az adatforrásokat. Válassza ki a Linux Syslog adatforrást a Syslog-gyűjtemény részleteinek megtekintéséhez.
Feljegyzés
A rendszer automatikusan létrehoz egy DCR-t a syslog engedélyezésekor. A DCR az elnevezési konvenciót MSCI-<WorkspaceRegion>-<ClusterName>követi .
Válassza ki az összes összegyűjteni kívánt létesítmény naplószintjének minimális szintjét.
Következő lépések
Miután a telepítő ügyfelek megkezdhetik a Syslog-adatok küldését a választott eszközökre
További információ
A funkcióval kapcsolatos visszajelzését itt osztja meg: https://forms.office.com/r/BBvCjjDLTS
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: