Container Insights에서 Syslog 데이터에 액세스
컨테이너 인사이트는 AKS(Azure Kubernetes Service) 클러스터의 Linux 노드에서 Syslog 이벤트를 수집하는 기능을 제공합니다. 여기에는 kubelet과 같은 컨트롤 플레인 구성 요소에서 로그를 수집하는 기능이 포함됩니다. 고객은 일반적으로 Microsoft Sentinel과 같은 SIEM 시스템에 syslog를 수집하여 보안 및 상태 이벤트를 모니터링하는 데 Syslog를 사용할 수도 있습니다.
필수 조건
- Container Insights에서 로그 컬렉션 구성 및 필터링의 지침을 사용하여 클러스터에 대한 Syslog 컬렉션을 사용하도록 설정해야 합니다.
- 포트 28330은 호스트 노드에서 사용 가능해야 합니다.
기본 제공 통합 문서
Syslog 데이터의 빠른 스냅샷을 가져오려면 다음 방법 중 하나를 사용하여 기본 제공 Syslog 통합 문서를 사용합니다.
참고 항목
클러스터에 대해 Container Insights Prometheus 환경을 사용하도록 설정하는 경우 보고서 탭을 사용할 수 없습니다.
Container Insights의 보고서 탭입니다. Azure Portal에서 클러스터로 이동하여 인사이트를 엽니다. 보고서 탭을 열고 Syslog 통합 문서를 찾습니다.
Azure Portal의 클러스터에 대한 AKS의 통합 문서 탭입니다. 통합 문서 탭을 열고 Syslog 통합 문서를 찾습니다.
Grafana 대시보드
Grafana를 사용하는 경우 Grafana용 Syslog 대시보드를 사용하여 Syslog 데이터의 개요를 파악할 수 있습니다. 이 대시보드는 새로운 Azure Managed Grafana 인스턴스를 만드는 경우 기본적으로 사용할 수 있습니다. 그렇지 않으면 Grafana 마켓플레이스에서 Syslog 대시보드를 가져올 수 있습니다.
참고 항목
Container Insights에서 syslog에 액세스하려면 Azure Managed Grafana 인스턴스가 포함된 구독에 대한 모니터링 읽기 권한자 역할이 필요합니다.
로그 쿼리
Syslog 데이터는 Log Analytics 작업 영역의 Syslog 테이블에 저장됩니다. Log Analytics에서 고유한 로그 쿼리를 만들어 이 데이터를 분석하거나 미리 빌드된 쿼리를 사용할 수 있습니다.
모니터 메뉴의 로그 메뉴에서 Log Analytics를 열어 모든 클러스터의 Syslog 데이터에 액세스하거나 AK 클러스터 메뉴에서 해당 클러스터의 Syslog 데이터에만 액세스할 수 있습니다.
샘플 쿼리
다음 표에는 Syslog 레코드를 검색하는 로그 쿼리의 여러 예제가 나와 있습니다.
| 쿼리 | 설명 |
|---|---|
Syslog |
모든 Syslog |
Syslog | where SeverityLevel == "error" |
심각도가 오류인 모든 Syslog 레코드 |
Syslog | summarize AggregatedValue = count() by Computer |
컴퓨터별 Syslog 레코드 수 |
Syslog | summarize AggregatedValue = count() by Facility |
기능별 Syslog 레코드 수 |
Syslog | where ProcessName == "kubelet" |
kubelet 프로세스의 모든 Syslog 레코드 |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
오류가 있는 kubelet 프로세스의 Syslog 레코드 |
다음 단계
설치 후 고객은 Syslog 데이터를 선택한 도구로 보낼 수 있습니다.
https://forms.office.com/r/BBvCjjDLTS에서 이 기능에 대한 피드백을 공유하세요.