Syslog verzamelen met Container Insights

Container Insights biedt de mogelijkheid om Syslog-gebeurtenissen te verzamelen van Linux-knooppunten in uw AKS-clusters (Azure Kubernetes Service). Dit omvat de mogelijkheid om logboeken te verzamelen van onderdelen van het besturingsvlak, zoals kubelet. Klanten kunnen Syslog ook gebruiken voor het bewaken van beveiligings- en statusgebeurtenissen, meestal door syslog op te nemen in een SIEM-systeem zoals Microsoft Sentinel.

Vereisten

• U moet beheerde identiteitverificatie hebben ingeschakeld op uw cluster. Zie Uw AKS-cluster migreren naar beheerde identiteitsverificatie om dit in te schakelen. Opmerking: als u Managed Identity inschakelt, wordt een nieuwe DCR (Data Collection Rule) gemaakt met de naam MSCI-<WorkspaceRegion>-<ClusterName>
• Poort 28330 moet beschikbaar zijn op het hostknooppunt.
• Minimale versies van Azure-onderdelen
  • Azure CLI: de minimale versie die is vereist voor Azure CLI is 2.45.0 (koppeling naar opmerkingen bij de release). Zie De Azure CLI bijwerken voor upgrade-instructies.
  • Azure CLI AKS-Preview-extensie: de minimale versie die is vereist voor de Azure CLI-extensie AKS-preview is 0.5.125 (koppeling naar opmerkingen bij de release). Zie Extensies bijwerken voor upgraderichtlijnen.
  • Linux-installatiekopieënversie: de minimale versie voor de Linux-installatiekopieën van het AKS-knooppunt is 2022.11.01. Zie AKS-knooppuntinstallatiekopieën (Upgrade Azure Kubernetes Service) voor hulp bij de upgrade.

Syslog inschakelen

Vanuit Azure Portal

Navigeer naar uw cluster. Open het tabblad Inzichten voor uw cluster. Open het deelvenster Monitor Instellingen. Klik op Instellingen voor verzameling bewerken en schakel vervolgens het selectievakje in voor syslog-verzameling inschakelen

Azure CLI-opdrachten gebruiken

Gebruik de volgende opdracht in Azure CLI om syslog-verzameling in te schakelen wanneer u een nieuw AKS-cluster maakt.

az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key

Gebruik de volgende opdracht in Azure CLI om syslog-verzameling in te schakelen op een bestaand AKS-cluster.

az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster

ARM-sjablonen gebruiken

U kunt ook ARM-sjablonen gebruiken voor het inschakelen van syslog-verzamelingen

1. Download de sjabloon in het GitHub-inhoudsbestand en sla deze op als existingClusterOnboarding.json.

2. Download het parameterbestand in het GitHub-inhoudsbestand en sla het op als existingClusterParam.json.

3. Bewerk de waarden in het parameterbestand:

   • aksResourceId: Gebruik de waarden op de AKS-overzichtspagina voor het AKS-cluster.
   • aksResourceLocation: Gebruik de waarden op de AKS-overzichtspagina voor het AKS-cluster.
   • workspaceResourceId: Gebruik de resource-id van uw Log Analytics-werkruimte.
   • resourceTagValues: Komt overeen met de bestaande tagwaarden die zijn opgegeven voor de bestaande DCR (Container Insights Extension Data Collection Rule) van het cluster en de naam van de DCR. De naam is MSCI-clusterName-clusterRegion><> en deze resource die is gemaakt in een AKS-clusterresourcegroep.< Als dit de eerste keer is dat onboarding plaatsvindt, kunt u de willekeurige tagwaarden instellen.
   • enableSyslog: Ingesteld op true
   • syslogLevels: Matrix van syslogniveaus die moeten worden verzameld. Standaard worden alle niveaus verzameld.
   • syslogFacilities: Matrix van syslog-faciliteiten die moeten worden verzameld. Standaard verzamelt alle faciliteiten

Notitie

Aanpassing op Syslog-niveau en -faciliteiten is momenteel alleen beschikbaar via ARM-sjablonen.

De sjabloon implementeren

Implementeer de sjabloon met het parameterbestand met behulp van een geldige methode voor het implementeren van Resource Manager-sjablonen. Zie De voorbeeldsjablonen implementeren voor voorbeelden van verschillende methoden.

Implementeren met Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

Het kan enkele minuten duren voordat de configuratie is gewijzigd. Wanneer dit is voltooid, bevat een bericht dat lijkt op het volgende voorbeeld dit resultaat:

provisioningState       : Succeeded

Implementeren met Azure CLI

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

Het kan enkele minuten duren voordat de configuratie is gewijzigd. Wanneer dit is voltooid, bevat een bericht dat lijkt op het volgende voorbeeld dit resultaat:

provisioningState       : Succeeded

Syslog-gegevens openen

Toegang met behulp van ingebouwde werkmappen

Klanten kunnen onze ingebouwde Syslog-werkmap gebruiken om een snelle momentopname van uw syslog-gegevens te krijgen. Er zijn twee manieren om toegang te krijgen tot de ingebouwde werkmap.

Optie 1: het tabblad Rapporten in Container Insights. Navigeer naar uw cluster. Open het tabblad Inzichten voor uw cluster. Open het tabblad Rapporten en zoek naar de Syslog-werkmap .

Optie 2: het tabblad Werkmappen in AKS Navigeer naar uw cluster. Open het tabblad Werkmappen voor uw cluster en zoek naar de Syslog-werkmap .

Toegang met behulp van een Grafana-dashboard

Klanten kunnen ons Syslog-dashboard voor Grafana gebruiken om een overzicht te krijgen van hun Syslog-gegevens. Klanten die een nieuw door Azure beheerd Grafana-exemplaar maken, hebben dit dashboard standaard beschikbaar. Klanten met bestaande exemplaren of exemplaren waarop hun eigen exemplaar wordt uitgevoerd, kunnen het Syslog-dashboard importeren vanuit de Grafana Marketplace.

Notitie

U moet de rol Lezer voor bewaking hebben voor het abonnement met het Azure Managed Grafana-exemplaar om toegang te krijgen tot syslog vanuit Container Insights.

Toegang met behulp van logboekquery's

Syslog-gegevens worden opgeslagen in de Syslog-tabel in uw Log Analytics-werkruimte. U kunt uw eigen logboekquery's maken in Log Analytics om deze gegevens te analyseren of een van de vooraf gemaakte query's te gebruiken.

U kunt Log Analytics openen vanuit het menu Logboeken in het menu Monitor voor toegang tot Syslog-gegevens voor alle clusters of vanuit het menu van het AKs-cluster om alleen Syslog-gegevens voor dat cluster te openen.

Voorbeeldquery's

De volgende tabel bevat verschillende voorbeelden van logboekquery's waarmee Syslog-records worden opgehaald.

Query	Beschrijving
Syslog	Alle Syslogs
Syslog | where SeverityLevel == "error"	Alle Syslog-records met de ernst van de fout
Syslog | summarize AggregatedValue = count() by Computer	Aantal Syslog-records per computer
Syslog | summarize AggregatedValue = count() by Facility	Aantal Syslog-records per faciliteit
Syslog | where ProcessName == "kubelet"	Alle Syslog-records uit het kubelet-proces
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error"	Syslog-records van kubelet-proces met fouten

Uw Syslog-verzamelingsinstellingen bewerken

Als u de configuratie voor uw Syslog-verzameling wilt wijzigen, wijzigt u de regel voor gegevensverzameling (DCR) die is gemaakt toen u deze hebt ingeschakeld.

Selecteer Regels voor gegevensverzameling in het menu Monitor in Azure Portal.

Selecteer uw DCR en bekijk vervolgens gegevensbronnen. Selecteer de Linux Syslog-gegevensbron om de details van de Syslog-verzameling weer te geven.

Notitie

Er wordt automatisch een DCR gemaakt wanneer u syslog inschakelt. De DCR volgt de naamconventie MSCI-<WorkspaceRegion>-<ClusterName>.

Selecteer het minimale logboekniveau voor elke faciliteit die u wilt verzamelen.

Volgende stappen

Zodra klanten zijn ingesteld, kunnen ze Syslog-gegevens verzenden naar de hulpprogramma's van hun keuze

• Syslog verzenden naar Microsoft Sentinel
• Gegevens exporteren uit Log Analytics

Meer informatie

• Eigenschappen van Syslog-records

Deel hier uw feedback voor deze functie: https://forms.office.com/r/BBvCjjDLTS