Syslog verzamelen met Container Insights
Container Insights biedt de mogelijkheid om Syslog-gebeurtenissen te verzamelen van Linux-knooppunten in uw AKS-clusters (Azure Kubernetes Service). Dit omvat de mogelijkheid om logboeken te verzamelen van onderdelen van het besturingsvlak, zoals kubelet. Klanten kunnen Syslog ook gebruiken voor het bewaken van beveiligings- en statusgebeurtenissen, meestal door syslog op te nemen in een SIEM-systeem zoals Microsoft Sentinel.
Vereisten
- U moet beheerde identiteitverificatie hebben ingeschakeld op uw cluster. Zie Uw AKS-cluster migreren naar beheerde identiteitsverificatie om dit in te schakelen. Opmerking: als u Managed Identity inschakelt, wordt een nieuwe DCR (Data Collection Rule) gemaakt met de naam
MSCI-<WorkspaceRegion>-<ClusterName>
- Poort 28330 moet beschikbaar zijn op het hostknooppunt.
- Minimale versies van Azure-onderdelen
- Azure CLI: de minimale versie die is vereist voor Azure CLI is 2.45.0 (koppeling naar opmerkingen bij de release). Zie De Azure CLI bijwerken voor upgrade-instructies.
- Azure CLI AKS-Preview-extensie: de minimale versie die is vereist voor de Azure CLI-extensie AKS-preview is 0.5.125 (koppeling naar opmerkingen bij de release). Zie Extensies bijwerken voor upgraderichtlijnen.
- Linux-installatiekopieƫnversie: de minimale versie voor de Linux-installatiekopieƫn van het AKS-knooppunt is 2022.11.01. Zie AKS-knooppuntinstallatiekopieƫn (Upgrade Azure Kubernetes Service) voor hulp bij de upgrade.
Syslog inschakelen
Vanuit Azure Portal
Navigeer naar uw cluster. Open het tabblad Inzichten voor uw cluster. Open het deelvenster Monitor Instellingen. Klik op Instellingen voor verzameling bewerken en schakel vervolgens het selectievakje in voor syslog-verzameling inschakelen
Azure CLI-opdrachten gebruiken
Gebruik de volgende opdracht in Azure CLI om syslog-verzameling in te schakelen wanneer u een nieuw AKS-cluster maakt.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Gebruik de volgende opdracht in Azure CLI om syslog-verzameling in te schakelen op een bestaand AKS-cluster.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
ARM-sjablonen gebruiken
U kunt ook ARM-sjablonen gebruiken voor het inschakelen van syslog-verzamelingen
Download de sjabloon in het GitHub-inhoudsbestand en sla deze op als existingClusterOnboarding.json.
Download het parameterbestand in het GitHub-inhoudsbestand en sla het op als existingClusterParam.json.
Bewerk de waarden in het parameterbestand:
aksResourceId
: Gebruik de waarden op de AKS-overzichtspagina voor het AKS-cluster.aksResourceLocation
: Gebruik de waarden op de AKS-overzichtspagina voor het AKS-cluster.workspaceResourceId
: Gebruik de resource-id van uw Log Analytics-werkruimte.resourceTagValues
: Komt overeen met de bestaande tagwaarden die zijn opgegeven voor de bestaande DCR (Container Insights Extension Data Collection Rule) van het cluster en de naam van de DCR. De naam is MSCI-clusterName-clusterRegion><> en deze resource die is gemaakt in een AKS-clusterresourcegroep.< Als dit de eerste keer is dat onboarding plaatsvindt, kunt u de willekeurige tagwaarden instellen.enableSyslog
: Ingesteld op truesyslogLevels
: Matrix van syslogniveaus die moeten worden verzameld. Standaard worden alle niveaus verzameld.syslogFacilities
: Matrix van syslog-faciliteiten die moeten worden verzameld. Standaard verzamelt alle faciliteiten
Notitie
Aanpassing op Syslog-niveau en -faciliteiten is momenteel alleen beschikbaar via ARM-sjablonen.
De sjabloon implementeren
Implementeer de sjabloon met het parameterbestand met behulp van een geldige methode voor het implementeren van Resource Manager-sjablonen. Zie De voorbeeldsjablonen implementeren voor voorbeelden van verschillende methoden.
Implementeren met Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
Het kan enkele minuten duren voordat de configuratie is gewijzigd. Wanneer dit is voltooid, bevat een bericht dat lijkt op het volgende voorbeeld dit resultaat:
provisioningState : Succeeded
Implementeren met Azure CLI
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
Het kan enkele minuten duren voordat de configuratie is gewijzigd. Wanneer dit is voltooid, bevat een bericht dat lijkt op het volgende voorbeeld dit resultaat:
provisioningState : Succeeded
Syslog-gegevens openen
Toegang met behulp van ingebouwde werkmappen
Klanten kunnen onze ingebouwde Syslog-werkmap gebruiken om een snelle momentopname van uw syslog-gegevens te krijgen. Er zijn twee manieren om toegang te krijgen tot de ingebouwde werkmap.
Optie 1: het tabblad Rapporten in Container Insights. Navigeer naar uw cluster. Open het tabblad Inzichten voor uw cluster. Open het tabblad Rapporten en zoek naar de Syslog-werkmap .
Optie 2: het tabblad Werkmappen in AKS Navigeer naar uw cluster. Open het tabblad Werkmappen voor uw cluster en zoek naar de Syslog-werkmap .
Toegang met behulp van een Grafana-dashboard
Klanten kunnen ons Syslog-dashboard voor Grafana gebruiken om een overzicht te krijgen van hun Syslog-gegevens. Klanten die een nieuw door Azure beheerd Grafana-exemplaar maken, hebben dit dashboard standaard beschikbaar. Klanten met bestaande exemplaren of exemplaren waarop hun eigen exemplaar wordt uitgevoerd, kunnen het Syslog-dashboard importeren vanuit de Grafana Marketplace.
Notitie
U moet de rol Lezer voor bewaking hebben voor het abonnement met het Azure Managed Grafana-exemplaar om toegang te krijgen tot syslog vanuit Container Insights.
Toegang met behulp van logboekquery's
Syslog-gegevens worden opgeslagen in de Syslog-tabel in uw Log Analytics-werkruimte. U kunt uw eigen logboekquery's maken in Log Analytics om deze gegevens te analyseren of een van de vooraf gemaakte query's te gebruiken.
U kunt Log Analytics openen vanuit het menu Logboeken in het menu Monitor voor toegang tot Syslog-gegevens voor alle clusters of vanuit het menu van het AKs-cluster om alleen Syslog-gegevens voor dat cluster te openen.
Voorbeeldquery's
De volgende tabel bevat verschillende voorbeelden van logboekquery's waarmee Syslog-records worden opgehaald.
Query | Beschrijving |
---|---|
Syslog |
Alle Syslogs |
Syslog | where SeverityLevel == "error" |
Alle Syslog-records met de ernst van de fout |
Syslog | summarize AggregatedValue = count() by Computer |
Aantal Syslog-records per computer |
Syslog | summarize AggregatedValue = count() by Facility |
Aantal Syslog-records per faciliteit |
Syslog | where ProcessName == "kubelet" |
Alle Syslog-records uit het kubelet-proces |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Syslog-records van kubelet-proces met fouten |
Uw Syslog-verzamelingsinstellingen bewerken
Als u de configuratie voor uw Syslog-verzameling wilt wijzigen, wijzigt u de regel voor gegevensverzameling (DCR) die is gemaakt toen u deze hebt ingeschakeld.
Selecteer Regels voor gegevensverzameling in het menu Monitor in Azure Portal.
Selecteer uw DCR en bekijk vervolgens gegevensbronnen. Selecteer de Linux Syslog-gegevensbron om de details van de Syslog-verzameling weer te geven.
Notitie
Er wordt automatisch een DCR gemaakt wanneer u syslog inschakelt. De DCR volgt de naamconventie MSCI-<WorkspaceRegion>-<ClusterName>
.
Selecteer het minimale logboekniveau voor elke faciliteit die u wilt verzamelen.
Volgende stappen
Zodra klanten zijn ingesteld, kunnen ze Syslog-gegevens verzenden naar de hulpprogramma's van hun keuze
Meer informatie
Deel hier uw feedback voor deze functie: https://forms.office.com/r/BBvCjjDLTS
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor