Zbieranie zdarzeń dziennika systemowego przy użyciu usługi Container Insights
Usługa Container Szczegółowe informacje umożliwia zbieranie zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi Azure Kubernetes Service (AKS). Obejmuje to możliwość zbierania dzienników ze składników płaszczyzny sterowania, takich jak kubelet. Klienci mogą również używać dziennika systemowego do monitorowania zdarzeń zabezpieczeń i kondycji, zazwyczaj przez pozyskiwanie dziennika systemowego do systemu SIEM, takiego jak Microsoft Sentinel.
Wymagania wstępne
- W klastrze musi być włączone uwierzytelnianie tożsamości zarządzanej. Aby włączyć, zobacz Migrowanie klastra usługi AKS do uwierzytelniania tożsamości zarządzanej. Uwaga: włączenie tożsamości zarządzanej spowoduje utworzenie nowej reguły zbierania danych (DCR) o nazwie
MSCI-<WorkspaceRegion>-<ClusterName>
- Port 28330 powinien być dostępny w węźle hosta.
- Minimalne wersje składników platformy Azure
- Interfejs wiersza polecenia platformy Azure: minimalna wersja wymagana dla interfejsu wiersza polecenia platformy Azure to 2.45.0 (link do informacji o wersji). Aby uzyskać instrukcje uaktualniania, zobacz Jak zaktualizować interfejs wiersza polecenia platformy Azure.
- Rozszerzenie interfejsu wiersza polecenia platformy Azure AKS-Preview: minimalna wersja wymagana dla rozszerzenia interfejsu wiersza polecenia platformy Azure w wersji zapoznawczej usługi AKS to 0.5.125 (link do informacji o wersji). Aby uzyskać wskazówki dotyczące uaktualniania, zobacz How to update extensions (Jak aktualizować rozszerzenia).
- Wersja obrazu systemu Linux: minimalna wersja obrazu systemu Linux węzła usługi AKS to 2022.11.01. Aby uzyskać pomoc dotyczącą uaktualniania, zobacz Uaktualnianie obrazów węzłów usługi Azure Kubernetes Service (AKS).
Jak włączyć dziennik syslog
Z witryny Azure Portal
Przejdź do klastra. Otwórz kartę Szczegółowe informacje dla klastra. Otwórz panel Monitor Ustawienia. Kliknij pozycję Edytuj ustawienia kolekcji, a następnie zaznacz pole wyboru Włącz kolekcję syslog
Korzystanie z poleceń interfejsu wiersza polecenia platformy Azure
Użyj następującego polecenia w interfejsie wiersza polecenia platformy Azure, aby włączyć zbieranie dzienników syslog podczas tworzenia nowego klastra usługi AKS.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Użyj następującego polecenia w interfejsie wiersza polecenia platformy Azure, aby włączyć zbieranie dzienników systemu w istniejącym klastrze usługi AKS.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
Korzystanie z szablonów usługi ARM
Szablony usługi ARM można również używać do włączania kolekcji dzienników syslog
Pobierz szablon w pliku zawartości usługi GitHub i zapisz go jako existingClusterOnboarding.json.
Pobierz plik parametrów w pliku zawartości usługi GitHub i zapisz go jako existingClusterParam.json.
Edytuj wartości w pliku parametrów:
aksResourceId
: użyj wartości na stronie Przegląd usługi AKS dla klastra usługi AKS.aksResourceLocation
: użyj wartości na stronie Przegląd usługi AKS dla klastra usługi AKS.workspaceResourceId
: użyj identyfikatora zasobu obszaru roboczego usługi Log Analytics.resourceTagValues
: dopasuj istniejące wartości tagów określone dla istniejącej reguły zbierania danych rozszerzenia usługi Container Insights (DCR) klastra i nazwy kontrolera domeny. Nazwą będzie MSCI-clusterName-clusterRegion<><> i ten zasób utworzony w grupie zasobów klastrów usługi AKS. Jeśli jest to pierwszy raz podczas dołączania, możesz ustawić dowolne wartości tagów.enableSyslog
: Ustaw wartość truesyslogLevels
: Tablica poziomów dziennika systemowego do zebrania. Ustawienie domyślne zbiera wszystkie poziomy.syslogFacilities
: Tablica obiektów dziennika systemowego do zbierania. Ustawienie domyślne zbiera wszystkie obiekty
Uwaga
Dostosowywanie poziomu dziennika systemowego i obiektów jest obecnie dostępne tylko za pośrednictwem szablonów usługi ARM.
Wdrażanie szablonu
Wdróż szablon z plikiem parametrów przy użyciu dowolnej prawidłowej metody wdrażania szablonów usługi Resource Manager. Przykłady różnych metod można znaleźć w temacie Wdrażanie przykładowych szablonów.
Wdrażanie przy użyciu programu Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
Ukończenie zmiany konfiguracji może potrwać kilka minut. Po zakończeniu komunikat podobny do poniższego przykładu zawiera następujący wynik:
provisioningState : Succeeded
Wdrażanie przy użyciu interfejsu wiersza polecenia platformy Azure
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
Ukończenie zmiany konfiguracji może potrwać kilka minut. Po zakończeniu komunikat podobny do poniższego przykładu zawiera następujący wynik:
provisioningState : Succeeded
Jak uzyskać dostęp do danych dziennika systemowego
Dostęp przy użyciu wbudowanych skoroszytów
Aby uzyskać szybką migawkę danych dziennika systemowego, klienci mogą używać naszego wbudowanego skoroszytu dziennika systemowego. Istnieją dwa sposoby uzyskiwania dostępu do wbudowanego skoroszytu.
Opcja 1 — karta Raporty w Szczegółowe informacje kontenera. Przejdź do klastra. Otwórz kartę Szczegółowe informacje dla klastra. Otwórz kartę Raporty i wyszukaj skoroszyt Syslog.
Opcja 2 — karta Skoroszyty w usłudze AKS przejdź do klastra. Otwórz kartę Skoroszyty dla klastra i poszukaj skoroszytu Syslog .
Dostęp przy użyciu pulpitu nawigacyjnego narzędzia Grafana
Klienci mogą korzystać z naszego pulpitu nawigacyjnego dziennika systemowego dla narzędzia Grafana, aby zapoznać się z omówieniem danych dziennika systemowego. Klienci, którzy tworzą nowe wystąpienie narzędzia Grafana zarządzane przez platformę Azure, będą domyślnie dostępny ten pulpit nawigacyjny. Klienci z istniejącymi wystąpieniami lub uruchomionymi własnymi wystąpieniami mogą importować pulpit nawigacyjny dziennika systemu z witryny Grafana Marketplace.
Uwaga
Aby uzyskać dostęp do dziennika systemowego z usługi Container Szczegółowe informacje, musisz mieć rolę Czytelnik monitorowania w subskrypcji zawierającej wystąpienie usługi Azure Managed Grafana.
Dostęp przy użyciu zapytań dzienników
Dane dziennika systemowego są przechowywane w tabeli Syslog w obszarze roboczym usługi Log Analytics. Możesz utworzyć własne zapytania dziennika w usłudze Log Analytics, aby przeanalizować te dane lub użyć dowolnych wstępnie utworzonych zapytań.
Możesz otworzyć usługę Log Analytics z menu Dzienniki w menu Monitorowanie , aby uzyskać dostęp do danych dziennika systemowego dla wszystkich klastrów lub z menu klastra usługi AKs, aby uzyskać dostęp do danych dziennika systemowego tylko dla tego klastra.
Przykładowe zapytania
W poniższej tabeli przedstawiono różne przykłady zapytań dziennika, które pobierają rekordy dziennika systemowego.
Query | opis |
---|---|
Syslog |
Wszystkie dzienniki systemowe |
Syslog | where SeverityLevel == "error" |
Wszystkie rekordy dziennika systemowego o ważności błędu |
Syslog | summarize AggregatedValue = count() by Computer |
Liczba rekordów dziennika systemowego według komputera |
Syslog | summarize AggregatedValue = count() by Facility |
Liczba rekordów dziennika systemowego według obiektu |
Syslog | where ProcessName == "kubelet" |
Wszystkie rekordy dziennika systemu z procesu kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Rekordy dziennika systemowego z procesu kubelet z błędami |
Edytowanie ustawień kolekcji syslog
Aby zmodyfikować konfigurację kolekcji syslog, należy zmodyfikować regułę zbierania danych (DCR), która została utworzona po jej włączeniu.
Wybierz pozycję Reguły zbierania danych z menu Monitor w witrynie Azure Portal.
Wybierz kontroler domeny, a następnie wyświetl źródła danych. Wybierz źródło danych Syslog systemu Linux, aby wyświetlić szczegóły zbierania dziennika systemowego.
Uwaga
Kontroler domeny jest tworzony automatycznie po włączeniu dziennika systemowego. Kontroler domeny jest zgodny z konwencją MSCI-<WorkspaceRegion>-<ClusterName>
nazewnictwa .
Wybierz minimalny poziom dziennika dla każdego obiektu, który chcesz zebrać.
Następne kroki
Po skonfigurowaniu klienci mogą rozpocząć wysyłanie danych dziennika systemowego do wybranego narzędzia
- Wysyłanie dziennika systemowego do usługi Microsoft Sentinel
- Eksportowanie danych z usługi Log Analytics
Przeczytaj więcej
Podziel się swoją opinią na temat tej funkcji tutaj: https://forms.office.com/r/BBvCjjDLTS
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla