Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Container Insights предоставляет возможность собирать события Syslog с узлов Linux в кластерах Azure Kubernetes Service (AKS). Это включает в себя возможность собирать журналы из таких компонентов плоскости управления, как kubelet. Клиенты также могут использовать Системный журнал для мониторинга событий безопасности и работоспособности, как правило, путем приема системного журнала в систему SIEM, например Microsoft Sentinel.
Предварительные условия
- Необходимо включить для кластера сбор системных журналов, следуя инструкциям по настройке и фильтрации коллекции журналов в аналитике контейнеров.
- Порт 28330 должен быть доступен на узловом узле.
- Убедитесь, что функция hostPort включена в кластере. Например, Cilium Enterprise не имеет функций hostPort, включенных по умолчанию, и предотвращает работу функции системного журнала.
- Целевой кластер должен быть кластером Службы Azure Kubernetes (AKS). Arc и другие типы кластеров не поддерживаются
Встроенные рабочие книги
Чтобы получить быстрый снимок данных системного журнала, используйте встроенную книгу Системного журнала с помощью одного из следующих методов:
Примечание.
Вкладка Отчеты не будет доступна, если вы включите интеграцию Prometheus для аналитики контейнеров для вашего кластера.
Вкладка "Отчеты" в Container Insights. Перейдите к кластеру в портале Azure и откройте Insights. Откройте вкладку "Отчеты " и найдите книгу системного журнала .
Вкладка "Рабочие книги" в AKS. Перейдите к кластеру в портале Azure. Откройте вкладку Рабочие книги и найдите Syslog Workbook.
Панель мониторинга Grafana
Если вы используете Grafana, вы можете использовать панель мониторинга Syslog для Grafana, чтобы получить общие сведения о данных системного журнала. Эта панель мониторинга доступна по умолчанию при создании нового экземпляра Grafana под управлением Azure. В противном случае можно импортировать панель мониторинга Syslog из Marketplace Grafana.
Примечание.
Вам нужна роль Читатель мониторинга в подписке, содержащей экземпляр Azure Managed Grafana, чтобы получить доступ к системным журналам (syslog) из Container Insights.
Запросы логов
Данные системного журнала хранятся в таблице Syslog в рабочей области Log Analytics. Вы можете создать собственные запросы журналов в Log Analytics для анализа этих данных или использования любого предварительно созданного запроса.
Вы можете открыть Log Analytics из меню "Журналы" в меню "Монитор", чтобы получить доступ к данным системного журнала для всех кластеров или из меню кластера AKS, чтобы получить доступ к данным системного журнала для одного кластера.
Примеры запросов
В следующей таблице представлены различные примеры запросов к журналу, извлекающих записи из системного журнала.
| Запрос | Описание |
|---|---|
Syslog |
Все системные журналы |
Syslog | where SeverityLevel == "error" |
Все записи системного журнала с серьезностью ошибки |
Syslog | summarize AggregatedValue = count() by Computer |
Количество записей системного журнала для каждого компьютера |
Syslog | summarize AggregatedValue = count() by Facility |
Количество записей системного журнала по объекту |
Syslog | where ProcessName == "kubelet" |
Все записи системного журнала из процесса kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Записи системного журнала из процесса kubelet с ошибками |
Следующие шаги
После настройки клиенты могут начать отправку данных системного журнала в средства по своему выбору
- Отправка системного журнала в Microsoft Sentinel
- Экспорт данных из анализа журналов
- Свойства записи системного журнала
Поделитесь своими отзывами об этой функции: https://forms.office.com/r/BBvCjjDLTS