Syslog-insamling med Container Insights
Container Insights erbjuder möjligheten att samla in Syslog-händelser från Linux-noder i dina AkS-kluster (Azure Kubernetes Service). Detta inkluderar möjligheten att samla in loggar från kontrollplanskomponenter som kubelet. Kunder kan också använda Syslog för att övervaka säkerhets- och hälsohändelser, vanligtvis genom att mata in syslog i ett SIEM-system som Microsoft Sentinel.
Förutsättningar
- Du måste ha aktiverat hanterad identitetsautentisering i klustret. Information om hur du aktiverar finns i Migrera ditt AKS-kluster till hanterad identitetsautentisering. Obs! Om du aktiverar hanterad identitet skapas en ny datainsamlingsregel (DCR) med namnet
MSCI-<WorkspaceRegion>-<ClusterName> - Port 28330 ska vara tillgänglig på värdnoden.
- Lägsta versioner av Azure-komponenter
- Azure CLI: Den lägsta version som krävs för Azure CLI är 2.45.0 (länk till viktig information). Se Uppdatera Azure CLI för uppgraderingsinstruktioner.
- Azure CLI AKS-Preview Extension: Lägsta version som krävs för AKS-Preview Azure CLI-tillägget är 0.5.125 (länk till viktig information). Se Uppdatera tillägg för uppgraderingsvägledning.
- Linux-avbildningsversion: Lägsta version för AKS-nod linux-avbildning är 2022.11.01. Mer information finns i Uppgradera AKS-nodbilder (Azure Kubernetes Service).
Så här aktiverar du Syslog
Från Azure-portalen
Gå till klustret. Öppna fliken Insikter för klustret. Öppna panelen Övervaka Inställningar. Klicka på Redigera samlingsinställningar och markera sedan kryssrutan för Aktivera Syslog-samling
Med Azure CLI-kommandon
Använd följande kommando i Azure CLI för att aktivera syslog-samling när du skapar ett nytt AKS-kluster.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Använd följande kommando i Azure CLI för att aktivera syslog-samling i ett befintligt AKS-kluster.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
Använda ARM-mallar
Du kan också använda ARM-mallar för att aktivera syslog-samling
Ladda ned mallen i GitHub-innehållsfilen och spara den som existingClusterOnboarding.json.
Ladda ned parameterfilen i GitHub-innehållsfilen och spara den som existingClusterParam.json.
Redigera värdena i parameterfilen:
aksResourceId: Använd värdena på aks-översiktssidan för AKS-klustret.aksResourceLocation: Använd värdena på aks-översiktssidan för AKS-klustret.workspaceResourceId: Använd resurs-ID:t för din Log Analytics-arbetsyta.resourceTagValues: Matcha de befintliga taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet är MSCI-clusterName-clusterRegion<><> och den här resursen skapas i en resursgrupp för AKS-kluster. Om det här är första gången du registrerar kan du ange godtyckliga taggvärden.enableSyslog: Ställ in på truesyslogLevels: Matris med syslog-nivåer att samla in. Standardvärdet samlar in alla nivåer.syslogFacilities: Matris med syslog-anläggningar att samla in. Standard samlar in alla faciliteter
Kommentar
Anpassning av syslog-nivå och -anläggningar är för närvarande endast tillgängligt via ARM-mallar.
Distribuera mallen
Distribuera mallen med parameterfilen med valfri giltig metod för att distribuera Resource Manager-mallar. Exempel på olika metoder finns i Distribuera exempelmallarna.
Distribuera med Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
Konfigurationsändringen kan ta några minuter att slutföra. När det är klart innehåller ett meddelande som liknar följande exempel det här resultatet:
provisioningState : Succeeded
Distribuera med Azure CLI
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
Konfigurationsändringen kan ta några minuter att slutföra. När det är klart innehåller ett meddelande som liknar följande exempel det här resultatet:
provisioningState : Succeeded
Så här kommer du åt Syslog-data
Åtkomst med hjälp av inbyggda arbetsböcker
För att få en snabb ögonblicksbild av dina syslog-data kan kunderna använda vår inbyggda Syslog-arbetsbok. Det finns två sätt att komma åt den inbyggda arbetsboken.
Alternativ 1 – fliken Rapporter i Container Insights. Gå till klustret. Öppna fliken Insikter för klustret. Öppna fliken Rapporter och leta efter Syslog-arbetsboken .
Alternativ 2 – Fliken Arbetsböcker i AKS Navigera till klustret. Öppna fliken Arbetsböcker för klustret och leta efter Syslog-arbetsboken .
Åtkomst med hjälp av en Grafana-instrumentpanel
Kunder kan använda vår Syslog-instrumentpanel för Grafana för att få en översikt över sina Syslog-data. Kunder som skapar en ny Azure-hanterad Grafana-instans har den här instrumentpanelen tillgänglig som standard. Kunder med befintliga instanser eller de som kör sin egen instans kan importera Syslog-instrumentpanelen från Grafana Marketplace.
Kommentar
Du måste ha rollen Övervakningsläsare i prenumerationen som innehåller Azure Managed Grafana-instansen för att få åtkomst till syslog från Container Insights.
Åtkomst med hjälp av loggfrågor
Syslog-data lagras i Syslog-tabellen på Log Analytics-arbetsytan. Du kan skapa egna loggfrågor i Log Analytics för att analysera dessa data eller använda någon av de fördefinierade frågorna.
Du kan öppna Log Analytics från menyn Loggar på menyn Övervaka för att få åtkomst till Syslog-data för alla kluster eller från AK-klustrets meny för att få åtkomst till Syslog-data endast för klustret.
Exempelfrågor
Följande tabell innehåller olika exempel på loggfrågor som hämtar Syslog-poster.
| Fråga | beskrivning |
|---|---|
Syslog |
Alla Syslogs |
Syslog | where SeverityLevel == "error" |
Alla Syslog-poster med allvarlighetsgrad för fel |
Syslog | summarize AggregatedValue = count() by Computer |
Antal Syslog-poster per dator |
Syslog | summarize AggregatedValue = count() by Facility |
Antal Syslog-poster per anläggning |
Syslog | where ProcessName == "kubelet" |
Alla Syslog-poster från kubelet-processen |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Syslog-poster från kubelet-process med fel |
Redigera inställningar för Syslog-samlingen
Om du vill ändra konfigurationen för syslog-samlingen ändrar du den datainsamlingsregel (DCR) som skapades när du aktiverade den.
Välj Datainsamlingsregler på menyn Övervaka i Azure-portalen.
Välj din DCR och sedan Visa datakällor. Välj Linux Syslog-datakällan för att visa information om Syslog-samlingen.
Kommentar
En DCR skapas automatiskt när du aktiverar syslog. DCR följer namngivningskonventionen MSCI-<WorkspaceRegion>-<ClusterName>.
Välj den lägsta loggnivån för varje anläggning som du vill samla in.
Nästa steg
När installationen har konfigurerats kan kunderna börja skicka Syslog-data till de verktyg som de väljer
Läs mer
Dela din feedback för den här funktionen här: https://forms.office.com/r/BBvCjjDLTS
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för