Condividi tramite

Accedere ai dati Syslog in Insights per i contenitori

  • Articolo

Informazioni dettagliate contenitore offre la possibilità di raccogliere eventi Syslog dai nodi Linux nei cluster del servizio Azure Kubernetes. Ciò include la possibilità di raccogliere i log dai componenti del piano di controllo, come kubelet. I clienti possono anche usare Syslog per monitorare gli eventi di sicurezza e integrità, in genere inserendo Syslog in un sistema SIEM come Microsoft Sentinel.

Prerequisiti

  • La raccolta di Syslog deve essere abilitata per il cluster usando le linee guida in Configurare e filtrare la raccolta dei log in Container Insights.

  • La porta 28330 deve essere disponibile nel nodo host.

  • Verificare che la funzionalità hostPort sia abilitata nel cluster. Ad esempio, Cilium Enterprise non dispone della funzionalità hostPort abilitata per impostazione predefinita e impedisce il funzionamento della funzionalità syslog.

Cartelle di lavoro predefinite

Per ottenere uno snapshot rapido dei dati Syslog, usare la cartella di lavoro Syslog predefinita usando uno dei metodi seguenti:

Nota

La scheda Report non sarà disponibile se si abilita l'esperienza Prometheus di Container Insights per il cluster.

  • Scheda Report in Container Insights. Passare al cluster nel portale di Azure e aprire Insights. Aprire la scheda Report e individuare la cartella di lavoro Syslog.

    Video dell'accesso alla cartella di lavoro Syslog tramite la scheda Report di Informazioni dettagliate contenitore.

  • Scheda Cartelle di lavoro nel servizio Azure Kubernetes (AKS). Passare al cluster nel portale di Azure. Aprire la scheda Cartelle di lavoro e individuare la cartella di lavoro Syslog.

    Video dell'accesso alla cartella di lavoro Syslog tramite la scheda Cartelle di lavoro del cluster.

Dashboard Grafana

Se si usa Grafana, è possibile usare il dashboard Syslog per Grafana per ottenere una panoramica dei dati Syslog. Questo dashboard è disponibile per impostazione predefinita se si crea una nuova istanza di Grafana con gestione Azure. In alternativa, è possibile importare il dashboard Syslog dal marketplace di Grafana.

Nota

Per accedere a Syslog da Container Insights, è necessario il ruolo Lettore monitoraggio nella sottoscrizione contenente l'istanza di Grafana con gestione Azure.

Screenshot del dashboard di Syslog per Grafana.

Query di log

I dati di Syslog vengono archiviati nella tabella Syslog nell'area di lavoro Log Analytics. È possibile creare query di log personalizzate in Log Analytics per analizzare questi dati o usare una delle query predefinite.

Screenshot della query Syslog caricata nell'editor di query nell'interfaccia utente del portale di Monitoraggio di Azure.

È possibile aprire Log Analytics dal menu Log nel menu Monitoraggio per accedere ai dati Syslog per tutti i cluster o dal menu del cluster del servizio Azure Kubernetes (AKS) per accedere ai dati Syslog per un singolo cluster.

Screenshot dell'editor di query con la query Syslog.

Query di esempio

La tabella seguente mostra alcuni esempi di query di log che recuperano i record Syslog.

Query Descrizione
Syslog Tutti i record Syslog
Syslog | where SeverityLevel == "error" Tutti i record Syslog con livello di gravità errore
Syslog | summarize AggregatedValue = count() by Computer Numero di record Syslog per computer
Syslog | summarize AggregatedValue = count() by Facility Numero di record Syslog per struttura
Syslog | where ProcessName == "kubelet" Tutti i record Syslog del processo kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Record Syslog dal processo kubelet con errori

Passaggi successivi

Dopo la configurazione, i clienti possono iniziare a inviare dati di Syslog agli strumenti di propria scelta

Condividere il feedback per questa funzionalità qui: https://forms.office.com/r/BBvCjjDLTS