Acessar dados do Syslog nos Insights de Contêiner
Os Insights de Contêiner oferecem a capacidade de coletar os eventos de Syslog dos nós do Linux nos clusters do AKS (Azure Kubernetes Service). Isso inclui a capacidade de coletar logs de componentes do plano de controle, como kubelet. Os clientes podem também usar o Syslog para monitorar os eventos de segurança e integridade, normalmente ingerindo syslog em sistemas SIEM como o Microsoft Sentinel.
Pré-requisitos
A coleção Syslog precisa ser habilitada para seu cluster usando as diretrizes em Configurar e filtrar a coleção de logs em insights de contêiner.
A porta 28330 deve estar disponível no nó do host.
Verifique se a funcionalidade hostPort está habilitada no cluster. Por exemplo, o Cilium Enterprise não tem a funcionalidade hostPort habilitada por padrão e impede que o recurso syslog funcione.
Pastas de trabalho internas
Para obter um instantâneo rápido dos dados syslog, use a pasta de trabalho Syslog interna usando um dos seguintes métodos:
Observação
A guia Relatórios não estará disponível se você habilitar a Experiência Prometheus de Insights de Contêiner para seu cluster.
Guia Relatórios em Insights do contêiner. Navegue até o cluster no portal do Azure e abra o Insights. Abra a guia Relatórios e localize a pasta de trabalho Syslog.
Guia Pastas de trabalho no AKS Navegue até seu cluster no portal do Azure. Abra a guia Pastas de Trabalho e localize a pasta de trabalho Syslog.
Painel do Grafana
Se você usar o Grafana, poderá usar o painel do Syslog para Grafana para obter uma visão geral dos dados do Syslog. Esse painel estará disponível por padrão se você criar uma nova instância do Grafana gerenciada pelo Azure. Caso contrário, você poderá importar o painel do Syslog do marketplace do Grafana.
Observação
Você precisa da função Leitor de Monitoramento na Assinatura que contém a instância do Espaço Gerenciado do Azure para Grafana para acessar o syslog do Container Insights.
Consultas de logs
Os dados de Syslog são armazenados na tabela Syslog no workspace do Log Analytics. Você pode criar suas próprias consultas de log no Log Analytics para analisar esses dados ou usar uma das consultas predefinidas.
Você pode abrir o Log Analytics no menu Logs e, depois, no menu Monitor para acessar os dados de Syslog para todos os clusters ou no menu do cluster do AKS para acessar os dados de Syslog apenas para esse cluster.
Consultas de exemplo
A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros do Syslog.
Consulta | Descrição |
---|---|
Syslog |
Todos os Syslogs |
Syslog | where SeverityLevel == "error" |
Todos os registros do Syslog com a severidade de erro |
Syslog | summarize AggregatedValue = count() by Computer |
Contagem de registros do Syslog por computador |
Syslog | summarize AggregatedValue = count() by Facility |
Contagem de registros do Syslog por recurso |
Syslog | where ProcessName == "kubelet" |
Todos os registros do Syslog do processo kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Registros do Syslog do processo kubelet com erros |
Próximas etapas
Depois de configurar, os clientes podem começar a enviar dados do Syslog para as ferramentas de sua escolha
- Enviar o Syslog para o Microsoft Sentinel
- Exportar dados do Log Analytics
- Propriedades de registro do syslog
Compartilhe seus comentários sobre esse recurso aqui: https://forms.office.com/r/BBvCjjDLTS