Compartilhar via


Acessar dados do Syslog nos Insights de Contêiner

Os Insights de Contêiner oferecem a capacidade de coletar os eventos de Syslog dos nós do Linux nos clusters do AKS (Azure Kubernetes Service). Isso inclui a capacidade de coletar logs de componentes do plano de controle, como kubelet. Os clientes podem também usar o Syslog para monitorar os eventos de segurança e integridade, normalmente ingerindo syslog em sistemas SIEM como o Microsoft Sentinel.

Pré-requisitos

  • A coleção Syslog precisa ser habilitada para seu cluster usando as diretrizes em Configurar e filtrar a coleção de logs em insights de contêiner.

  • A porta 28330 deve estar disponível no nó do host.

  • Verifique se a funcionalidade hostPort está habilitada no cluster. Por exemplo, o Cilium Enterprise não tem a funcionalidade hostPort habilitada por padrão e impede que o recurso syslog funcione.

Pastas de trabalho internas

Para obter um instantâneo rápido dos dados syslog, use a pasta de trabalho Syslog interna usando um dos seguintes métodos:

Observação

A guia Relatórios não estará disponível se você habilitar a Experiência Prometheus de Insights de Contêiner para seu cluster.

  • Guia Relatórios em Insights do contêiner. Navegue até o cluster no portal do Azure e abra o Insights. Abra a guia Relatórios e localize a pasta de trabalho Syslog.

    Vídeo da pasta de trabalho do Syslog sendo acessada na guia Relatórios de Insights do contêiner.

  • Guia Pastas de trabalho no AKS Navegue até seu cluster no portal do Azure. Abra a guia Pastas de Trabalho e localize a pasta de trabalho Syslog.

    Vídeo da pasta de trabalho do Syslog sendo acessada na guia pastas de trabalho do cluster.

Painel do Grafana

Se você usar o Grafana, poderá usar o painel do Syslog para Grafana para obter uma visão geral dos dados do Syslog. Esse painel estará disponível por padrão se você criar uma nova instância do Grafana gerenciada pelo Azure. Caso contrário, você poderá importar o painel do Syslog do marketplace do Grafana.

Observação

Você precisa da função Leitor de Monitoramento na Assinatura que contém a instância do Espaço Gerenciado do Azure para Grafana para acessar o syslog do Container Insights.

Captura de tela do painel de controle do Syslog Grafana.

Consultas de logs

Os dados de Syslog são armazenados na tabela Syslog no workspace do Log Analytics. Você pode criar suas próprias consultas de log no Log Analytics para analisar esses dados ou usar uma das consultas predefinidas.

Captura de tela da consulta de Syslog carregada no editor de consultas na interface do usuário do Portal Azure Monitor.

Você pode abrir o Log Analytics no menu Logs e, depois, no menu Monitor para acessar os dados de Syslog para todos os clusters ou no menu do cluster do AKS para acessar os dados de Syslog apenas para esse cluster.

Captura de tela do editor de consultas com consulta de Syslog.

Consultas de exemplo

A tabela a seguir fornece diferentes exemplos de consultas de log que recuperam registros do Syslog.

Consulta Descrição
Syslog Todos os Syslogs
Syslog | where SeverityLevel == "error" Todos os registros do Syslog com a severidade de erro
Syslog | summarize AggregatedValue = count() by Computer Contagem de registros do Syslog por computador
Syslog | summarize AggregatedValue = count() by Facility Contagem de registros do Syslog por recurso
Syslog | where ProcessName == "kubelet" Todos os registros do Syslog do processo kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Registros do Syslog do processo kubelet com erros

Próximas etapas

Depois de configurar, os clientes podem começar a enviar dados do Syslog para as ferramentas de sua escolha

Compartilhe seus comentários sobre esse recurso aqui: https://forms.office.com/r/BBvCjjDLTS