Recopilación de Syslog con Container Insights
Container Insights ofrece la capacidad de recopilar eventos de Syslog de los nodos de Linux en los clústeres de Azure Kubernetes Service (AKS). Esto incluye la capacidad de recopilar registros de los componentes del plano de control, como kubelet. Los clientes también pueden usar Syslog para supervisar eventos de seguridad y estado, por lo general, mediante la ingesta de syslog en un sistema SIEM como Microsoft Sentinel.
Requisitos previos
- Debe tener habilitada la autenticación de identidad administrada en el clúster. Para ello, consulte Migración del clúster de AKS a la autenticación de identidad administrada. Nota: al habilitar la identidad administrada, se creará una nueva regla de recopilación de datos (DCR) denominada
MSCI-<WorkspaceRegion>-<ClusterName>
- El puerto 28330 debe estar disponible en el nodo host.
- Versiones mínimas de los componentes de Azure
- CLI de Azure: la versión mínima necesaria para la CLI de Azure es la 2.45.0 (vínculo a las notas de la versión). Consulte Actualización de la CLI de Azure para obtener instrucciones de actualización.
- Extensión AKS-Preview de la CLI de Azure: la versión mínima necesaria para la extensión AKS-Preview de la CLI de Azure es la 0.5.125 (vínculo a las notas de la versión). Consulte Actualización de extensiones para encontrar una guía de actualización.
- Versión de la imagen de Linux: la versión mínima de la imagen Linux del nodo de AKS es la 2022.11.01. Consulte Actualización de imágenes de nodo de Azure Kubernetes Service (AKS) para ayuda con la actualización.
Habilitación de Syslog
Desde Azure Portal
Desplácese hasta su clúster. Abra la pestaña Insights del clúster. Abra el panel Configuración del monitor. Haga clic en Editar configuración de recopilación y active la casilla Habilitar recopilación de Syslog
Mediante la ejecución de comandos de la CLI de Azure
Use el siguiente comando en la CLI de Azure para habilitar la recopilación de Syslog al crear un nuevo clúster de AKS.
az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key
Use el siguiente comando de la CLI de Azure para habilitar la recopilación de Syslog en un clúster de AKS existente.
az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster
Uso de plantillas de ARM
También puede usar plantillas de ARM para habilitar la recopilación de syslog
Descargue la plantilla en el archivo de contenido de GitHub y guárdela como existingClusterOnboarding.json.
Descargue el archivo de parámetros en el archivo de contenido de GitHub y guárdelo como existingClusterParam.json.
Edite los valores del archivo de parámetros:
aksResourceId
: Use los valores de la página Introducción a AKS para el clúster de AKS.aksResourceLocation
: Use los valores de la página Introducción a AKS para el clúster de AKS.workspaceResourceId
: Use el identificador de recurso del área de trabajo de Log Analytics.resourceTagValues
: empareje los valores de etiqueta existentes especificados para la regla de recopilación de datos (DCR) de la extensión existente de Container Insights del clúster y el nombre de la regla de recopilación de la DCR. El nombre será MSCI-<nombreDeClúster>-<RegiónDeClúster> y este recurso creado en un grupo de recursos de clústeres de AKS. Si se incorpora por primera vez, puede establecer los valores de etiqueta arbitrarios.enableSyslog
: establecido en truesyslogLevels
: matriz de niveles de syslog que se van a recopilar El valor predeterminado recopila todos los niveles.syslogFacilities
: matriz de instalaciones de syslog que se van a recopilar El valor predeterminado recopila todas las instalaciones
Nota
La personalización del nivel de Syslog y las instalaciones solo está disponible actualmente a través de plantillas de ARM.
Implementación de la plantilla
Implemente la plantilla con el archivo de parámetros mediante cualquier método válido para implementar plantillas de Resource Manager. Vea Implementación de plantillas de ejemplo para obtener ejemplos de diferentes métodos.
Implementación con Azure PowerShell
New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json
El cambio de configuración puede tardar unos minutos en completarse. Cuando finalice, este resultado se incluye en un mensaje similar al ejemplo siguiente:
provisioningState : Succeeded
Implementación con la CLI de Azure
az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json
El cambio de configuración puede tardar unos minutos en completarse. Cuando finalice, este resultado se incluye en un mensaje similar al ejemplo siguiente:
provisioningState : Succeeded
Acceso a datos de Syslog
Acceso mediante libros integrados
Para obtener una instantánea rápida de los datos de Syslog, los clientes pueden usar nuestro libro de Syslog integrado. Hay dos maneras de acceder al libro integrado.
Opción 1: la pestaña Informes de Container Insights. Desplácese hasta su clúster. Abra la pestaña Insights del clúster. Abra la pestaña Informes y busque el libro de Syslog.
Opción 2: La pestaña Workbooks en AKS Navegue hasta su clúster. Abra la pestaña Libros del clúster y busque el libro Syslog.
Acceso mediante un panel de Grafana
Los clientes pueden usar nuestro panel de Syslog para Grafana para obtener información general de sus datos de Syslog. Los clientes que creen una nueva instancia de Grafana administrada por Azure tendrán este panel disponible de forma predeterminada. Los clientes con instancias existentes o aquellos que ejecutan su propia instancia pueden importar el panel de Syslog desde el marketplace de Grafana.
Nota:
Deberá tener el rol Lector de supervisión en la suscripción que contiene la instancia de Grafana administrada de Azure para acceder a syslog desde Container Insights.
Acceso mediante consultas de registro
Los datos de Syslog se almacenan en la tabla Syslog del área de trabajo de Log Analytics. Puede crear sus propias consultas de registro en Log Analytics para analizar estos datos o usar cualquiera de las consultas precompiladas.
Puede abrir Log Analytics desde el menú Registros del menú Supervisión para acceder a los datos de Syslog de todos los clústeres, o desde el menú del clúster de AKS para acceder a los datos de Syslog solo de ese clúster.
Consultas de ejemplo
La tabla siguiente proporciona ejemplos distintos de consultas de registro que recuperan registros de Syslog.
Consultar | Descripción |
---|---|
Syslog |
Todos los registros de Syslog |
Syslog | where SeverityLevel == "error" |
Todos los registros de Syslog con gravedad de error |
Syslog | summarize AggregatedValue = count() by Computer |
Número de registros de Syslog por equipo |
Syslog | summarize AggregatedValue = count() by Facility |
Número de registros de Syslog por recurso |
Syslog | where ProcessName == "kubelet" |
Todos los registros de Syslog del proceso de kubelet |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
Registros de Syslog del proceso de kubelet con errores |
Edición de la configuración de la recopilación de Syslog
Para modificar la configuración de la recopilación de Syslog, modifique la regla de recopilación de datos (DCR) que se creó al habilitarla.
Seleccione Reglas de recopilación de datos en el menú Supervisión de Azure Portal.
Seleccione el DCR y, luego, Ver orígenes de datos. Seleccione el origen de datos Syslog de Linux para ver los detalles de la recopilación de Syslog.
Nota
El DCR se crea automáticamente al habilitar Syslog. El DCR sigue la convención de nomenclatura MSCI-<WorkspaceRegion>-<ClusterName>
.
Seleccione el nivel de registro mínimo de cada instalación que quiera recopilar.
Pasos siguientes
Una vez que los clientes pueden empezar a enviar datos de Syslog a las herramientas de su elección
Más información
Comparta sus comentarios sobre esta característica aquí: https://forms.office.com/r/BBvCjjDLTS