Share via

Recopilación de Syslog con Container Insights

  • Artículo

Container Insights ofrece la capacidad de recopilar eventos de Syslog de los nodos de Linux en los clústeres de Azure Kubernetes Service (AKS). Esto incluye la capacidad de recopilar registros de los componentes del plano de control, como kubelet. Los clientes también pueden usar Syslog para supervisar eventos de seguridad y estado, por lo general, mediante la ingesta de syslog en un sistema SIEM como Microsoft Sentinel.

Requisitos previos

Habilitación de Syslog

Desde Azure Portal

Desplácese hasta su clúster. Abra la pestaña Insights del clúster. Abra el panel Configuración del monitor. Haga clic en Editar configuración de recopilación y active la casilla Habilitar recopilación de Syslog

Screen recording of syslog being enabled from the Azure portal through the Monitor Settings panel in Container Insights.

Mediante la ejecución de comandos de la CLI de Azure

Use el siguiente comando en la CLI de Azure para habilitar la recopilación de Syslog al crear un nuevo clúster de AKS.

az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key

Use el siguiente comando de la CLI de Azure para habilitar la recopilación de Syslog en un clúster de AKS existente.

az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster

Uso de plantillas de ARM

También puede usar plantillas de ARM para habilitar la recopilación de syslog

  1. Descargue la plantilla en el archivo de contenido de GitHub y guárdela como existingClusterOnboarding.json.

  2. Descargue el archivo de parámetros en el archivo de contenido de GitHub y guárdelo como existingClusterParam.json.

  3. Edite los valores del archivo de parámetros:

    • aksResourceId: Use los valores de la página Introducción a AKS para el clúster de AKS.
    • aksResourceLocation: Use los valores de la página Introducción a AKS para el clúster de AKS.
    • workspaceResourceId: Use el identificador de recurso del área de trabajo de Log Analytics.
    • resourceTagValues: empareje los valores de etiqueta existentes especificados para la regla de recopilación de datos (DCR) de la extensión existente de Container Insights del clúster y el nombre de la regla de recopilación de la DCR. El nombre será MSCI-<nombreDeClúster>-<RegiónDeClúster> y este recurso creado en un grupo de recursos de clústeres de AKS. Si se incorpora por primera vez, puede establecer los valores de etiqueta arbitrarios.
    • enableSyslog: establecido en true
    • syslogLevels: matriz de niveles de syslog que se van a recopilar El valor predeterminado recopila todos los niveles.
    • syslogFacilities: matriz de instalaciones de syslog que se van a recopilar El valor predeterminado recopila todas las instalaciones

Nota

La personalización del nivel de Syslog y las instalaciones solo está disponible actualmente a través de plantillas de ARM.

Implementación de la plantilla

Implemente la plantilla con el archivo de parámetros mediante cualquier método válido para implementar plantillas de Resource Manager. Vea Implementación de plantillas de ejemplo para obtener ejemplos de diferentes métodos.

Implementación con Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

El cambio de configuración puede tardar unos minutos en completarse. Cuando finalice, este resultado se incluye en un mensaje similar al ejemplo siguiente:

provisioningState       : Succeeded

Implementación con la CLI de Azure

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

El cambio de configuración puede tardar unos minutos en completarse. Cuando finalice, este resultado se incluye en un mensaje similar al ejemplo siguiente:

provisioningState       : Succeeded

Acceso a datos de Syslog

Acceso mediante libros integrados

Para obtener una instantánea rápida de los datos de Syslog, los clientes pueden usar nuestro libro de Syslog integrado. Hay dos maneras de acceder al libro integrado.

Opción 1: la pestaña Informes de Container Insights. Desplácese hasta su clúster. Abra la pestaña Insights del clúster. Abra la pestaña Informes y busque el libro de Syslog.

Video of Syslog workbook being accessed from Container Insights Reports tab.

Opción 2: La pestaña Workbooks en AKS Navegue hasta su clúster. Abra la pestaña Libros del clúster y busque el libro Syslog.

Video of Syslog workbook being accessed from cluster workbooks tab.

Acceso mediante un panel de Grafana

Los clientes pueden usar nuestro panel de Syslog para Grafana para obtener información general de sus datos de Syslog. Los clientes que creen una nueva instancia de Grafana administrada por Azure tendrán este panel disponible de forma predeterminada. Los clientes con instancias existentes o aquellos que ejecutan su propia instancia pueden importar el panel de Syslog desde el marketplace de Grafana.

Nota:

Deberá tener el rol Lector de supervisión en la suscripción que contiene la instancia de Grafana administrada de Azure para acceder a syslog desde Container Insights.

Screenshot of Syslog Grafana dashboard.

Acceso mediante consultas de registro

Los datos de Syslog se almacenan en la tabla Syslog del área de trabajo de Log Analytics. Puede crear sus propias consultas de registro en Log Analytics para analizar estos datos o usar cualquiera de las consultas precompiladas.

Screenshot of Syslog query loaded in the query editor in the Azure Monitor Portal UI.

Puede abrir Log Analytics desde el menú Registros del menú Supervisión para acceder a los datos de Syslog de todos los clústeres, o desde el menú del clúster de AKS para acceder a los datos de Syslog solo de ese clúster.

Screenshot of Query editor with Syslog query.

Consultas de ejemplo

La tabla siguiente proporciona ejemplos distintos de consultas de registro que recuperan registros de Syslog.

Consultar Descripción
Syslog Todos los registros de Syslog
Syslog | where SeverityLevel == "error" Todos los registros de Syslog con gravedad de error
Syslog | summarize AggregatedValue = count() by Computer Número de registros de Syslog por equipo
Syslog | summarize AggregatedValue = count() by Facility Número de registros de Syslog por recurso
Syslog | where ProcessName == "kubelet" Todos los registros de Syslog del proceso de kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" Registros de Syslog del proceso de kubelet con errores

Edición de la configuración de la recopilación de Syslog

Para modificar la configuración de la recopilación de Syslog, modifique la regla de recopilación de datos (DCR) que se creó al habilitarla.

Seleccione Reglas de recopilación de datos en el menú Supervisión de Azure Portal.

Screenshot of Data Collection Rules tab in the Azure Monitor portal UI.

Seleccione el DCR y, luego, Ver orígenes de datos. Seleccione el origen de datos Syslog de Linux para ver los detalles de la recopilación de Syslog.

Nota

El DCR se crea automáticamente al habilitar Syslog. El DCR sigue la convención de nomenclatura MSCI-<WorkspaceRegion>-<ClusterName>.

Screenshot of Data Sources tab for Syslog data collection rule.

Seleccione el nivel de registro mínimo de cada instalación que quiera recopilar.

Screenshot of Configuration panel for Syslog data collection rule.

Pasos siguientes

Una vez que los clientes pueden empezar a enviar datos de Syslog a las herramientas de su elección

Más información

Comparta sus comentarios sobre esta característica aquí: https://forms.office.com/r/BBvCjjDLTS