Zbieranie zdarzeń dziennika systemowego przy użyciu usługi Container Insights

Usługa Container Szczegółowe informacje umożliwia zbieranie zdarzeń dziennika systemowego z węzłów systemu Linux w klastrach usługi Azure Kubernetes Service (AKS). Obejmuje to możliwość zbierania dzienników ze składników płaszczyzny sterowania, takich jak kubelet. Klienci mogą również używać dziennika systemowego do monitorowania zdarzeń zabezpieczeń i kondycji, zazwyczaj przez pozyskiwanie dziennika systemowego do systemu SIEM, takiego jak Microsoft Sentinel.

Wymagania wstępne

• W klastrze musi być włączone uwierzytelnianie tożsamości zarządzanej. Aby włączyć, zobacz Migrowanie klastra usługi AKS do uwierzytelniania tożsamości zarządzanej. Uwaga: włączenie tożsamości zarządzanej spowoduje utworzenie nowej reguły zbierania danych (DCR) o nazwie MSCI-<WorkspaceRegion>-<ClusterName>
• Port 28330 powinien być dostępny w węźle hosta.
• Minimalne wersje składników platformy Azure
  • Interfejs wiersza polecenia platformy Azure: minimalna wersja wymagana dla interfejsu wiersza polecenia platformy Azure to 2.45.0 (link do informacji o wersji). Aby uzyskać instrukcje uaktualniania, zobacz Jak zaktualizować interfejs wiersza polecenia platformy Azure.
  • Rozszerzenie interfejsu wiersza polecenia platformy Azure AKS-Preview: minimalna wersja wymagana dla rozszerzenia interfejsu wiersza polecenia platformy Azure w wersji zapoznawczej usługi AKS to 0.5.125 (link do informacji o wersji). Aby uzyskać wskazówki dotyczące uaktualniania, zobacz How to update extensions (Jak aktualizować rozszerzenia).
  • Wersja obrazu systemu Linux: minimalna wersja obrazu systemu Linux węzła usługi AKS to 2022.11.01. Aby uzyskać pomoc dotyczącą uaktualniania, zobacz Uaktualnianie obrazów węzłów usługi Azure Kubernetes Service (AKS).

Jak włączyć dziennik syslog

Z witryny Azure Portal

Przejdź do klastra. Otwórz kartę Szczegółowe informacje dla klastra. Otwórz panel Monitor Ustawienia. Kliknij pozycję Edytuj ustawienia kolekcji, a następnie zaznacz pole wyboru Włącz kolekcję syslog

Korzystanie z poleceń interfejsu wiersza polecenia platformy Azure

Użyj następującego polecenia w interfejsie wiersza polecenia platformy Azure, aby włączyć zbieranie dzienników syslog podczas tworzenia nowego klastra usługi AKS.

az aks create -g syslog-rg -n new-cluster --enable-managed-identity --node-count 1 --enable-addons monitoring --enable-msi-auth-for-monitoring --enable-syslog --generate-ssh-key

Użyj następującego polecenia w interfejsie wiersza polecenia platformy Azure, aby włączyć zbieranie dzienników systemu w istniejącym klastrze usługi AKS.

az aks enable-addons -a monitoring --enable-msi-auth-for-monitoring --enable-syslog -g syslog-rg -n existing-cluster

Korzystanie z szablonów usługi ARM

Szablony usługi ARM można również używać do włączania kolekcji dzienników syslog

1. Pobierz szablon w pliku zawartości usługi GitHub i zapisz go jako existingClusterOnboarding.json.

2. Pobierz plik parametrów w pliku zawartości usługi GitHub i zapisz go jako existingClusterParam.json.

3. Edytuj wartości w pliku parametrów:

   • aksResourceId: użyj wartości na stronie Przegląd usługi AKS dla klastra usługi AKS.
   • aksResourceLocation: użyj wartości na stronie Przegląd usługi AKS dla klastra usługi AKS.
   • workspaceResourceId: użyj identyfikatora zasobu obszaru roboczego usługi Log Analytics.
   • resourceTagValues: dopasuj istniejące wartości tagów określone dla istniejącej reguły zbierania danych rozszerzenia usługi Container Insights (DCR) klastra i nazwy kontrolera domeny. Nazwą będzie MSCI-clusterName-clusterRegion<><> i ten zasób utworzony w grupie zasobów klastrów usługi AKS. Jeśli jest to pierwszy raz podczas dołączania, możesz ustawić dowolne wartości tagów.
   • enableSyslog: Ustaw wartość true
   • syslogLevels: Tablica poziomów dziennika systemowego do zebrania. Ustawienie domyślne zbiera wszystkie poziomy.
   • syslogFacilities: Tablica obiektów dziennika systemowego do zbierania. Ustawienie domyślne zbiera wszystkie obiekty

Uwaga

Dostosowywanie poziomu dziennika systemowego i obiektów jest obecnie dostępne tylko za pośrednictwem szablonów usługi ARM.

Wdrażanie szablonu

Wdróż szablon z plikiem parametrów przy użyciu dowolnej prawidłowej metody wdrażania szablonów usługi Resource Manager. Przykłady różnych metod można znaleźć w temacie Wdrażanie przykładowych szablonów.

Wdrażanie przy użyciu programu Azure PowerShell

New-AzResourceGroupDeployment -Name OnboardCluster -ResourceGroupName <ResourceGroupName> -TemplateFile .\existingClusterOnboarding.json -TemplateParameterFile .\existingClusterParam.json

Ukończenie zmiany konfiguracji może potrwać kilka minut. Po zakończeniu komunikat podobny do poniższego przykładu zawiera następujący wynik:

provisioningState       : Succeeded

Wdrażanie przy użyciu interfejsu wiersza polecenia platformy Azure

az login
az account set --subscription "Subscription Name"
az deployment group create --resource-group <ResourceGroupName> --template-file ./existingClusterOnboarding.json --parameters @./existingClusterParam.json

Ukończenie zmiany konfiguracji może potrwać kilka minut. Po zakończeniu komunikat podobny do poniższego przykładu zawiera następujący wynik:

provisioningState       : Succeeded

Jak uzyskać dostęp do danych dziennika systemowego

Dostęp przy użyciu wbudowanych skoroszytów

Aby uzyskać szybką migawkę danych dziennika systemowego, klienci mogą używać naszego wbudowanego skoroszytu dziennika systemowego. Istnieją dwa sposoby uzyskiwania dostępu do wbudowanego skoroszytu.

Opcja 1 — karta Raporty w Szczegółowe informacje kontenera. Przejdź do klastra. Otwórz kartę Szczegółowe informacje dla klastra. Otwórz kartę Raporty i wyszukaj skoroszyt Syslog.

Opcja 2 — karta Skoroszyty w usłudze AKS przejdź do klastra. Otwórz kartę Skoroszyty dla klastra i poszukaj skoroszytu Syslog .

Dostęp przy użyciu pulpitu nawigacyjnego narzędzia Grafana

Klienci mogą korzystać z naszego pulpitu nawigacyjnego dziennika systemowego dla narzędzia Grafana, aby zapoznać się z omówieniem danych dziennika systemowego. Klienci, którzy tworzą nowe wystąpienie narzędzia Grafana zarządzane przez platformę Azure, będą domyślnie dostępny ten pulpit nawigacyjny. Klienci z istniejącymi wystąpieniami lub uruchomionymi własnymi wystąpieniami mogą importować pulpit nawigacyjny dziennika systemu z witryny Grafana Marketplace.

Uwaga

Aby uzyskać dostęp do dziennika systemowego z usługi Container Szczegółowe informacje, musisz mieć rolę Czytelnik monitorowania w subskrypcji zawierającej wystąpienie usługi Azure Managed Grafana.

Dostęp przy użyciu zapytań dzienników

Dane dziennika systemowego są przechowywane w tabeli Syslog w obszarze roboczym usługi Log Analytics. Możesz utworzyć własne zapytania dziennika w usłudze Log Analytics, aby przeanalizować te dane lub użyć dowolnych wstępnie utworzonych zapytań.

Możesz otworzyć usługę Log Analytics z menu Dzienniki w menu Monitorowanie , aby uzyskać dostęp do danych dziennika systemowego dla wszystkich klastrów lub z menu klastra usługi AKs, aby uzyskać dostęp do danych dziennika systemowego tylko dla tego klastra.

Przykładowe zapytania

W poniższej tabeli przedstawiono różne przykłady zapytań dziennika, które pobierają rekordy dziennika systemowego.

Query	opis
Syslog	Wszystkie dzienniki systemowe
Syslog | where SeverityLevel == "error"	Wszystkie rekordy dziennika systemowego o ważności błędu
Syslog | summarize AggregatedValue = count() by Computer	Liczba rekordów dziennika systemowego według komputera
Syslog | summarize AggregatedValue = count() by Facility	Liczba rekordów dziennika systemowego według obiektu
Syslog | where ProcessName == "kubelet"	Wszystkie rekordy dziennika systemu z procesu kubelet
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error"	Rekordy dziennika systemowego z procesu kubelet z błędami

Edytowanie ustawień kolekcji syslog

Aby zmodyfikować konfigurację kolekcji syslog, należy zmodyfikować regułę zbierania danych (DCR), która została utworzona po jej włączeniu.

Wybierz pozycję Reguły zbierania danych z menu Monitor w witrynie Azure Portal.

Wybierz kontroler domeny, a następnie wyświetl źródła danych. Wybierz źródło danych Syslog systemu Linux, aby wyświetlić szczegóły zbierania dziennika systemowego.

Uwaga

Kontroler domeny jest tworzony automatycznie po włączeniu dziennika systemowego. Kontroler domeny jest zgodny z konwencją MSCI-<WorkspaceRegion>-<ClusterName>nazewnictwa .

Wybierz minimalny poziom dziennika dla każdego obiektu, który chcesz zebrać.

Następne kroki

Po skonfigurowaniu klienci mogą rozpocząć wysyłanie danych dziennika systemowego do wybranego narzędzia

• Wysyłanie dziennika systemowego do usługi Microsoft Sentinel
• Eksportowanie danych z usługi Log Analytics

Przeczytaj więcej

• Właściwości rekordu dziennika systemowego

Podziel się swoją opinią na temat tej funkcji tutaj: https://forms.office.com/r/BBvCjjDLTS