Container Insights で Syslog データにアクセスする
Container Insights には、Azure Kubernetes Service (AKS) クラスター内の Linux ノードから Syslog イベントを収集する機能が用意されています。 これには、kubelet のようにコントロール プレーンのコンポーネントからログを収集する機能が含まれます。 お客様は、セキュリティと正常性のイベントを監視する場合にも Syslog を使用できます。通常は、Syslog を Microsoft Sentinel などの SIEM システムに取り込みます。
前提条件
- 「Container insights でのログ収集の構成とフィルター処理」のガイダンスを使用して、クラスターに対して Syslog 収集を有効にする必要があります。
- ポート 28330 は、ホスト ノードで使用できる必要があります。
組み込みのブック
syslog データのクイック スナップショットを取得するには、次のいずれかの方法を使用して、組み込みの Syslog ブックを使用します。
Note
クラスターで Customer Insights Prometheus エクスペリエンスを有効にすると、[レポート] タブは使用できなくなります。
Container Insights の [レポート] タブ。 Azure portal でクラスターに移動し、[Insights] を開きます。 [レポート] タブを開き、Syslog ブックを見つけます。
![Container Insights の [レポート] タブから Syslog ブックにアクセスするビデオ。](media/container-insights-syslog/syslog-workbook-cluster.gif)
AKS の [ブック] タブで、Azure portal のクラスターに移動します。 [ブック] タブを開き、Syslog ブックを見つけます。
![クラスターの [ブック] タブから Syslog ブックにアクセスするビデオ。](media/container-insights-syslog/syslog-workbook-container-insights-reports-tab.gif)
![Container Insights の [レポート] タブから Syslog ブックにアクセスするビデオ。](media/container-insights-syslog/syslog-workbook-cluster.gif#lightbox)
![クラスターの [ブック] タブから Syslog ブックにアクセスするビデオ。](media/container-insights-syslog/syslog-workbook-container-insights-reports-tab.gif#lightbox)
grafana ダッシュボード
Grafana を使用している場合は、Grafana の Syslog ダッシュボードを使用して Syslog データの概要を取得できます。 新しい Azure マネージド Grafana インスタンスを作成した場合、既定でこのダッシュボードを使用できます。 それ以外の場合、Grafana マーケットプレースから Syslog ダッシュボードをインポートできます。
Note
Container Insights から syslog にアクセスするには、Azure Managed Grafana インスタンスを含むサブスクリプションに対する監視閲覧者ロールが必要になります。
ログ クエリ
Syslog データは、Log Analytics ワークスペースの Syslog テーブルに格納されます。 Log Analytics で独自のログ クエリを作成して、このデータを分析したり、事前構築済みのクエリを使用したりできます。
[監視] メニューの [ログ] メニューから Log Analytics を開いて、すべてのクラスターの Syslog データにアクセスするか、AKS クラスターのメニューから 1 つのクラスターの Syslog データにアクセスできます。
サンプル クエリ
次の表は、Syslog レコードを取得するログ クエリのさまざまな例をまとめたものです。
| クエリ | 説明 |
|---|---|
Syslog |
すべての Syslog |
Syslog | where SeverityLevel == "error" |
重大度がエラーであるすべての Syslog レコード |
Syslog | summarize AggregatedValue = count() by Computer |
コンピューターごとの Syslog レコードの数 |
Syslog | summarize AggregatedValue = count() by Facility |
ファシリティごとの Syslog レコードの数 |
Syslog | where ProcessName == "kubelet" |
kubelet プロセスのすべての Syslog レコード |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
エラーが発生した kubelet プロセスからの Syslog レコード |
次のステップ
セットアップ後、お客様は選択したツールへの Syslog データの送信を開始できます
この機能に関するフィードバックは、https://forms.office.com/r/BBvCjjDLTS からお寄せください。