你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在容器见解中访问 Syslog 数据

  • 项目

容器见解提供从 Azure Kubernetes 服务 (AKS) 群集中的 Linux 节点收集 Syslog 事件的功能。 这包括从控制平面组件(如 kubelet)收集日志的功能。 客户也可以使用 Syslog 监视安全和运行状况事件,方法通常是将 syslog 引入到 Microsoft Sentinel 等 SIEM 系统中。

先决条件

内置工作簿

若要获取 syslog 数据的快速快照,请通过以下方法之一使用内置 Syslog 工作簿:

注意

如果为群集启用容器见解 Prometheus 体验,“报表”选项卡将不可用

  • 容器见解中的“报表”选项卡。 在 Microsoft Azure 门户中导航到群集,打开 Insights。 打开“报表”选项卡,找到 Syslog 工作簿。

    从容器见解“报表”选项卡访问 Syslog 工作簿的视频。

  • AKS 中的“工作簿”选项卡,在 Microsoft Azure 门户中导航到群集。 打开“工作簿”选项卡,找到 Syslog 工作簿。

    从群集“工作簿”选项卡访问 Syslog 工作簿的视频。

Grafana 仪表板

如果使用 Grafana,可以使用 Grafana 的 Syslog 仪表板来大致了解 Syslog 数据。 如果创建新的 Azure 托管 Grafana 实例,此仪表板默认可用。 否则,可以从 Grafana 市场导入 Syslog 仪表板

注意

你需要对包含 Azure 托管 Grafana 实例的订阅具有“监视读取者”角色才能从容器见解访问 syslog。

Syslog Grafana 仪表板的屏幕截图。

日志查询

Syslog 数据存储在 Log Analytics 工作区上的 Syslog 表中。 可以在 Log Analytics 中创建自己的日志查询来分析此数据或使用任何预生成的查询

Azure Monitor 门户 UI 的查询编辑器中加载的 Syslog 查询的屏幕截图。

可通过“Monitor”菜单中的“日志”菜单打开 Log Analytics 来访问所有群集的 Syslog 数据,也可通过 AKS 群集的菜单打开它,以便仅访问该群集的 Syslog 数据。

包含 Syslog 查询的查询编辑器的屏幕截图。

示例查询

下表提供了检索 Syslog 记录的不同日志查询示例。

查询 说明
Syslog 所有 Syslog
Syslog | where SeverityLevel == "error" 严重级别为“错误”的所有 Syslog 记录
Syslog | summarize AggregatedValue = count() by Computer 按计算机计算的 Syslog 记录数目
Syslog | summarize AggregatedValue = count() by Facility 按设施计算的 Syslog 记录数目
Syslog | where ProcessName == "kubelet" kubelet 进程中的所有 Syslog 记录
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" kubelet 进程中的 Syslog 记录以及错误

后续步骤

设置后,客户可以开始将 Syslog 数据发送到所选的工具

在此处共享此功能的反馈:https://forms.office.com/r/BBvCjjDLTS