你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 中 Kubernetes 群集的日志收集包括从 Linux 节点收集 Syslog 事件的选项。 这可能包括来自控制平面组件(如 kubelet)的日志信息,或安全事件和健康事件,这些数据可能会被引入到 SIEM 系统,如 Microsoft Sentinel。
先决条件
- 需要在 群集的日志记录配置文件中启用 Syslog 集合。
- 端口 28330 应在主机节点上可用。
- 确保在群集中启用 hostPort 功能。 例如,Cilium Enterprise 默认情况下未启用 hostPort 功能,这使 syslog 功能无法正常运行。
- 目标群集应是 Azure Kubernetes 服务(AKS) 群集。 不支持 Arc 和其他群集类型。
Syslog 工作簿
若要获取 syslog 数据的快速快照,请从群集菜单中的 “工作簿 ”项打开内置的 Syslog 工作簿。
Grafana 仪表板
Grafana 还提供一个 Syslog 仪表板。 默认情况下,此仪表板通过 Grafana 的 Azure Monitor 仪表板提供,如果创建新的 Azure 托管 Grafana 实例,也可使用此仪表板。 还可以从 Grafana 市场导入 Syslog 仪表板。
注意
需要在包含 Azure 托管 Grafana 实例的订阅中拥有监控查看者角色。
日志查询
Syslog 数据存储在 Log Analytics 工作区上的 Syslog 表中。 可以在 Log Analytics 中创建自己的日志查询来分析此数据或使用任何预生成的查询。
从“监视”菜单中的“日志”菜单打开 Log Analytics,以访问所有群集的 Syslog 数据,或者从 AKS 群集的菜单中访问单个群集的 Syslog 数据。
示例查询
下表提供了检索 Syslog 记录的不同日志查询示例。
| 查询 | 说明 |
|---|---|
Syslog |
所有系统日志 |
Syslog | where SeverityLevel == "error" |
具有错误严重级别的所有 Syslog 记录 |
Syslog | summarize AggregatedValue = count() by Computer |
按计算机计算的 Syslog 记录数目 |
Syslog | summarize AggregatedValue = count() by Facility |
按设施计算的 Syslog 记录数目 |
Syslog | where ProcessName == "kubelet" |
kubelet 进程中的所有 Syslog 记录 |
Syslog | where ProcessName == "kubelet" and SeverityLevel == "error" |
kubelet 进程中包含错误的 Syslog 记录 |
后续步骤
设置后,客户可以开始将 Syslog 数据发送到所选的工具
在此处共享此功能的反馈:https://forms.office.com/r/BBvCjjDLTS