将Tetragon采集的容器运行时日志传输到Logstore

Cilium Tetragon是一个开源网络监控和安全工具,支持网络流量监控、实时日志分析等功能。当您使用Tetragon将容器运行时日志采集到容器的目录后,可以使用Logtail将日志传输到Logstore进行查询分析。

使用限制

  • Logtail目前仅支持Kubernetes和Docker场景的Tetragon日志采集。

  • Tetragon的运行要求最低Linux内核版本为4.19。

1. 配置Tetragon

配置Tetragon后,日志存储在容器的/var/run/cilium/tetragon/tetragon.log目录下。

1.1 安装Tetragon

1.2 配置Tetragon的安全策略

2. 配置Logtail组件

Logtail组件将/var/run/cilium/tetragon/tetragon.log目录下的日志,采集到日志服务的Logstore。

2.1 安装Logtail组件

2.2 配置Logtail配置

  1. 登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务

    image

  2. 在新版日志审计页面,单击已有的关联Project名称。或者单击关联Project,创建新的关联Project。

    image

  3. 在左侧导航栏,选择数据接入>运行时,单击创建Logtail配置,在下拉列表单击Tetragon

    image

  4. 机器组配置页面,选择使用场景部署方式

    image

  5. Logtail配置页面已默认配置相关参数,单击页面下方的完成。如果需要修改参数,请参见通过DaemonSet方式采集Kubernetes容器文本日志通过Sidecar方式采集Kubernetes容器文本日志创建Logtail采集配置部分的控制台页签。

2.3 验证配置结果

配置Logtail组件后,日志服务会自动在关联Project下创建如下资源。

  1. 名称为tetragon-pipelineconfig的Logtail采集配置。image

  2. 名称为tetragon-log的Logstore。

    image

3. 查询分析日志

在左侧导航栏选择查询分析>运行时,单击Tetragon页签。Tetragon采集的日志字段说明,请参见Tetragon运行时日志字段说明。查询语法,请参见查询语法

image

相关文档

  • Tetragon采集的日志字段说明,请参见Tetragon运行时日志字段说明

  • 采集Tetragon日志后,您可以在报表中心查看运行时事件总数、文件类事件数、网络事件数等信息。

  • 采集Tetragon日志后,您可以对日志添加自定义的告警规则, 也可以使用日志服务内置的模板规则,操作步骤请参见告警管理