Cilium Tetragon是一個開源網路監控和安全工具,支援網路流量監控、即時日誌分析等功能。當您使用Tetragon將容器運行時日誌採集到容器的目錄後,可以使用Logtail將日誌傳輸到Logstore進行查詢分析。
使用限制
Logtail目前僅支援Kubernetes和Docker情境的Tetragon日誌採集。
Tetragon的運行要求最低Linux核心版本為4.19。
1. 配置Tetragon
配置Tetragon後,日誌儲存在容器的/var/run/cilium/tetragon/tetragon.log目錄下。
1.1 安裝Tetragon
Kubernetes環境的安裝步驟,請參見Quick Kubernetes Install。
Docker環境的安裝步驟,請參見Quick Local Docker Install。
1.2 配置Tetragon的安全性原則
2. 配置Logtail組件
Logtail組件將/var/run/cilium/tetragon/tetragon.log目錄下的日誌,採集到Log Service的Logstore。
2.1 安裝Logtail組件
阿里雲Kubernetes叢集和自建Kubernetes叢集,請參見安裝Logtail組件(阿里雲Kubernetes叢集)和安裝Logtail組件(自建Kubernetes叢集)。
Docker情境,請參見採集標準Docker容器檔案日誌的步驟一。
2.2 配置Logtail配置
登入Log Service控制台。在日誌應用地區的審計與安全頁簽,單擊新版日誌審計服務。
在新版日誌審計頁面,單擊已有的關聯Project名稱。或者單擊關聯Project,建立新的關聯Project。
在左側導覽列,選擇資料接入>運行時,單擊建立Logtail配置,在下拉式清單單擊Tetragon。
在機器組配置頁面,選擇使用情境和部署方式。
在Logtail配置頁面已預設配置相關參數,單擊頁面下方的完成。如果需要修改參數,請參見通過DaemonSet方式採集Kubernetes容器文本日誌和通過Sidecar方式採集Kubernetes容器文本日誌的建立Logtail採集配置部分的控制台頁簽。
2.3 驗證配置結果
配置Logtail組件後,Log Service會自動在關聯Project下建立如下資源。
名稱為
tetragon-pipelineconfig的Logtail採集配置。
名稱為
tetragon-log的Logstore。
3. 查詢分析日誌
在左側導覽列選擇查詢分析>運行時,單擊Tetragon頁簽。Tetragon採集的日誌欄位說明,請參見Tetragon運行時日誌欄位說明。查詢文法,請參見查詢文法。
相關文檔
Tetragon採集的日誌欄位說明,請參見Tetragon運行時日誌欄位說明。
採集Tetragon日誌後,您可以在報表中心查看運行時事件總數、檔案類事件數目、網路事件數目等資訊。
採集Tetragon日誌後,您可以對日誌添加自訂的警示規則, 也可以使用Log Service內建的模板規則,操作步驟請參見警示管理。