Cilium Tetragon是一个开源网络监控和安全工具,支持网络流量监控、实时日志分析等功能。当您使用Tetragon将容器运行时日志采集到容器的目录后,可以使用Logtail将日志传输到Logstore进行查询分析。
使用限制
Logtail目前仅支持Kubernetes和Docker场景的Tetragon日志采集。
Tetragon的运行要求最低Linux内核版本为4.19。
1. 配置Tetragon
配置Tetragon后,日志存储在容器的/var/run/cilium/tetragon/tetragon.log目录下。
1.1 安装Tetragon
Kubernetes环境的安装步骤,请参见Quick Kubernetes Install。
Docker环境的安装步骤,请参见Quick Local Docker Install。
1.2 配置Tetragon的安全策略
请参见Security Sensitive Events。
2. 配置Logtail组件
Logtail组件将/var/run/cilium/tetragon/tetragon.log目录下的日志,采集到日志服务的Logstore。
2.1 安装Logtail组件
阿里云Kubernetes集群和自建Kubernetes集群,请参见安装Logtail组件(阿里云Kubernetes集群)和安装Logtail组件(自建Kubernetes集群)。
Docker场景,请参见采集标准Docker容器日志的步骤一。
2.2 配置Logtail配置
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
在新版日志审计页面,单击已有的关联Project名称。或者单击关联Project,创建新的关联Project。
在左侧导航栏,选择数据接入>运行时,单击创建Logtail配置,在下拉列表单击Tetragon。
在机器组配置页面,选择使用场景和部署方式。
在Logtail配置页面已默认配置相关参数,单击页面下方的完成。如果需要修改参数,请参见通过DaemonSet方式采集Kubernetes容器文本日志和通过Sidecar方式采集Kubernetes容器文本日志的创建Logtail采集配置部分的控制台页签。
2.3 验证配置结果
配置Logtail组件后,日志服务会自动在关联Project下创建如下资源。
名称为
tetragon-pipelineconfig的Logtail采集配置。
名称为
tetragon-log的Logstore。
3. 查询分析日志
在左侧导航栏选择查询分析>运行时,单击Tetragon页签。Tetragon采集的日志字段说明,请参见Tetragon运行时日志字段说明。查询语法,请参见查询语法。
相关文档
Tetragon采集的日志字段说明,请参见Tetragon运行时日志字段说明。
采集Tetragon日志后,您可以在报表中心查看运行时事件总数、文件类事件数、网络事件数等信息。
采集Tetragon日志后,您可以对日志添加自定义的告警规则, 也可以使用日志服务内置的模板规则,操作步骤请参见告警管理。