OMS - Microsoft Operations Management Suite -
Azure OMS
Microsoft が提供するIT管理ソリューションであるOMSについての解説を致します。
OMSにも様々な機能があるため、今回は主にLog Analyticsについての解説をし、機能に触れながらどのような時に使えるのかという論点をまとめていきたいと思います。
概要についてはこちらの記事で述べさせていただいておりますので、こちらも合わせてご覧ください。
「クラウド時代には、なぜ「ログ分析」が重要になるのか――高度なログ分析機能を、すぐに、簡単に使えるMicrosoft Operations Management Suite」
Azure OMSとは
Microsoft Operations Management Suite (OMS) は、Microsoft のクラウドベースの IT 管理ソリューションです。OMS を使用して、オンプレミスとクラウドのインフラストラクチャを管理し、保護することができます。 OMS はクラウドベースのサービスとして実装されるため、インフラストラクチャ サービスに最小限の投資をするだけで、すぐに稼働させることができます。 新しい機能は自動的に配信されるため、継続的なメンテナンスやアップグレードのコストが節約されます。
OMS は、価値のある独自のサービスに加え、System Center Operations Manager などの System Center のコンポーネントと統合して、管理のための既存の投資をクラウドに拡張できます。 System Center と OMS を連携させることで、本格的なハイブリッド管理を実現できます。
(参照:Operations Management Suite (OMS) とは)
OMSのLog Analyticsをログ分析のために用いる論点
「ログ分析ってなんのためにやるの?」という質問の答えは以下が多いでしょう。
- 障害発生時の原因究明
- システムの傾向分析(クラウドの課金)
- セキュリティ監査
それではなんでログ分析をOMSで行うのかを考えていきましょう。
ログがクラウドにある
原因究明のためのログが全部クラウドにあるということはセキュリティの観点でメリットです。
まず悪意のあるハッカーがやることは以下です。
- 準備として不審な動きをする(特定のポートに秒間何回もアクセスがあったり)
- 侵入する
- 悪さをする
- 悪さをした痕跡を消す
ログがオンプレ上にあった場合、多くの場合サーバーへの侵入とともに痕跡は消されてしまうでしょう。しかしログがクラウドにあった場合、悪意のあるハッカーは痕跡を消すことが出来ません。
マイクロソフトはペンタゴンの次に悪意のあるハッカーから攻撃されているデータセンターを持っています。もしもハッカーがマイクロソフトのデータセンターに侵入して攻撃の痕跡を消すためにはマイクロソフトのセキュアなデータセンターの壁を乗り越える必要があるのです。
またOMSで扱えるログデータにアクセスする場合は、AzureのAPIではReadはできてもWriteがそもそもできません。
ログがクラウドで管理される問ことはセキュリティの観点でかなりのメリットになります。
コンピューティングリソースを圧迫しない
OMSは今まで管理者が考える必要があったストレージリソースと、演算のリソースを開放します。
ログを多面的に分析したい場合、様々なログを取得することになりますが、その時にログ関連の処理はコンピュータのリソースを圧迫する可能性があります。
OMSの分析をする際にはその必要はありません。必要な時だけ分析エンジンを利用することができます。そしてサーバー運用管理の際に頭を悩ませる一つの要因として、無限にたまっていくように思われるログのデータ容量があります。しかしOMSは既存のストレージの容量を圧迫することがありません。
OMSでは独自のクエリを使ってAzure及びオンプレミスのマシンを含むハイブリット環境のログを検索することができます。
その検索も非常に高速で、潤沢なマイクロソフトのデータセンターのコンピュートリソースを使い、すぐにログ検索の結果を出力することができるのです。
今回のコードは各マシンのプロセッサのパフォーマンスの平均値を取得しています。
また、下のスクリーンショットでは検索窓にアスタリスク(*)を入力し、取得できるすべてのログ集めています。下記環境では1週間で7億9200万件のログがヒットしていますが、こちらも数秒で取得することができます。
OMSの場合は、ログ分析のためのインフラを考える必要はなくなるでしょう。
ハイブリッド環境にも使えて、WindowsもLinuxも対応
OMSはオンプレミスの環境にも使うことが出来る、ハイブリッド環境対応の管理サービスです。
もちろん、SoftlayerやAWSといった様々なクラウドのサービスとも連携させることが出来ます。
OMSでは対象のマシンにエージェントをインストールすることで、そのVMがAzureと通信可能な状況にあれば簡単に利用を開始できます。
そして、一つのダッシュボードで統合管理をすることが出来ます。
またOMSで管理できるのはWindowsだけではありません。Linuxベースの多くのOSにも対応しています。
それぞれのOSで作成されるログの形式はバラバラですが、OMSはその差を吸収します。
OMSでは、Windows環境もLinux環境も分析します。例えばアップデートマネジメントの画面では、どのマシンをアップデートすべきか、あてるべきセキュリティパッチはあるのか、といったことを知ることができます。そうした設定もWindowsとLinuxで別の設定をするのではなく、Agentさえ入れればOMSが勝手にやってくれることになります。
見えないものが見える
今までのログ管理では、「ためる」「見る」にフォーカスしがちで、主な目的は死活監視や障害対応でした。
そのため、多くのソフトウェアは「ダウンしていないか」ということにフォーカスしたデザインになっていました。
しかしそうした管理方法ではログから何か知見を得ようとするのが難しいです。
OMSの強みは、システムを俯瞰的に解析し、改善のためのアドバイスができるということです。
「人間が何か特定の事を考え、それを検証するために何かのコマンドを打って結果を見る」という繰り返しが今までの主な管理方法でしたが、
OMSでは、「この設定のほうが良い」「全体のVMのうち何台がアップデートされずに放置されているため、アップデートしたほうが良い」
といったことを、人間が管理していなくても教えてくれます。またOSのアップデートなど、分かってはいても無視されている問題も浮き彫りになります。
また、これはセキュリティの観点で、システム管理者のプロアクティブな活動の一助になります。
OMSはログを見て判断するためだけの環境ではありません。OMSでは解析結果から示唆を得ることができます。
ソリューションを提供
OMSには29のソリューションがあります。
ログを分析できるツールを導入した際に、まず最初に躓く点がダッシュボードの作成だと思います。
ログというデータはあるものの、実際にそれをひと目見ただけではよくわかりづらいですし、セキュリティならセキュリティ、障害対応なら障害対応の切り口で複数のダッシュボードをくみ上げなければなりません。
つ まり、導入してもすぐに使い始めることができないのです。一方でOMSの場合は、もう完成されたものが用意されています。例えば、セキュリティ監査の観 点、Azureマシンのアップデート状況、バックアップの状況、Active DirectoryやO365の状況など、様々な切り口で導入後すぐに分析を開始できます。
ログ分析
OMSはSaaSとして提供される管理環境で、ログ分析を誰でも簡単に始めることができます。
しかし、必ずしも「なんでも」できるわけではありません。もちろん、自分でログを収集するツール、ログを分析するツール、結果を可視化するツールを手組で組んだものに比べればできることの範囲は小さくなります。
ただし、それらのシステムを構築する時間や、それぞれのシステムが配置されるマシンにかかる費用を考えたときに、どちらを選択するほうが良いでしょうか?
昔からSIEMというかたちでログ分析の基盤は提供されていました。しかしそれはシステム的にも価格的にも導入難易度が高いものがあり、一度導入したらそれを使い続けることになります。
一方でOMSはサブスクリプション型の課金モデルで使うことができ、ダッシュボードも簡単に作成可能です。
ログ分析をすぐ始めたい時の入り口として、まずOMSはを使ってみるというのも良いのではないでしょうか。