Azure CLI での Azure Monitor ログの管理

[アーティクル]
08/09/2023

ここに記載されている Azure CLI のコマンドを使用して、Azure Monitor で Log Analytics ワークスペースを管理します。

前提条件

Azure Cloud Shell で Bash 環境を使用します。詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。
CLI リファレンスコマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。
- ローカルインストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。認証プロセスを完了するには、ターミナルに表示される手順に従います。その他のサインインオプションについては、Azure CLI でのサインインに関するページを参照してください。
- 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。
- az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。最新バージョンにアップグレードするには、az upgrade を実行します。

Monitor ログ用のワークスペースを作成する

az group create コマンドを実行してリソースグループを作成するか、既存のリソースグループを使用します。ワークスペースを作成するには、az monitor log-analytics workspace create コマンドを使用します。

az group create --name ContosoRG --location eastus2
az monitor log-analytics workspace create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

ワークスペースの詳細については、「Azure Monitor ログの概要」を参照してください。

ワークスペース内のテーブルを一覧表示する

各ワークスペースには、複数のデータ行がある列を持つテーブルが含まれています。各テーブルは、データソースによって提供される一意のデータ列セットによって定義されます。

ワークスペース内のテーブルを表示するには、az monitor log-analytics workspace table list コマンドを使用します。

az monitor log-analytics workspace table list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

出力値 table では、より読みやすい形式で結果が示されます。詳しくは、「出力の形式」をご覧ください。

テーブルの保持期間を変更するには、az monitor log-analytics workspace table update コマンドを実行します。

az monitor log-analytics workspace table update --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name Syslog --retention-time 45

保持期間は 30 - 730 日間です。

テーブルの詳細については、「データ構造」を参照してください。

テーブルを削除する

カスタムログ、検索結果、復元されたログテーブルを削除できます。

テーブルを削除するには、az monitor log-analytics workspace table delete コマンドを実行します。

az monitor log-analytics workspace table delete –subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name MySearchTable_SRCH

選択したテーブルからデータをエクスポートする

選択したテーブルから Azure ストレージアカウントまたは Azure Event Hubs にデータを継続的にエクスポートできます。 az monitor log-analytics workspace data-export create コマンドを使用します。

az monitor log-analytics workspace data-export create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --table Syslog \
   --destination /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/exportaccount \
   --enable

データのエクスポートを確認するには、az monitor log-analytics workspace data-export list コマンドを実行します。

az monitor log-analytics workspace data-export list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

データのエクスポートを削除するには、az monitor log-analytics workspace data-export delete コマンドを実行します。 --yes パラメーターを指定すると、確認はスキップされます。

az monitor log-analytics workspace data-export delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name DataExport --yes

データエクスポートの詳細については、「Azure Monitor の Log Analytics ワークスペースのデータエクスポート」を参照してください。

リンクされたサービスを管理する

リンクされたサービスは、ワークスペースから別の Azure リソースへの関係を定義します。 Azure Monitor ログと Azure リソースでは、操作でこの接続が使用されます。リンクされたサービスの使用例としては、カスタマーマネージドキーへの Automation アカウントやワークスペースの関連付けがあります。

リンクされたサービスを作成するには、az monitor log-analytics workspace linked-service create コマンドを実行します。

az monitor log-analytics workspace linked-service create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation \
   --resource-id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Web/sites/ContosoWebApp09

az monitor log-analytics workspace linked-service list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

リンクされたサービスの関係を削除するには、az monitor log-analytics workspace linked-service delete コマンドを実行します。

az monitor log-analytics workspace linked-service delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name linkedautomation

詳細については、「az monitor log-analytics workspace linked-service」を参照してください。

リンクされたストレージを管理する

ログ分析用に独自のストレージアカウントを用意して管理する場合は、これらの Azure CLI コマンドを使用して管理できます。

ワークスペースをストレージアカウントにリンクするには、az monitor log-analytics workspace linked-storage create コマンドを実行します。

az monitor log-analytics workspace linked-storage create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace \
   --storage-accounts /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/ContosoRG/providers/Microsoft.Storage/storageAccounts/contosostorage \
   --type Alerts

az monitor log-analytics workspace linked-storage list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --output table

ストレージアカウントへのリンクを削除するには、az monitor log-analytics workspace linked-storage delete コマンドを実行します。

az monitor log-analytics workspace linked-storage delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --type Alerts

詳細については、「Azure Monitor Log Analytics でのカスタマーマネージドストレージアカウントの使用」を参照してください。

インテリジェンスパックを管理する

利用可能なインテリジェンスパックを表示するには、az monitor log-analytics workspace pack list コマンドを実行します。このコマンドにより、パックが有効になっているかどうかも示されます。

az monitor log-analytics workspace pack list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

az monitor log-analytics workspace pack enable または az monitor log-analytics workspace pack disable コマンドを使用します。

az monitor log-analytics workspace pack enable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

az monitor log-analytics workspace pack disable --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name NetFlow

保存された検索条件の管理

保存した検索条件を作成するには、az monitor log-analytics workspace saved-search コマンドを実行します。

az monitor log-analytics workspace saved-search create --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 \
   --category "Log Management" --display-name SavedSearch01 \
   --saved-query "AzureActivity | summarize count() by bin(TimeGenerated, 1h)" --fa Function01 --fp "a:string = value"

保存した検索条件を表示するには、az monitor log-analytics workspace saved-search show コマンドを使用します。すべての保存した検索条件を表示するには、az monitor log-analytics workspace saved-search list を使用します。

az monitor log-analytics workspace saved-search show --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01
az monitor log-analytics workspace saved-search list --resource-group ContosoRG \
   --workspace-name ContosoWorkspace

保存した検索条件を削除するには、az monitor log-analytics workspace saved-search delete コマンドを実行します。

az monitor log-analytics workspace saved-search delete --resource-group ContosoRG \
   --workspace-name ContosoWorkspace --name SavedSearch01 --yes

デプロイのクリーンアップ

これらのコマンドをテストするためにリソースグループを作成した場合は、az group delete コマンドを使用して、リソースグループとそのすべての内容を削除できます。

az group delete --name ContosoRG

既存のリソースグループから新しいワークスペースを削除する場合は、az monitor log-analytics workspace delete コマンドを実行します。

az monitor log-analytics workspace delete --resource-group ContosoRG 
   --workspace-name ContosoWorkspace --yes

Log Analytics ワークスペースには、論理的な削除オプションがあります。削除したワークスペースは、削除してから 2週間は復旧できます。 az monitor log-analytics workspace recover コマンドを実行します。

az monitor log-analytics workspace recover --resource-group ContosoRG 
   --workspace-name ContosoWorkspace

delete コマンドに --force パラメーターを追加すると、ワークスペースは即時削除されます。

この記事で使用されている Azure CLI コマンド

次のステップ

Azure Monitor の Log Analytics の概要