次の方法で共有

変更履歴とインベントリのアラートを作成する方法

  • [アーティクル]

重要

Log Analytics エージェントを使用した変更履歴とインベントリは、2024 年 8 月 31 日に廃止されましたが、2025 年 2 月 1 日までは限られたサポートの下で動作します。 新しいサポート エージェントとして Azure Monitoring Agent を使用することをお勧めします。 Log Analytics を使用する変更履歴とインベントリから Azure Monitoring Agent バージョンを使用した変更履歴とインベントリへの移行については、こちらのガイダンスに従ってください。

Note

2024 年 8 月 31 日にサービスが廃止されたため、Azure portal を使用した Log Analytics オンボードでの変更履歴とインベントリは許可されません。 AMA を使用して変更履歴とインベントリの新しいバージョンを構成することをお勧めします。 レガシ エージェントを使用した変更履歴とインベントリ上の既存の VM は、2025 年 2 月 1 日まで引き続き機能します。 詳細については、「Azure Monitoring Agent を使用した変更履歴とインベントリを有効にする」を参照してください。

Azure のアラートでは、Runbook ジョブの結果、サービス正常性の問題、または Automation アカウントに関連するその他のシナリオが事前に通知されます。 Azure Automation には事前に構成されたアラート ルールは含まれませんが、生成されるデータに基づいて独自のものを作成することができます。 この記事では、変更履歴とインベントリによって特定された変更に基づいてアラート ルールを作成するためのガイダンスを示します。

Azure Monitor のアラートに詳しくない場合は、事前に「Microsoft Azure のアラートの概要」を参照してください。 ログ クエリを使用したアラートの詳細については、「Azure Monitor でのログ アラート」を参照してください。

アラートの作成

次の例は、マシン上でファイル c:\windows\system32\drivers\etc\hosts が変更されたことを示しています。 このファイルは、Windows がホスト名を IP アドレスに解決するために使用するため、重要です。 この操作は DNS より優先されるため、接続の問題が発生する可能性があります。 また、悪意のある、またはその他の危険な Web サイトにトラフィックがリダイレクトされる可能性もあります。

hosts ファイルの変更を示すグラフ

次の例を使用して、変更に関するアラートを作成する手順について説明します。

  1. 仮想マシンの [変更履歴] ページで、[Log Analytics] を選択します。

  2. ログ検索で、クエリ ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts" を使用して、hosts ファイルに対するコンテンツ変更を検索します。 このクエリでは、完全修飾パス名に hosts という単語が含まれているファイルのコンテンツ変更を検索します。 パスの部分を完全修飾の形式に変更する (たとえば、FileSystemPath == "c:\windows\system32\drivers\etc\hosts" を使用する) ことで、特定のファイルを要求することもできます。

  3. クエリからその結果が返されたら、ログ検索で [新しいアラート ルール] を選択し、[Alert creation]\(アラートの作成\) ページを開きます。 Azure portal で Azure Monitor を使用してこのページに移動することもできます。

  4. もう一度クエリを確認し、警告ロジックを変更してください。 この場合は、環境内のすべてのマシンで 1 つでも変更が検出されたら、アラートがトリガーされるようにします。

    hosts ファイルに対する変更を追跡するためのクエリへの変更

  5. アラート ロジックを設定したら、アラートのトリガーに応じてアクションを実行するアクション グループを割り当てます。 この場合は、送信する電子メールと、作成する IT サービスマネジメント (ITSM) チケットを設定します。

更新プログラムの展開の状態を通知するアラートを設定するには、次の手順のようにします。 Azure アラートを初めて使用する場合は、Azure アラートの概要に関するページを参照してください。

アラートにアクション グループを構成する

アラートを構成したら、アクション グループを設定できます。これは複数のアラートに対して使用するアクションのグループです。 このアクションには、メール通知、Runbook、Webhook など多くのものを含めることができます。 アクション グループの詳細については、アクション グループの作成および管理に関するページを参照してください。

  1. アラートを選択し、[アクション グループ][新規作成] を選択します。

  2. アクション グループの完全な名前と短い名前を入力します。 Update Management では、指定のグループを使用して通知を送信する場合に短縮名を使用します。

  3. [アクション] で、アクションを指定する名前 (電子メール通知など) を入力します。

  4. [アクションの種類] には、適切な種類 (メール、SMS メッセージ、プッシュ、音声など) を選択します。

  5. 鉛筆アイコンを選択してアクションの詳細を編集します。

  6. アクションの種類のペインに入力します。 たとえば、メール、SMS メッセージ、プッシュ、音声を使用して電子メールを送る場合は、アクション名を入力し、[電子メール] チェックボックスをオンにして、有効なメール アドレスを入力し、[OK] を選択します。

    電子メール アクション グループの構成

  7. [アクション グループの追加] ペインで、[OK] を選択します。

  8. アラート メールでは、メールの件名をカスタマイズできます。 [ルールの作成][アクションをカスタマイズする] を選択し、[メールの件名] を選択します。

  9. 完了したら、[アラート ルールの作成] を選択します。

次のステップ