この記事では、Azure Arc 対応サーバー用の Azure Connected Machine エージェントによるデータ収集プロセスについて説明し、システム メタデータを収集して Azure に送信する方法について詳しく説明します。 この記事では、Azure Arc 対応サーバーで使用できるログ メカニズムについても説明します。これには、サーバー アクションを追跡するための Azure アクティビティ ログも含まれます。
Azure Arc によって収集される情報
通常の操作の一環として、Azure Connected Machine エージェントはシステム メタデータを収集し、通常のハートビートの一部として Azure に送信します。 このメタデータは Azure Arc 対応サーバー リソースに設定されるため、Azure インベントリの一部としてサーバーを識別してクエリを実行できます。 Azure Arc では、エンド ユーザーを特定できるデータは収集されません。
Azure Arc によって収集されたメタデータの完全な一覧については、「インスタンス メタデータ」を参照してください。この一覧は、Azure Connected Machine エージェントの最新リリースによって収集されたデータを反映するように、定期的に更新されます。 このデータ収集は、サーバーのフィルター処理と識別に役立つように、Azure エクスペリエンス全体で使用されるため、オプトアウトすることはできません。
クラウド メタデータを収集するために、Azure Connected Machine Agent は、AWS、GCP、Oracle Cloud、Azure Local、Azure の各インスタンス メタデータ エンドポイントに対してクエリを実行します。 エージェントは、"himds" サービスが開始されるたびに、それがクラウド内にあるかどうかを 1 回チェックします。 お使いのセキュリティ ソフトウェアで、そのプロセスの一環として、エージェントが 169.254.169.254、169.254.169.253、metadata.google.internal の各エンドポイントにアクセスしていることが認識される場合があります。
すべてのデータは、Microsoft のプライバシー基準に従って処理されます。
データ レプリケーションとディザスター リカバリー
Azure Arc 対応サーバーは、サービスとしてのソフトウェア オファリングであり、ユーザーに代わってデータ レプリケーションとディザスター リカバリーの準備を処理します。 データを格納するリージョンを選択すると、そのデータは、リージョンの停止から保護するために、同じ地域の別のリージョンに自動的にレプリケートされます。 リージョンが使用できなくなった場合、DNS レコードはフェールオーバー リージョンを指すように自動的に変更されます。 ユーザーからの操作は必要ありません。フェールオーバーが完了すると、エージェントは自動的に再接続します。
一部の地域では、Azure Arc 対応サーバーをサポートしているリージョンは 1 つだけです。 このような状況では、データは引き続きその地域の別のリージョンにバックアップ目的でレプリケートされますが、停止中に別のリージョンにフェールオーバーすることはできません。 サーバーがハートビートを最後に送信した時点から引き続き Azure にメタデータが表示されますが、リージョンの機能が復元されるまでは、変更を加える、または新しいサーバーに接続することはできません。 Azure Arc チームは、この構成での地域数を最小限に抑えるために、リージョン拡張の機会を定期的に検討しています。
規制基準への準拠
Azure Arc は、多くのグローバル、リージョン内、業界固有の規制基準に準拠するために、定期的に監査されています。 コンプライアンス認証をまとめた表は、https://aka.ms/AzureCompliance で参照できます。
特定の標準の詳細と監査ドキュメントのダウンロードについては、Azure と他の Microsoft クラウド サービスのコンプライアンス認証に関する記事を参照してください。
Azure アクティビティ ログ
Azure アクティビティ ログを使用して、Azure Arc 対応サーバーで実行されたアクションを追跡できます。 Arc サーバーへの拡張機能のインストールなどのアクションには、ログのフィルター処理に使用できる一意の操作識別子 (すべて先頭が "Microsoft.HybridCompute" で始まる) があります。 Azure アクティビティ ログと、Log Analytics へのアクティビティ ログ データの送信によってアクティビティ ログを 30 日以上保持する方法についての詳細を参照してください。
ローカル ログ
Azure Connected Machine エージェントは、Arc エージェントがシステムに変更を加えたときのトラブルシューティングや監査に役立つ可能性のある一連のローカル ログを各サーバーに保持します。 サーバーからすべてのログのコピーを取得する最も早い方法は、azcmagent ログを実行することです。これは、すべての最新ログの圧縮フォルダーを生成するものです。
HIMDS ログ
HIMDS ログ ファイルには、HIMDS サービスのすべてのログ データが含まれています。 このデータには、ハートビート情報、接続と切断の試行、システム上の他のアプリからの IMDS メタデータとマネージド ID トークンに対する REST API 要求の履歴が含まれます。
| オペレーティングシステム (OS) | ログの場所 |
|---|---|
| ウィンドウズ | %PROGRAMDATA%\AzureConnectedMachineAgent\Log\himds.log |
| Linux | /var/opt/azcmagent/log/himds.log |
azcmagent CLI ログ
azcmagent ログ ファイルには、ローカルの "azcmagent" コマンド ライン インターフェイスを使用して実行されるコマンドの履歴が含まれています。 このログには、エージェントの構成の接続、切断、または変更に使用されるパラメーターが提供されます。
| オペレーティングシステム (OS) | ログの場所 |
|---|---|
| ウィンドウズ | %PROGRAMDATA%\AzureConnectedMachineAgent\Log\azcmagent.log |
| Linux | /var/opt/azcmagent/log/azcmagent.log |
拡張機能マネージャー ログ
拡張機能マネージャー ログには、マシン上の拡張機能のインストール、アップグレード、再構成、アンインストールの試行に関する情報が含まれています。
| オペレーティングシステム (OS) | ログの場所 |
|---|---|
| ウィンドウズ | \GuestConfig\ext_mgr_logs\gc_ext.log を %PROGRAMDATA%で設定する |
| Linux | /var/lib/GuestConfig/ext_mgr_logs/gc_ext.log |
その他のログは、個々の拡張機能によって生成される場合があります。 個々の拡張機能のログは、標準のログ形式に従う保証はありません。
| オペレーティングシステム (OS) | ログの場所 |
|---|---|
| ウィンドウズ | %PROGRAMDATA%\GuestConfig\extension_logs* |
| Linux | /var/lib/GuestConfig/extension_logs/* |
マシンの構成ログ
コンピューター構成ポリシー エンジンは、システムでの設定の監査と適用に関するログを生成します。
| オペレーティングシステム (OS) | ログの場所 |
|---|---|
| ウィンドウズ | %PROGRAMDATA%\GuestConfig\arc_policy_logs\gc_agent.log |
| Linux | /var/lib/GuestConfig/arc_policy_logs/gc_agent.log |