Azure Monitor エージェントを使用してデータを収集する
Azure Monitor エージェント (AMA) は、Azure Virtual Machines、Virtual Machine Scale Sets、Arc 対応サーバーからデータを収集するために使われます。 データ収集ルール (DCR) で、エージェントから収集するデータとそのデータを送信する場所を定義します。 この記事では、Azure portal を使ってさまざまな種類のデータを収集する DCR を作成する方法と、必要なマシンにエージェントをインストールする方法について説明します。
Azure Monitor を初めて使う場合、または基本的なデータ収集要件がある場合は、Azure portal とこの記事のガイダンスを使って、すべての要件を満たすことができます。 変換などの他の DCR 機能を利用したい場合は、他の方法を使って DCR を作成するか、ポータルで作成した後で編集することが必要になる場合があります。 CLI、PowerShell、ARM テンプレート、または Azure Policy を使ってデプロイしたい場合は、別の方法を使って DCR を管理し、関連付けを作成することもできます。
Note
テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
警告
次の場合は、重複するデータが収集され、追加料金が発生する可能性があります。
- 同じデータ ソースで複数の DCR を作成し、それらを同じエージェントに関連付ける。 それぞれで一意のデータが収集されるように、DCR 内でデータをフィルター処理してください。
- セキュリティ ログを収集する DCR を作成し、同じエージェントに対して Sentinel を有効にする。 この場合、Event テーブルと SecurityEvent テーブルで同じイベントを収集できます。
- 同じマシンで Azure Monitor エージェントと従来の Log Analytics エージェントの両方を使う。 エージェントを一方から他方に移行する期間だけに、重複するイベントを制限します。
データ ソース
下の表に、現在 Azure Monitor エージェントで収集できるデータの種類と、そのデータを送信できる場所を示します。 それぞれのリンクは、そのデータ ソースの構成方法の詳細を説明する記事へのリンクです。 この記事に従って DCR を作成してリソースに割り当てた後、リンク先の記事に従ってデータ ソースを構成します。
| データ ソース | 説明 | クライアントの OS | Destinations |
|---|---|---|---|
| Windows イベント | Windows イベント ログ システムに送信される情報 (sysmon イベントなど)。 | Windows | Log Analytics ワークスペース |
| パフォーマンス カウンター | オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値。 | Windows Linux |
Azure Monitor メトリック (プレビュー) Log Analytics ワークスペース |
| Syslog | Linux イベント ログ システムに送信される情報。 | Linux | Log Analytics ワークスペース |
| テキスト ログ | ローカル ディスクのテキスト ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
| JSON ログ | ローカル ディスクの JSON ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
| IIS ログ | インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクとの間でログを記録します | Windows | Log Analytics ワークスペース |
Note
Azure Monitor エージェントでは、現在一般公開されている Azure サービスの SQL ベスト プラクティス アセスメントもサポートされています。 詳細については、「Azure Monitor エージェントを使用してベスト プラクティス アセスメントを構成する」を参照してください。
前提条件
- ワークスペースにデータ収集ルール オブジェクトを作成するためのアクセス許可。
- その他の前提条件については、各データ ソースについての説明記事をご覧ください。
概要
Azure portal で DCR を作成するときは、一連のページを移動しながら、指定したマシンからデータを収集するために必要な情報を提供します。 次の表では、各ページで指定する必要がある情報について説明します。
| セクション | 説明 |
|---|---|
| リソース | DCR を使用するマシン。 DCR にマシンを追加すると、マシンと DCR の間にデータ収集ルールの関連付け (DCRA) が作成されます。 それが作成された後で DCR を編集して、マシンを追加または削除できます。 |
| データ ソース | マシンから収集するデータの種類。 利用できるデータ ソースの一覧については、上の「データ ソース」をご覧ください。 各データ ソースには、独自の構成設定と、場合によっては前提条件があるため、詳細についてはそれぞれの記事をご覧ください。 |
| 宛先 | データ ソースから収集されたデータの送信先。 DCR に複数のデータ ソースがある場合は、それらを個別の宛先に送信でき、1 つのデータ ソースからのデータを複数の宛先に送信できます。 Log Analytics ワークスペースのテーブルなど、各データ ソースの送信先について詳しくは、各データ ソースの記事をご覧ください。 |
データ収集ルールを作成する
[監視] メニューで、[データ収集ルール]>[作成] を選んで、DCR 作成ページを開きます。
![新しいデータ収集ルールの [作成] ボタンを示すスクリーンショット。](media/azure-monitor-agent-data-collection/create-data-collection-rule.png#lightbox)
[基本] ページには、DCR に関する基本情報が含まれています。
![新しいデータ収集ルールの [基本] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/basics-tab.png#lightbox)
| 設定 | 説明 |
|---|---|
| 規則の名前 | DCR の名前。 これは、ルールを見分けるのに役立つわかりやすいものにする必要があります。 |
| サブスクリプション | DCR を格納するサブスクリプション。 これは、仮想マシンと同じサブスクリプションである必要はありません。 |
| リソース グループ | DCR を格納するリソース グループ。 これは、仮想マシンと同じリソース グループである必要はありません。 |
| リージョン | DCR を格納するリージョン。 これは、DCR の送り先で使われる Log Analytics ワークスペースまたは Azure Monitor ワークスペースと同じリージョンである必要があります。 異なる複数のリージョンにワークスペースがある場合は、同じマシンのセットに関連付けられた複数の DCR を作成します。 |
| プラットフォームの種類 | DCR で使用できるデータ ソースの種類を指定します ([Windows] または [Linux])。 [なし] は両方に対応します。 1 |
| データ収集エンドポイント | データの収集に使われるデータ収集エンドポイント (DCE) を指定します。 これは、Azure Monitor のプライベート リンクを使っている場合にのみ必要です。 この DCE は、DCR と同じリージョンにある必要があります。 詳細については、「デプロイに基づくデータ収集エンドポイントの設定方法」を参照してください。 |
1 このオプションは、DCR の kind 属性を設定します。 この属性に設定できる値は他にもありますが、ポータルでは使用できません。
リソースを追加する
[リソース] ページでは、DCR に関連付けられるリソースを追加できます。 [+ リソースの追加] をクリックしてリソースを選びます。 Azure Monitor エージェントがまだないリソースには、自動的にインストールされます。
重要
ポータルは、既存のユーザー割り当て ID と共に、ターゲット リソースでシステム割り当てマネージド ID を有効にします (該当する場合)。 既存のアプリケーションでは、ユーザー割り当て ID を要求で指定しない限り、マシンでは既定でシステム割り当て ID が代わりに使用されます。
![新しいデータ収集ルールの [リソース] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/resources-tab.png#lightbox)
監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンに存在せず、DCE を必要とするデータの種類を収集している場合は、[データ収集エンドポイントを有効にする] を選んで、監視対象の各マシンのリージョンにあるエンドポイントを選びます。 監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンにある場合、または DCE が必要ない場合は、[リソース] タブでデータ収集エンドポイントを選ばないでください。
データ ソースの追加
[収集と配信] ページでは、DCR のデータ ソースとそれぞれの送信先を追加および構成できます。
| 画面要素 | 説明 |
|---|---|
| データ ソース | [データ ソースの種類] を選択し、選択したデータ ソースの種類に基づいて関連フィールドを定義します。 各データ ソースの種類の構成について詳しくは、上の「データ ソース」でリンクされている記事をご覧ください。 |
| 宛先 | データ ソースごとに 1 つ以上の送信先を追加します。 同じタイプまたは異なるタイプの送信先を複数選択できます。 たとえば、複数の Log Analytics ワークスペース (マルチホームとも呼ばれます) を選択できます。 サポートされているさまざまな送信先の各データの種類の詳細を参照してください。 |
1 つの DCR に、最大 10 個まで、複数の異なるデータ ソースを含めることができます。 同じ DCR で異なるデータ ソースを組み合わせることができますが、通常は、異なるデータ収集シナリオには異なる DCR を作成します。 DCR を整理する方法の推奨事項については、「Azure Monitor でのデータ収集ルールの作成と管理のベスト プラクティス」を参照してください。
操作を検証する
DCR を作成してマシンに関連付けたら、Log Analytics ワークスペースでクエリを実行して、エージェントが動作していることとデータが収集されていることを確認できます。
エージェントの動作を確認する
Log Analytics で次のクエリを実行し、Heartbeat テーブルにレコードがあるかどうかを調べて、エージェントが動作し、正常に通信していることを検証します。 各エージェントからこのテーブルにレコードが 1 分ごとに送信されている必要があります。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
レコードが受信されていることを確認する
エージェントがインストールされ、新規または変更された DCR の実行が開始されるまで、数分かかります。 その後、Log Analytics ワークスペース内の書き込み先テーブルを調べて、各データ ソースからレコードが受信されていることを確認します。 たとえば、次のクエリは、Event テーブル内の Windows イベントをチェックします。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
トラブルシューティング
想定どおりにデータが収集されていない場合は、次の手順のようにします。
- エージェントがマシンにインストールされて動作していることを確認します。
- 問題が発生しているデータ ソースについての記事のトラブルシューティングに関するセクションを参照してください。
- DCR の監視を有効にするには、「Azure Monitor での DCR データ収集の監視とトラブルシューティング」をご覧ください。
- メトリックを見て、データが収集されているかどうか、および削除されている行があるかどうかを判断します。
- ログを見て、データ収集のエラーを確認します。
次のステップ
- Azure Monitor エージェントを使用してテキスト ログを収集します。
- Azure Monitor エージェントの詳細を理解します。
- データ収集ルールの詳細を確認します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示