Azure Monitor ログの概要
Azure Monitor ログは、Azure および Azure 以外のリソースとアプリケーションによって生成されたテレメトリ データを収集、分析、操作するための一元化されたサービスとしてのソフトウェア (SaaS) プラットフォームです。
主要な Azure Monitor ログ リソースである、1 つの Log Analytics ワークスペースで、ログの収集、データ モデルとコストの管理、さまざまな種類のデータの使用を行うことができます。 つまり、データを移動したり、他のストレージを管理したりする必要がなく、さまざまなデータ型を必要な期間だけ、または必要な分だけ保持できます。
この記事では、Azure Monitor ログのしくみの概要を示し、組織内のさまざまな担当者のニーズとスキルに Azure Monitor ログがどのように対処するかについて説明します。
Note
Azure Monitor ログは、Azure Monitor をサポートするデータ プラットフォームの片方です。 もう一方は、時系列データベースに数値データを格納する Azure Monitor メトリックです。
Log Analytics ワークスペース
Log Analytics ワークスペースは、データを収集するテーブルを保持するデータ ストアです。
Log Analytics ワークスペースを使用するさまざまなユーザーのデータ ストレージと消費のニーズに対処するには、次の方法があります。
- データ消費量とコスト管理のニーズに基づいて、テーブル プランを定義します。
- 各テーブルの低コストの長期保有と対話型のデータ保有を管理します。
- ワークスペースと特定のテーブルへのアクセスを管理します。
- 要約ルールを使用して重要なデータを概要テーブルに集計します。 これにより、使いやすさと実用的な分析情報を得るためにデータを最適化し、必要な期間だけ低コストのテーブル プランで生データをテーブルに格納できます。
- 特定のユーザーに合わせて、すぐに実行できる保存済みクエリ、視覚化、アラートを作成します。
また、ネットワーク分離を構成し、リージョン間でワークスペースをレプリケートし、ビジネス ニーズに基づいてワークスペース アーキテクチャを設計することもできます。
Kusto 照会言語 (KQL) と Log Analytics
Log Analytics ワークスペースからデータを取得するには、Kusto 照会言語 (KQL) クエリを使用します。これは、データを処理して結果を返す読み取り専用の要求です。 KQL は、数百万のレコードをすばやく分析できる強力なツールです。 KQL を使用して、ログの調査、データの変換と集計、パターンの検出、異常値や外れ値の特定などを行います。
Log Analytics は、ログ クエリを実行し、その結果を分析するための Azure portal のツールです。 Log Analytics 簡易モードでは、KQL の知識に関係なく、すべてのユーザーが 1 回のクリックで 1 つ以上のテーブルからデータを取得できます。 一連のコントロールを使用すると、よく使われる Azure Monitor ログ機能を直感的でスプレッドシートのようなエクスペリエンスで使用して、取得したデータについて確認および分析できます。
KQL に精通しているユーザーは、Log Analytics KQL モードを使用してクエリを編集および作成し、アラートやブックなどの Azure Monitor 機能で使用したり、他のユーザーと共有したりできます。
Log Analytics の説明については、「Azure Monitor の Log Analytics の概要」を参照してください。 Log Analytics 機能を使用して単純なログ クエリを作成し、その結果を分析するチュートリアルについては、「Log Analytics チュートリアル」を参照してください。
組み込みの分析情報とカスタム ダッシュボード、ブック、レポート
Azure Monitor のすぐに使用できるキュレーションされた Insights エクスペリエンスの多くは、データを Azure Monitor ログに格納し、このデータを直感的な方法で表示するため、クラウドおよびハイブリッド アプリケーションとそれらのサポート コンポーネントのパフォーマンスと可用性を監視できます。
ブック、ダッシュボード、Power BI を使用して、独自の視覚化とレポートを作成することもできます。
テーブル プラン
1 つの Log Analytics ワークスペースを使用して、あらゆる目的に必要な任意の種類のログを格納できます。 次に例を示します。
- 監査とコンプライアンスのために低コストの長期ストレージを必要とする大量の詳細データ
- 開発者によるトラブルシューティングのためのアプリとリソース データ
- 継続的なオペレーショナル エクセレンスとセキュリティを確保するためのスケーリングとアラートの主要なイベントとパフォーマンスのデータ
- 高度分析と機械学習のための集計された長期的なデータ傾向
テーブル プランを使用すると、テーブル内のデータを使用する頻度と、データが必要な分析の種類に基づいてデータ コストを管理できます。
以下の図と表は、分析、基本、補助テーブル プランを比較しています。 対話型と長期保有の詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。 テーブル プランを選択または変更する方法については、テーブル プランの選択に関するページを参照してください。
| 分析 | 基本 | 補助 (プレビュー) | |
|---|---|---|---|
| 最適な用途 | 継続的な監視、リアルタイムの検出、パフォーマンス分析に使用される価値の高いデータ。 | トラブルシューティングとインシデント応答に必要なミディアムタッチのデータ。 | 詳細ログなどのロータッチ データ、監査とコンプライアンスに必要なデータ。 |
| サポートされているテーブルの種類 | すべてのテーブルの種類 | 基本ログをサポートする Azure テーブルおよび DCR ベースのカスタム テーブル | DCR ベースのカスタム テーブル |
| ログ クエリ | 完全なクエリ機能。 | 単一テーブル上の完全な Kusto 照会言語 (KQL)。lookup を使用して Analytics テーブルのデータで拡張できます。 | 単一テーブル上の完全な KQL。lookup を使用して、Analytics テーブルのデータで拡張できます。 |
| クエリ パフォーマンス | 速い | 速い | 低速 監査に適しています。 リアルタイム分析用に最適化されていません。 |
| 警告 | ✅ | ❌ | ❌ |
| 分析情報 | ✅ | ❌ | ❌ |
| ダッシュボード | ✅ | ✅ ダッシュボードの更新にかかるクエリあたりのコストは含まれません。 | 可能ですが、更新に時間がかかります。ダッシュボードの更新にかかるクエリあたりのコストは含まれません。 |
| データのエクスポート | ✅ | ❌ | ❌ |
| Microsoft Sentinel | ✅ | ✅ | ✅ |
| 検索ジョブ | ✅ | ✅ | ✅ |
| 集計ルール | ✅ | ✅ KQL は単一のテーブルに制限されます | ✅ KQL は単一のテーブルに制限されます |
| 復元 | ✅ | ✅ | ❌ |
| クエリ価格が含まれています | ✅ | ❌ | ❌ |
| インジェスト コスト | Standard | 減額率 | 最小 |
| 対話型の保持 | 30 日 (Microsoft Sentinel および Application Insights の場合は 90 日)。 日割り計算された月単位の長期保有料金で、最大 2 年間まで延長できます。 |
30 日 | 30 日 |
| 合計保持期間 | 最大 12 年 | 最大 12 年 | 最大 12 年* * パブリック プレビューの制限: 補助プランの合計リテンション期間は現在 365 日に固定されています。 |
Note
補助テーブル プランはパブリック プレビュー段階です。 現在の制限とサポートされているリージョンについては、「パブリック プレビューの制限」を参照してください。
基本および補助テーブル プランは、従来の価格レベルのワークスペースでは使用できません。
データ コレクション
リソースから Log Analytics ワークスペースにデータを収集するには:
- 次の表に基づいて、関連するデータ収集ツールを設定します。
- リソースからの収集が必要なデータを決定します。
- 変換を使用して、機密データの削除、データのエンリッチ、計算の実行、コストの削減が不要なデータの除外を実施します。
次の表は、さまざまな種類のリソースからデータを収集するために Azure Monitor が提供するツールの一覧です。
| リソースの種類 | データ収集ツール | 収集されるデータ |
|---|---|---|
| Azure | 診断設定 | Azure テナント - Microsoft Entra 監査ログは、サインイン アクティビティの履歴と、テナント内での変更の監査証跡を提供します。 Azure リソース - ログおよびパフォーマンス カウンター。 Azure サブスクリプション - サービスの正常性レコードと、Azure サブスクリプションのリソースに対して行われた構成の変更に関するレコード。 |
| Application | Application Insights | アプリケーション パフォーマンス監視データ。 |
| コンテナー | Container insights | コンテナーのパフォーマンス データ。 |
| 仮想マシン | データ収集ルール | Azure および Azure 以外の仮想マシンのゲスト オペレーティング システムからのデータを監視します。 |
| Azure 以外のソース | ログ インジェスト API | ファイルベースのログと、監視対象リソースから収集したデータ。 |
重要
ログにおけるほとんどのデータ収集では、インジェストとデータ保持のコストが発生します。 データ収集を有効にする前に、「Azure Monitor の価格」を参照してください。
Microsoft Sentinel と Microsoft Defender for Cloud の操作
Azure のセキュリティ監視は Microsoft Sentinel と Microsoft Defender for Cloud によって実行されます。
これらのサービスによってデータは Azure Monitor ログに保存されるので、Azure Monitor によって収集された他のログ データと共に分析することができます。
詳細情報
| サービス | 詳細 |
|---|---|
| Microsoft Sentinel | |
| Microsoft Defender for Cloud |
次のステップ
- Log Analytics ワークスペースからデータを取得して分析するログ クエリについて説明します。
- Azure Monitor でのメトリックを確認します。
- Azure のさまざまなリソースで入手できる監視データを確認します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示