Azure Monitor ログで専用クラスターを作成および管理する
Log Analytics ワークスペースを Azure Monitor の専用クラスターにリンクすると、高度な機能と高いクエリ使用率がもたらされます。 クラスターには、1 日あたり 100 GB の最小インジェスト コミットメントが必要です。 データの損失やサービスの中断なしに、専用クラスターからワークスペースへのリンクとリンク解除を行うことができます。
拡張機能
専用クラスターが必要な機能
- カスタマー マネージド キー - ユーザーが指定して制御するキーを使用してクラスター データを暗号化します。
- Lockbox - Microsoft サポート エンジニアのデータ アクセス要求を制御します。
- 二重暗号化 - 暗号化アルゴリズムまたはキーのいずれかが侵害される可能性があるシナリオから保護します。 この場合、追加の暗号化レイヤーによって引き続きデータが保護されます。
- クロスクエリの最適化 - ワークスペースが同じクラスター上にある場合は、クロスワークスペース クエリの実行速度が速くなります。
- コストの最適化 - 同じリージョンのワークスペースをクラスターにリンクして、すべてのワークスペース (コミットメント レベル割引の対象ではない低インジェストのワークスペースのものも含む) にコミットメント レベル割引を取得します。
- 可用性ゾーン: 独立した電源、冷却設備、ネットワークを備えた、異なる物理的な場所にあるデータセンターに依存することで、データセンターの障害からデータを保護します。 ゾーンを物理に離し、独立したインフラを持つことで、ワークスペース任意のゾーンのリソースにも依存できるため、インシデントの可能性がはるかに低くなります。 Azure Monitor の可用性ゾーンは、サービスのより広範な部分を対象にしていて、リージョンで利用可能なときは、Azure Monitor の回復力を自動的に拡張します。 Azure Monitor は、サポートされているリージョンに既定で可用性ゾーンが有効 (
isAvailabilityZonesEnabled"true") なクラスターとして専用クラスターを作成します。 専用クラスター可用性ゾーンは、現在、すべてのリージョンでサポートされているわけではありません。 - Azure Event Hubs からの取り込み - イベント ハブから Log Analytics ワークスペースにデータを直接取り込みます。 専用クラスターを使用すると、すべてのリンクされたワークスペースの組み合わせからのインジェストがコミットメント レベルを満たす場合に機能を使用できます。
クラスターの価格モデル
Log Analytics 専用クラスターには、100 GB/日以上のコミットメント レベル価格モデルが使用されます。 使用量がそのレベルを超えると、そのコミットメント レベルの 1 GB あたりの価格に基づいて料金が発生します。 専用クラスターの価格の詳細については、Azure Monitor ログの価格詳細に関する記事を参照してください。 コミットメント レベルには、コミットメント レベルが選択された時間から 31 日間のコミットメント期間があります。
前提条件
- 専用クラスターには、1 日あたり少なくとも 100 GB のインジェスト コミットメントが必要です。
- 専用クラスターを作成する場合、過去 2 週間以内に削除されたクラスターと同じ名前を付けることはできません。
必要なアクセス許可
クラスター関連のアクションを実行するには、次のアクセス許可が必要です。
| アクション | 必要なアクセス許可またはロール |
|---|---|
| 専用クラスターを作成する | Microsoft.Resources/deployments/* と Microsoft.OperationalInsights/clusters/write のアクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
| クラスターのプロパティを変更する | Microsoft.OperationalInsights/clusters/write アクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
| ワークスペースをクラスターにリンクする | Microsoft.OperationalInsights/clusters/write、Microsoft.OperationalInsights/workspaces/write、Microsoft.OperationalInsights/workspaces/linkedservices/write のアクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
| ワークスペースのリンク状態を確認する | ワークスペースに対する Microsoft.OperationalInsights/workspaces/read アクセス許可。たとえば、Log Analytics 閲覧者の組み込みロールによって付与されます。 |
| クラスターを取得する、またはクラスターのプロビジョニング状態を確認する | Microsoft.OperationalInsights/clusters/read アクセス許可。これは、たとえば、Log Analytics 閲覧者の組み込みロールによって付与されます。 |
| クラスター内のコミットメント レベルまたは billingType を更新する | Microsoft.OperationalInsights/clusters/write アクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
| 必要なアクセス許可を付与する | */write アクセス許可を持つ所有者または共同作成者ロール、または Microsoft.OperationalInsights/* アクセス許可を持つ Log Analytics 共同作成者の組み込みロール |
| クラスターからワークスペースのリンクを解除する | Microsoft.OperationalInsights/workspaces/linkedServices/delete アクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
| 専用クラスターを削除する | Microsoft.OperationalInsights/clusters/delete アクセス許可。これは、たとえば、Log Analytics 共同作成者の組み込みロールによって付与されます。 |
Log Analytics のアクセス許可の詳細については、「Azure Monitor でログ データとワークスペースへのアクセスを管理する」を参照してください。
専用クラスターを作成する
新しい専用クラスターを作成する場合は、次のプロパティを指定します。
- ClusterName: リソース グループに対して一意である必要があります。
- ResourceGroupName: 通常、組織内の多くのチームがクラスターを共有するため、中央の IT リソース グループを使用します。 設計に関するその他の考慮事項については、Log Analytics ワークスペースの構成の設計に関する記事を確認してください。
- 場所
- SkuCapacity: コミットメント レベルは、1 日あたり 100、200、300、400、500、1,000、2,000、5,000、10,000、25,000、50,000 GB に設定できます。 CLI でサポートされている最小コミットメント レベルは、現在 500 です。 REST を使用し、最小 100 で少なくコミットメント レベルを構成します。 クラスター コストの詳細については、専用クラスターに関するページを参照してください。
- マネージド ID: クラスターは、次の 2 種類のマネージド ID がサポートされています。
システム割り当てマネージド ID - ID の
typeが "SystemAssigned" に設定されていると、クラスターの作成時に自動的に生成されます。 後でこの ID を使用して、ラップおよびラップ解除操作に必要な Key Vault へのストレージ アクセス権を付与できます。クラスターの REST 呼び出しの ID
{ "identity": { "type": "SystemAssigned" } }ユーザー割り当てマネージド ID - クラスターの作成前にキー コンテナーでカスタマー マネージド キーにアクセス許可を付与すると、それをクラスター作成時に構成できます。
クラスターの REST 呼び出しの ID
{ "identity": { "type": "UserAssigned", "userAssignedIdentities": { "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>" } } }
クラスター リソースを作成したら、"sku"、*keyVaultProperties、"billingType" などのプロパティを編集できます。 詳細については、以下を参照してください。
削除されたクラスターが完全に削除されるまでに 2 週間かかります。 サブスクリプションとリージョンごとに、アクティブな 5 つと、過去 2 週間に削除された 2 つを合わせた 7 つのクラスターを使用できます。
Note
クラスターの作成によって、リソース割り当てとプロビジョニングがトリガーされます。 この操作が完了するまで数時間かかることがあります。 専用クラスターは、データ インジェストに関係なくプロビジョニング後に課金されます。プロビジョニングおよびクラスターへのワークスペースのリンクを効率よく行えるようデプロイを準備することをお勧めします。 次の点を確認します。
- クラスターにリンクさせる初期ワークスペースのリストが明らかになっていること
- リンクさせるワークスペースとクラスターに使用するサブスクリプションへのアクセス許可があること
該当なし
クラスターのプロビジョニング状態を確認する
Log Analytics クラスターのプロビジョニングは、完了するまでに時間がかかります。 ProvisioningState プロパティをチェックするには、次のいずれかの方法を使用します。 この値は、プロビジョニング中は ProvisioningAccount、完了時は Succeeded になります。
該当なし
ワークスペースをクラスターにリンクする
Note
- ワークスペースのリンクは、Log Analytics クラスターのプロビジョニングが完了した後でのみ実行できます。
- ワークスペースをクラスターにリンクするには、複数のバックエンド コンポーネントとキャッシュのハイドレーションを同期する必要があります。これには最大 2 時間かかる場合があります。
- Log Analytics ワークスペース ワークスペースをリンクすると、ワークスペースの課金プランは LACluster に変更されるため、ワークスペースのデプロイ中の競合を防ぐために、ワークスペース テンプレートの sku を削除する必要があります。
- クラスター プランによって管理される課金の側面を除き、すべてのワークスペース構成とクエリの側面は、リンク中も後も変更されません。
ワークスペースのリンク操作を実行するには、ワークスペースとクラスター リソースの両方に対する次の "書き込み" アクセス許可を持っている必要があります。
- ワークスペース:Microsoft.OperationalInsights/workspaces/write
- "クラスター" リソース:Microsoft.OperationalInsights/clusters/write
Log Analytics ワークスペースが専用クラスターにリンクされると、ワークスペースに送信された新しいデータは専用クラスターに取り込まれますが、以前に取り込まれたデータは Log Analytics クラスターに残ります。 ワークスペースをリンクしても、インジェストやクエリのエクスペリエンスを含むワークスペースの操作には影響しません。 Log Analytics クエリ エンジンでは、以前のクラスターと新しいクラスターのデータが自動的に結合されます。また、クエリの結果は完全です。
専用クラスターがカスタマー マネージド キー (CMK) を使用して構成されている場合、新しく取り込まれたデータはキーで暗号化されますが、以前のデータは引き続き Microsoft マネージド キー (MMK) で暗号化されます。 キー構成は Log Analytics によって抽象化され、以前のデータ暗号化と新しいデータ暗号化全体のクエリがシームレスに実行されます。
クラスターは、クラスターと同じリージョンにある最大 1,000 個のワークスペースにリンクできます。 ワークスペースを 1 か月に 3 回以上クラスターにリンクすることはできません。これはデータの断片化を避けるためです。
ワークスペースとクラスターは、異なるサブスクリプションに配置できます。 Azure Lighthouse を使用して両方のテナントを 1 つのテナントにマップすると、ワークスペースとクラスターが異なるテナントに配置される可能性があります。
ワークスペースをクラスターにリンクするには、次の手順に従います。 自動化を使って、複数のワークスペースをリンクできます。
該当なし
ワークスペースのリンク状態を確認する
カスタマー マネージド キーを使用してクラスターが構成されている場合、リンク操作の完了後にワークスペースに取り込まれたデータは、マネージド キーで暗号化された状態で格納されます。 ワークスペースのリンク操作の完了には最大 90 分かかることがあります。ワークスペースに Get 要求を送信し、応答の features の下に clusterResourceId プロパティが存在するかどうかを確認することで、状態を確認することができます。
- [Log Analytics ワークスペース] メニューを開き、ワークスペースを選択します。
- [概要] ページで、[JSON ビュー] を選びます。
クラスターのプロパティを変更する
クラスター リソースを作成してプロビジョニングを完了したら、CLI、PowerShell または REST API でクラスターのプロパティを編集できます。 クラスターのプロビジョニング後に設定できるプロパティは次のようなものがあります。
- keyVaultProperties - 次のパラメーターを使用して Azure Key Vault 内のキーが格納されます: KeyVaultUri、KeyName、KeyVersion。 「キー識別子の詳細を使用してクラスターを更新する」をご覧ください。
- Identity - キー コンテナーへの認証に使用される ID。 System-assigned (システム割り当て) または User-assigned (ユーザー割り当て) のいずれかです。
- billingType - クラスター リソースとそのデータの課金の帰属。 次の値が含まれます。
- Cluster (既定) -- クラスターのコストは、クラスター リソースに帰属します。
- Workspaces -- クラスターのコストは、クラスター内のワークスペースに比例的に帰属します。その日に取り込まれた合計データがコミットメント レベルを下回る場合に使用量の一部がクラスター リソースに課金されます。 クラスターの価格モデルの詳細については、「Log Analytics 専用クラスター」を参照してください。
重要
クラスターの更新では、同じ操作に ID とキー識別子の詳細の両方を含めることをしないでください。 両方の更新が必要な場合、更新は 2 つの連続する操作で行ってください。
Note
billingType プロパティは、CLI ではサポートされていません。
リソース グループ内のすべてのクラスターを取得する
該当なし
サブスクリプション内のすべてのクラスターを取得する
該当なし
クラスター内のコミットメント レベルを更新する
リンクされたワークスペースへのデータ量が時間の経過とともに変化したときは、コストを最適化するためにコミットメント レベルを適切に更新できます。 レベルはギガバイト (GB) 単位で指定し、1 日あたり 100、200、300、400、500、1,000、2,000、5,000、10,000、25,000、50,000 の値を設定できます。 完全な REST 要求本文を指定する必要はありませんが、SKU を含める必要があります。
コミットメント期間中に、より高いコミットメント レベルに変更できます。これにより、31 日間のコミットメント期間が再開されます。 コミットメント期間が終了するまで、従量課金制やより低いコミットメント レベルに戻すことはできません。
該当なし
クラスターの billingType を更新する
billingType プロパティによって、クラスターとそのデータの課金の属性が決まります。
- Cluster (既定) - 請求は、クラスター リソースに帰属します
- Workspaces - 請求は、リンクされたワークスペースに比例的に帰属します。 すべてのリンクされたワークスペースのデータ ボリュームがコミットメント レベルを下回っている場合、残りのボリュームの請求はクラスターに帰属します
該当なし
クラスターからワークスペースのリンクを解除する
いつでもクラスターからワークスペースのリンクを解除することができます。 ワークスペースの価格レベルは GB 単位に変更され、リンク解除操作の前にクラスターに取り込まれたデータはクラスターに残り、ワークスペースへの新しいデータは Log Analytics に取り込まれます。
警告
ワークスペースのリンクを解除しても、ワークスペース データはクラスターから移動されません。 クラスターにリンクされている間にワークスペースに対して収集されたデータは、ワークスペースで定義されている保持期間はクラスターに残り、クラスターが削除されない限りアクセスできます。
ワークスペースのリンクが解除され、サービスがクラスター間クエリをシームレスに実行する場合、クエリは影響を受けません。 クラスターがカスタマー マネージド キー (CMK) を使用して構成されている場合、データは、リンクされている間ワークスペースのかわりに、キーで暗号化されたままで、アクセス可能です。キーと、Key Vault へのアクセス許可は保持されます。
注意
- クラスター間でデータが分散しないように、特定のワークスペースのリンク操作は 1 か月に 2 回という制限があります。 制限に達した場合は、サポートにお問い合わせください。
- リンクされていないワークスペースは、従量課金制の価格レベルに移動されます。
クラスターからワークスペースのリンクを解除するには、次のコマンドを使用します。
該当なし
クラスターを削除する
クラスター リソースに対する "書き込み" アクセス許可が必要です。
クラスターの削除操作は復旧できないため、注意して実行する必要があります。 リンクされたワークスペースからクラスターに取り込まれたすべてのデータは、完全に削除されます。
クラスターで定義された 31 日間のコミットメント レベルに関係なく、クラスターが削除されるとクラスターの課金は停止します。
ワークスペースがリンクされているクラスターを削除すると、ワークスペースはクラスターから自動的にリンク解除され、ワークスペースは従量課金制の価格レベルに移動され、ワークスペースへの新しいデータは代わりに Log Analytics クラスターに取り込まれます。 クラスターにリンクする前とリンク解除後の時間の範囲についてワークスペースにクエリを実行でき、サービスでクラスター間クエリがシームレスに実行されます。
Note
- サブスクリプションとリージョンごとに、アクティブな 5 つと、過去 2 週間に削除された 2 つを合わせた 7 つのクラスターという制限があります。
- クラスターの名前は削除後2週間予約されたままになるので、新しいクラスターの作成には使用できません。
クラスターを削除するには、次のコマンドを使用します。
該当なし
制限および制約
各リージョンとサブスクリプションには、最大 5 つのアクティブ クラスターを作成できます。
サブスクリプションとリージョンごとに、アクティブな 5 つと、過去 2 週間に削除された 2 つを合わせた最大 7 つのクラスターが許可されます。
1 つのクラスターには、最大 1,000 の Log Analytics ワークスペースをリンクできます。
特定のワークスペースでは、30 日間に最大 2 つのワークスペース リンク操作が許可されます。
別のリソース グループまたはサブスクリプションへのクラスターの移動は、現時点ではサポートされていません。
クラスターを別のリージョンに移動することはサポートされていません。
クラスターの更新では、同じ操作に ID とキー識別子の詳細の両方を含めることはしないようにする必要があります。 両方の更新が必要な場合、更新は 2 つの連続する操作で行ってください。
ロックボックスは、現在、中国では使用できません。
二重暗号化は、サポートされているリージョンで 2020 年 10 月以降に作成されたクラスターに対して自動的に構成されます。 クラスターが二重暗号化されるように構成されているかどうかを確認するには、クラスターに対して GET 要求を送信し、二重暗号化が有効になっているクラスターの
isDoubleEncryptionEnabledの値がtrueかどうかを検査します。- クラスターを作成したときに、「"リージョン名" ではクラスターの二重暗号化がサポートされていません」というエラーが表示された場合でも、REST 要求本文に
"properties": {"isDoubleEncryptionEnabled": false}を追加すると、二重暗号化なしでクラスターを作成できます。 - クラスターの作成後に、二重暗号化の設定を変更することはできません。
- クラスターを作成したときに、「"リージョン名" ではクラスターの二重暗号化がサポートされていません」というエラーが表示された場合でも、REST 要求本文に
ワークスペースは、クラスターにリンクされている間は削除できます。 論理的な削除期間中にワークスペースを回復することにした場合、ワークスペースは以前の状態に戻り、クラスターへのリンクは維持されます。
コミットメント期間中に、より高いコミットメント レベルに変更できます。これにより、31 日間のコミットメント期間が再開されます。 コミットメント期間が終了するまで、従量課金制やより低いコミットメント レベルに戻すことはできません。
トラブルシューティング
クラスターの作成時に競合エラーが発生した場合は、過去 2 週間で削除され、削除プロセス中である可能性があります。 クラスター名は、2 週間の削除の期間中は予約されたままであり、その名前で新しいクラスターを作成することはできません。
クラスターがプロビジョニング中または更新中の状態のときにクラスターを更新すると、更新は失敗します。
一部の操作は長く、完了するまでに時間がかかることがあります。 "クラスターの作成"、"クラスターのキーの更新"、 "クラスターの削除" などです。 クラスターまたはワークスペースに GET 要求を送信して操作の状態を確認し、応答を確認できます。 たとえば、リンクされていないワークスペースには、features の下に clusterResourceId が存在しません。
別のクラスターに既にリンクされている Log Analytics ワークスペースをリンクしようとすると、操作は失敗します。
エラー メッセージ
クラスターの作成
- 400 - クラスター名が無効です。 クラスター名に含めることができる文字は a から z、A から Z、0 から 9 であり、長さは 3 から 63 文字です。
- 400 -- The body of the request is null or in bad format. (400 -- 要求の本文が null であるか無効な形式です。)
- 400 -- SKU name is invalid. (400 -- SKU 名が無効です。) SKU 名を capacityReservation に設定してください。
- 400 - Capacity was provided but SKU isn't capacityReservation. (400 - 容量が指定されましたが、SKU は capacityReservation ではありません。) SKU 名を capacityReservation に設定してください。
- 400 -- Missing Capacity in SKU. (400 -- SKU に容量がありません。) 容量の値を 1 日あたり 100、200、300、400、500、1,000、2,000、5,000、10,000、25,000、50,000 GB に設定します。
- 400 -- Capacity is locked for 30 days. (400 -- 容量は 30 日間ロックされます。) 容量の減少は更新の 30 日後に許可されます。
- 400 -- No SKU was set. (400 -- SKU が設定されていませんでした。) SKU 名を capacityReservation に設定し、容量の値を 1 日あたり 100、200、300、400、500、1,000、2,000、5,000、10,000、25,000、50,000 GB に設定します。
- 400 -- Identity is null or empty. (400 -- ID が null または空です。) systemAssigned の種類の ID を設定してください。
- 400 -- KeyVaultProperties are set on creation. (400 -- 作成時に KeyVaultProperties が設定されます。) クラスターの作成後に KeyVaultProperties を更新してください。
- 400 - Operation can't be executed now. (400 - 現在、操作を実行できません。) 非同期操作は成功以外の状態になっています。 更新操作を実行する前に、クラスターでの操作が完了している必要があります。
クラスターの更新
- 400 -- Cluster is in deleting state. (400 -- クラスターは削除中の状態です。) 非同期操作が進行中です。 更新操作を実行する前に、クラスターでの操作が完了している必要があります。
- 400 - KeyVaultProperties isn't empty but has a bad format. (400 - KeyVaultProperties は空ではありませんが、形式が無効です。) キー識別子の更新に関するセクションを参照してください。
- 400 -- Failed to validate key in Key Vault. (400 -- Key Vault 内のキーの検証に失敗しました。) 必要なアクセス許可がないことが原因である可能性があります。または、キーが存在しません。 Key Vault でキーとアクセス ポリシーを設定したことを確認してください。
- 400 - Key isn't recoverable. (400 - Key を回復できません。) Key Vault に論理的な削除と消去保護を設定する必要があります。 Key Vault のドキュメントを参照してください
- 400 - Operation can't be executed now. (400 - 現在、操作を実行できません。) 非同期操作が完了するまで待ってから、もう一度お試しください。
- 400 -- Cluster is in deleting state. (400 -- クラスターは削除中の状態です。) 非同期操作が完了するまで待ってから、もう一度お試しください。
クラスターの取得
- 404 - Cluster not found, the cluster might have been deleted. (404 - クラスターが見つかりません。クラスターは削除された可能性があります。) クラスターをその名前で作成しようとし、競合が発生した場合、そのクラスターは削除プロセスにあります。
クラスターの削除
- 409 -- Can't delete a cluster while in provisioning state. (409 -- プロビジョニング状態の間は、クラスターを削除できません。) 非同期操作が完了するまで待ってから、もう一度お試しください。
ワークスペースのリンク
- 404 -- Workspace not found. (404 -- ワークスペースが見つかりません。) 指定したワークスペースが存在しないか、削除されました。
- 409 -- Workspace link or unlink operation in process. (409 -- ワークスペースのリンクまたはリンク解除操作が進行中です。)
- 400 -- Cluster not found, the cluster you specified doesn't exist or was deleted. (400 -- クラスターが見つかりません。指定したクラスターが存在しないか、削除されました。)
ワークスペースのリンク解除
- 404 -- Workspace not found. (404 -- ワークスペースが見つかりません。) 指定したワークスペースが存在しないか、削除されました。
- 409 -- Workspace link or unlink operation in process. (409 -- ワークスペースのリンクまたはリンク解除操作が進行中です。)
次の手順
- Log Analytics 専用クラスターの課金について学習します
- Log Analytics ワークスペースの適切な設計について学習します