次の方法で共有

Azure Monitor を使用して仮想マシンからゲスト ログ データを収集する

Azure Monitor は、Azure 仮想マシン、仮想マシン スケール セット、および Azure Arc 対応サーバーからホスト メトリックとアクティビティ ログを自動的に収集します。 ゲスト オペレーティング システムとワークロードを完全に監視するには、通常、既定では収集されないログ データも収集する必要があります。 この記事では、Azure portal を使用して、一般的な仮想マシン データ ソースのデータ収集規則 (DCR) を作成する方法について説明します。

記事の範囲

基本的なデータ収集要件がある場合は、この記事のガイダンスと各 データ ソース の関連記事で十分である必要があります。 Azure portal では、DCR の構造を理解したり、VM に手動で関連付けたりしなくても、DCR を作成および編集できます。

変換などの高度な機能が必要な場合、または Azure CLI、Azure Policy、またはその他の方法を使用して DCR を作成して割り当てる場合は、「JSON を使用したデータ収集規則 (DCR) の作成」を参照してください。 また、 Azure Monitor の VM のデータ収集規則 (DCR) サンプルで、このプロセスによって作成されたサンプル DCR を確認することもできます。

前提条件

重要

Log Analytics ワークスペースがネットワーク セキュリティ境界に関連付けられている場合は、「ネットワーク セキュリティ境界を使用して Azure Monitor を構成 する」を参照して、Log Analytics ワークスペースを構成します。

データ収集ルール (DCR) を作成する

Warnung

Azure portal を使用して既存のデータ収集ルール (DCR) を編集すると、ポータルでこれらの機能がサポートされていない場合は、DCR の JSON を直接編集することによって行われた変更が上書きされます。 たとえば、変換を ポータルで作成 できないデータ ソースの DCR に変換を追加した場合、その後ポータルで DCR を編集すると、その変換は削除されます。 この場合は、JSON を直接編集して、引き続き DCR に変更を加える必要があります。

Azure portal の [監視] メニューで、[データ収集規則]>[作成] の順に選択して、DCR の作成ページを開きます。

新しいデータ収集ルールの [作成] ボタンを示すスクリーンショット。

DCR を作成するためのプレビュー エクスペリエンスが Azure portal で利用できるようになりました。 使用するエクスペリエンスに関するガイダンスについては、以下のタブを選択してください。

[基本] タブには、DCR に関する基本情報が含まれています。

新しいデータ収集ルールの [基本] タブを示すスクリーンショット。

設定 説明
ルール名 DCR の名前。 名前は、ルールを見分けるのに役立つわかりやすいものにする必要があります。
サブスクリプション DCR を格納するサブスクリプション。 サブスクリプションは、仮想マシンと同じサブスクリプションにする必要はありません。
リソース DCR を格納するリソース グループ。 リソース グループは、仮想マシンと同じリソース グループにする必要はありません。
リージョン DCR を格納する Azure リージョン。 リージョンは、DCR の送信先で使われる Log Analytics ワークスペースまたは Azure Monitor ワークスペースと同じリージョンである必要があります。 異なる複数のリージョンにワークスペースがある場合は、同じマシンのセットに関連付けられた複数の DCR を作成します。
プラットフォームの種類 DCR で使用できるデータ ソースの種類を指定します ([Windows] または [Linux])。 [なし] は両方に対応します。 1
データ収集エンドポイント データの収集に使用する データ収集エンドポイント (DCE) を指定します。 DCE は、必要なデータ ソースを使用している場合にのみ必要です。 DCE が選択されていない場合、これらの データ ソースは [データ ソースの追加 ] タブで淡色表示されます。 ほとんどの実装では、Log Analytics ワークスペースごとに 1 つの DCE を使用できます。 DCE の作成方法の詳細については、 データ収集エンドポイント の作成を参照してください。

1 このオプションは、DCR の kind 属性を設定します。 この属性に設定できる値は他にもありますが、ポータルでは選択できません。

リソースの追加

[ リソース ] ウィンドウで、[ リソースの追加 ] を選択して、DCR を使用する VM を追加します。 作成後に DCR を更新し、リソースを追加または削除できるため、VM を追加する必要はありません。 [リソース] タブで [データ収集エンドポイントの有効化] を選択した場合は、VM ごとに DCE を選択できます。 これは、 Azure Monitor プライベート リンクを使用している場合にのみ必要です。 それ以外の場合は、このオプションを選択しないでください。

柔軟なオーケストレーションを持つ仮想マシン スケール セットを DCR のリソースとして追加することはできません。 代わりに、仮想マシン スケール セットに含まれる各 VM を追加します。

新しいデータ収集ルールの [リソース] タブを示すスクリーンショット。

重要

リソースが DCR に追加される場合、Azure portal の既定のオプションは、リソースに対してシステム割り当てマネージド ID を有効にすることです。 既存のアプリケーションでは、ユーザー割り当てマネージド ID が既に設定されている場合や、ポータルを使用して DCR にリソースを追加するときにユーザー割り当て ID を指定しない場合は、マシンでは既定で、DCR によって適用されるシステム割り当て ID が使用されます。

データ ソースの追加

[ 収集と配信 ] ウィンドウで、[ データ ソースの追加 ] を選択して、DCR のデータ ソースと宛先を追加および構成します。 複数のデータ ソースを同じ DCR に追加することも、異なるデータ ソースを持つ複数の DCR を作成することもできます。 DCR には最大 10 個のデータ ソースを含めることができます。また、VM では任意の数の DCR を使用できます。

新しいデータ収集ルールの [データ ソースの追加] タブを示すスクリーンショット。

設定 説明
データ ソース データ ソースの種類を選択し、選択したデータ ソースの種類に基づいてフィールドの値を指定します。 各種類のデータ ソースの構成の詳細については、「データ ソースの 追加」 を参照してください。
Destination (目的地) データ ソースごとに 1 つ以上の送信先を追加します。 一部のデータ ソースでは、1 つの宛先のみを許可します。 複数の宛先が必要な場合は、別の DCR を作成します。

一部のデータ ソースでは同じ種類の複数の宛先を選択できますが、これにより各宛先に重複するデータが送信され、コストが増加します。 サポートされている変換先の各データ型の詳細を参照してください。

データ ソースの追加

次の表に、Azure Monitor を使用して VM クライアントから収集できるデータの種類と、そのデータを送信できる場所を示します。 そのデータ ソースを構成する方法については、各リンク先の記事を参照してください。

データ ソース 説明 クライアント OS 目的地
Windows イベント Windows イベント ログ システムに送信される情報 (sysmon イベントなど) ウィンドウズ Log Analytics ワークスペース
パフォーマンス カウンター オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値 ウィンドウズ
Linux		 Azure Monitor メトリック (プレビュー)
Log Analytics ワークスペース
OpenTelemetry メトリック ゲスト オペレーティング システムからの OpenTelemetry パフォーマンス カウンター ウィンドウズ
Linux		 Azure Monitor ワークスペース
Syslog Linux イベント ログ システムに送信される情報 Linux Log Analytics ワークスペース
テキスト ログ ローカル ディスクのテキスト ログ ファイルに送信される情報 ウィンドウズ
Linux		 Log Analytics ワークスペース
JSON ログ ローカル ディスクの JSON ログ ファイルに送信される情報 ウィンドウズ
Linux		 Log Analytics ワークスペース
IIS ログ インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します ウィンドウズ Log Analytics ワークスペース
SNMP traps Syslog データ テーブルまたはカスタム テキスト テーブルに送信された SNMP ポーリングおよびトラップ データ Linux Log Analytics ワークスペース
Windows ファイアウォール ログ Azure portal の Marketplace から DCR とセキュリティと監査ソリューションによって収集された Windows クライアントとサーバーのファイアウォール ログ データ ウィンドウズ Log Analytics ワークスペース

操作を検証する

DCR を作成した後、データが宛先に送信されるまでに最大 5 分かかることがあります。 エージェントが動作していること、および Log Analytics ワークスペース内のデータに対してクエリを実行することで、データが収集されていることを確認できます。

エージェントの動作を確認する

VM の ハートビート を確認して、エージェントが動作していて、Azure Monitor と正常に通信していることを確認します。 エージェントが Azure Monitor と適切に通信している場合、1 分ごとにハートビート テーブルにレコードが送信されます。

Azure portal の仮想マシンから [ ログ ] を選択し、[ テーブル ] ボタンをクリックします。 [仮想マシン] カテゴリで、[ハートビート] の横にある [実行] をクリックします。 エージェントが正しく通信している場合は、VM のハートビート レコードが表示されます。

Log Analytics ワークスペースの Heartbeats テーブルの選択を示すスクリーンショット。

レコードが受信されていることを確認する

エージェントが正しく通信していることを確認したら、予想されるデータが収集されていることを確認します。 上記と同じプロセスを使用して、構成したデータ ソースのテーブル内のデータを表示します。 次の表に、各データ ソースのカテゴリとテーブルを示します。

データ ソース カテゴリ
Windows イベント Virtual Machines 出来事
パフォーマンス カウンター Virtual Machines Perf
OpenTelemetry メトリック Virtual Machines Azure Monitor ワークスペース
Syslog Virtual Machines Syslog
IIS ログ Virtual Machines W3CIISLog
テキスト ログ カスタム ログ <カスタム テーブル名>
JSON ログ カスタム ログ <カスタム テーブル名>

重複データの警告

重複するデータが収集され、課金料金が増加する可能性がある次のシナリオに注意してください。

  • 同じデータ ソースを持つ複数の DCR を作成し、それらを同じ VM に関連付ける。 同じデータ ソースを持つ DCR がある場合は、一意のデータをフィルター処理するように構成してください。
  • セキュリティ ログを収集する DCR を作成し、同じ VM に対して Microsoft Sentinel を有効にします。 この場合、 イベント テーブル ( Azure Monitor) と SecurityEvent テーブル (Microsoft Sentinel) の両方に同じイベントが送信されます。
  • 同じマシンで従来の Log Analytics エージェント も実行している VM の DCR を作成する。 どちらも同じデータを収集し、同じテーブルに格納している可能性があります。 Log Analytics エージェントから Azure Monitor エージェントへの移行に関するページのガイダンスに従って、レガシ エージェントから移行します。

Azure portal で VM に関連付けられている DCR の一覧については、「 Azure Monitor でのデータ収集ルールの関連付けの管理 」を参照してください。 次の PowerShell コマンドを使用して、VM のすべての DCR を一覧表示することもできます。

Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>

関連コンテンツ

  • Last updated on