Azure Monitor は、Azure および Arc 対応仮想マシンからホスト メトリックとアクティビティ ログを自動的に収集します。 ただし、クライアント オペレーティング システムとそのワークロードからメトリックとログを収集するには、収集する内容と送信先を指定する データ収集規則 (DCR) を 作成する必要があります。 この記事では、Azure portal を使用して DCR を作成し、VM クライアントからさまざまな種類の一般的なデータを収集する方法について説明します。
注
基本的なデータ収集要件がある場合は、この記事のガイダンスと各 データ ソースの関連記事を使用して、すべての要件を満たすことができます。 Azure portal を使用して DCR を作成および編集できます。Azure Monitor エージェント は、まだインストールされていない各 VM に自動的にインストールされます。
変換などのより高度な機能を利用する場合、または Azure CLI や Azure Policy などの他の方法を使用して DCR を作成して割り当てる場合は、「Azure Monitor エージェントのインストールと管理」および「Azure Monitor での DCR の作成」を参照してください。 このプロセスによって作成されたサンプル DCR は、 Azure Monitor の VM のデータ収集規則 (DCR) サンプルでも確認できます。
前提条件
- 構成したデータを収集するための少なくとも共同作成者の権限がある Log Analytics ワークスペース。 使用できるワークスペースがまだない場合は、「 Log Analytics ワークスペースを作成 する」を参照してください。
- ワークスペースでDCR オブジェクトを作成するためのアクセス許可。
- テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
- 追加の前提条件については、各 データ ソース の詳細な記事を参照してください。
データ収集ルールを作成する
Azure portal の [監視] メニューで、[データ収集規則]>[作成] の順に選択して、DCR の作成ページを開きます。
![新しいデータ収集ルールの [作成] ボタンを示すスクリーンショット。](media/data-collection/create-data-collection-rule.png#lightbox)
[基本] タブには、DCR に関する基本情報が含まれています。
![新しいデータ収集ルールの [基本] タブを示すスクリーンショット。](media/data-collection/basics-tab.png#lightbox)
| 設定 | 説明 |
|---|---|
| ルール名 | DCR の名前。 名前は、ルールを見分けるのに役立つわかりやすいものにする必要があります。 |
| サブスクリプション | DCR を格納するサブスクリプション。 サブスクリプションは、仮想マシンと同じサブスクリプションにする必要はありません。 |
| リソース | DCR を格納するリソース グループ。 リソース グループは、仮想マシンと同じリソース グループにする必要はありません。 |
| リージョン | DCR を格納する Azure リージョン。 リージョンは、DCR の送信先で使われる Log Analytics ワークスペースまたは Azure Monitor ワークスペースと同じリージョンである必要があります。 異なる複数のリージョンにワークスペースがある場合は、同じマシンのセットに関連付けられた複数の DCR を作成します。 |
| プラットフォームの種類 | DCR で使用できるデータ ソースの種類を指定します ([Windows] または [Linux])。 [なし] は両方に対応します。 1 |
| データ収集エンドポイント | データの収集に使用する データ収集エンドポイント (DCE) を指定します。 DCE は、必要なデータ ソースを使用している場合にのみ必要です。 DCE が選択されていない場合、これらの データ ソースは [データ ソースの追加 ] タブで淡色表示されます。 ほとんどの実装では、Log Analytics ワークスペースごとに 1 つの DCE を使用できます。 DCE の作成方法の詳細については、 データ収集エンドポイント の作成を参照してください。 |
1 このオプションは、DCR の kind 属性を設定します。 この属性に設定できる値は他にもありますが、ポータルでは選択できません。
リソースの追加
[ リソース ] ウィンドウで、[ リソースの追加 ] を選択して、DCR を使用する VM を追加します。 作成後に DCR を更新し、リソースを追加または削除できるため、VM を追加する必要はありません。 [リソース] タブで [データ収集エンドポイントの有効化] を選択した場合は、VM ごとに DCE を選択できます。 これは、 Azure Monitor プライベート リンクを使用している場合にのみ必要です。 それ以外の場合は、このオプションを選択しないでください。
注
柔軟なオーケストレーションを備えた仮想マシン スケール セット (VMSS) を DCR のリソースとして追加することはできません。 代わりに、VMSS に含まれる各 VM を追加します。
![新しいデータ収集ルールの [リソース] タブを示すスクリーンショット。](media/data-collection/resources-tab.png#lightbox)
重要
リソースが DCR に追加される場合、Azure portal の既定のオプションは、リソースに対してシステム割り当てマネージド ID を有効にすることです。 既存のアプリケーションでは、ユーザー割り当てマネージド ID が既に設定されている場合や、ポータルを使用して DCR にリソースを追加するときにユーザー割り当て ID を指定しない場合は、マシンでは既定で、DCR によって適用されるシステム割り当て ID が使用されます。
データ ソースの追加
[ 収集と配信 ] ウィンドウで、[ データ ソースの追加 ] をクリックして、DCR のデータ ソースと宛先を追加および構成します。 複数のデータ ソースを同じ DCR に追加することも、異なるデータ ソースを持つ複数の DCR を作成することもできます。 DCR には最大 10 個のデータ ソースを含めることができます。また、VM では任意の数の DCR を使用できます。
![新しいデータ収集ルールの [データ ソースの追加] タブを示すスクリーンショット。](media/data-collection/add-data-source.png#lightbox)
| 設定 | 説明 |
|---|---|
| データ ソース | データ ソースの種類を選択し、選択したデータ ソースの種類に基づいてフィールドの値を指定します。 各種類のデータ ソースの構成の詳細については、次の表を参照してください。 |
| Destination (目的地) | データ ソースごとに 1 つ以上の送信先を追加します。 一部のデータ ソースでは、1 つのデータ ソースのみが許可されます。 複数が必要な場合は、別の DCR を作成できます。 一部のデータ ソースでは同じ種類の複数の宛先を選択できますが、重複するデータがそれぞれに送信されるため、追加コストが発生します。 サポートされているさまざまな送信先の各データの種類の詳細を参照してください。 |
次の表に、Azure Monitor を使用して VM クライアントから収集できるデータの種類と、そのデータを送信できる場所を示します。 そのデータ ソースを構成する方法については、各リンク先の記事を参照してください。
| データ ソース | 説明 | クライアント OS | 目的地 |
|---|---|---|---|
| Windows イベント | Windows イベント ログ システムに送信される情報 (sysmon イベントなど) | ウィンドウズ | Log Analytics ワークスペース |
| パフォーマンス カウンター | オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値 | ウィンドウズ Linux |
Azure Monitor メトリック (プレビュー) Log Analytics ワークスペース |
| Syslog | Linux イベント ログ システムに送信される情報 | Linux | Log Analytics ワークスペース |
| テキスト ログ | ローカル ディスクのテキスト ログ ファイルに送信される情報 | ウィンドウズ Linux |
Log Analytics ワークスペース |
| JSON ログ | ローカル ディスクの JSON ログ ファイルに送信される情報 | ウィンドウズ Linux |
Log Analytics ワークスペース |
| IIS ログ | インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します | ウィンドウズ | Log Analytics ワークスペース |
操作を検証する
DCR を作成した後、データが宛先に送信されるまでに最大 5 分かかることがあります。 エージェントが動作していること、および Log Analytics ワークスペース内のデータに対してクエリを実行することで、データが収集されていることを確認できます。
エージェントの動作を確認する
VM の ハートビート を確認して、エージェントが動作していて、Azure Monitor と正常に通信していることを確認します。 エージェントが Azure Monitor と適切に通信している場合、1 分ごとにハートビート テーブルにレコードが送信されます。
Azure portal の仮想マシンから [ ログ ] を選択し、[ テーブル ] ボタンをクリックします。 [仮想マシン] カテゴリで、[ハートビート] の横にある [実行] をクリックします。 エージェントが正しく通信している場合は、VM のハートビート レコードが表示されます。
レコードが受信されていることを確認する
エージェントが正しく通信していることを確認したら、予想されるデータが収集されていることを確認します。 上記と同じプロセスを使用して、構成したデータ ソースのテーブル内のデータを表示します。 次の表に、各データ ソースのカテゴリとテーブルを示します。
| データ ソース | カテゴリ | 表 |
|---|---|---|
| Windows イベント | Virtual Machines | 出来事 |
| パフォーマンス カウンター | Virtual Machines | Perf |
| Syslog | Virtual Machines | シスログ |
| IIS ログ | Virtual Machines | W3CIISLog |
| テキスト ログ | カスタム ログ | <カスタム テーブル名> |
| JSON ログ | カスタム ログ | <カスタム テーブル名> |
重複データの警告
重複するデータが収集され、課金料金が増加する可能性がある次のシナリオに注意してください。
- 同じデータ ソースを持つ複数の DCR を作成し、それらを同じ VM に関連付ける。 同じデータ ソースを持つ DCR がある場合は、一意のデータをフィルター処理するように構成してください。
- セキュリティ ログを収集する DCR を作成し、同じ VM に対して Microsoft Sentinel を有効にします。 この場合、 イベント テーブル ( Azure Monitor) と SecurityEvent テーブル (Microsoft Sentinel) の両方に同じイベントが送信されます。
- 同じマシンで従来の Log Analytics エージェント も実行している VM の DCR を作成する。 どちらも同じデータを収集し、同じテーブルに格納している可能性があります。 Log Analytics エージェントから Azure Monitor エージェントへの移行に関するページのガイダンスに従って、レガシ エージェントから移行します。
Azure portal で VM に関連付けられている DCR の一覧については、「 Azure Monitor でのデータ収集ルールの関連付けの管理 」を参照してください。 次の PowerShell コマンドを使用して、VM のすべての DCR を一覧表示することもできます。
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
関連コンテンツ
- Azure Monitor エージェントの詳細を確認します。
- データ収集ルールの詳細を確認します。