チュートリアル: Azure 仮想マシンからゲスト ログを収集する

Azure 仮想マシンの監視を有効にしてゲスト メトリックを収集したら、ゲスト ログを収集するための追加のデータ収集規則 (DCR) を作成できます。 これらのログは、仮想マシン上で実行されているオペレーティング システムとアプリケーションの動作に関する豊富な分析情報を提供します。これは、トラブルシューティング、パフォーマンス監視、セキュリティ分析に使用できます。

このチュートリアルでは、Windows マシンからイベント ログを収集し、Linux マシンから syslog を収集する方法について説明します。 これらは、仮想マシンで使用できる 2 つのデータ ソースです。 その他のデータ ソースについては、「Azure Monitor を使用して 仮想マシンからゲスト ログ データを収集する」を参照してください。

このチュートリアルでは、以下の内容を学習します。

• ゲスト ログ データを Log Analytics ワークスペースに送信する DCR を作成します。
• Log Analytics でゲスト ログを表示します。

前提条件

このチュートリアルを完了するには、次のいずれかが必要です。

• Tutorial: Azure 仮想マシンの拡張監視を有効にする に従って監視が有効になっている仮想マシン。
• 監視が有効になっている仮想マシン スケール セット。 チュートリアル: Azure 仮想マシン スケール セットの監視を有効にします。

データ収集ルールを作成する

Azure Monitor のデータ収集規則では、収集するデータと送信する場所を定義します。 Azure portal の [監視 ] メニューで、[ データ収集ルール] を選択します。 次に、[ 作成 ] を選択して新しい DCR を作成します。

[ 基本 ] タブで、 Azure portal に表示されるルールの名前であるルール名を入力します。 DCR とその関連付けが格納されている サブスクリプション、 リソース グループ、 リージョン を選択します。 これらの設定は、監視対象のリソースと同じである必要はありません。

プラットフォームの種類は、DCR の残りの部分を定義するときに使用できるオプションを定義します。 ルールがそれらのリソースにのみ関連付けられている場合は Windows または Linux を選択し、両方の種類に関連付けられている場合は [カスタム ] を選択します。

リソースの選択

[ リソース ] タブで、[ リソースの追加 ] を選択し、仮想マシンを選択します。 同じログ コレクションを共有する必要がある他のマシンを追加します。 DCR は、選択したスコープ内のすべての仮想マシンに適用されます。

データ ソースを選択する

[ データ ソースの追加] を選択し、 Windows イベント ログ または Linux Syslog を選択します。

Windows イベント ログ

収集するイベント ログとレベルを選択します。 一般的な選択は、アプリケーション ログとシステム ログの重大、エラー、警告イベントです。

このデータ ソースの構成の詳細については、「 Azure Monitor エージェントを使用した Windows イベントの収集」を参照してください。

Linux Syslog

収集する機能とログ レベルを選択します。 すべての施設に対して警告レベル以上を収集するには、施設の横にあるチェックボックスをオンにしてすべての施設を選択し、選択した施設の最小ログ レベルの設定にLOG_WARNINGを選択します。

このデータ ソースの構成の詳細については、「 Azure Monitor エージェントを使用した Syslog イベントの収集」を参照してください。

宛先を選択する

[宛先] タブを選択します。[宛先の種類] に Azure Monitor ログが既に選択されている必要があります。 アカウントまたは名前空間の Log Analytics ワークスペースを選択します。 ワークスペースがまだない場合は、サブスクリプションの既定のワークスペースを選択できます。このワークスペースは自動的に作成されます。 [ データ ソースの追加] を選択してデータ ソースを保存します。

DCR の保存

[ 確認と作成 ] を選択して DCR を作成します。

ログを表示する

データは、Kusto クエリ言語 (KQL) で記述されたログ クエリを使用して Log Analytics ワークスペースから取得されます。 仮想マシンでは事前に作成されたクエリのセットを使用できますが、ここでは単純なクエリを使用して、収集されるイベントを検査します。

仮想マシンのメニューから [ログ] を選択します。 Log Analytics が開き、そのマシンにスコープが設定された空のクエリ ウィンドウが表示されます。 すべてのクエリには、そのマシンから収集されたレコードのみが含まれます。

注

Log Analytics を開くと、[ クエリ] ウィンドウが開く場合があります。 これには、使用できる事前に作成されたクエリが含まれます。 ここでは、単純なクエリを手動で作成するため、このウィンドウを閉じます。

空のクエリ ウィンドウで、構成したデータ ソースに応じて、次のいずれかのクエリを実行します。

Windows イベント ログ

データが収集されていることを確認するには、 イベント テーブル内のレコードを確認します。 仮想マシンまたは Azure portal の Log Analytics ワークスペースから、[ ログ ] を選択し、[ テーブル ] ボタンをクリックします。 [仮想マシン] カテゴリで、[イベント] の横にある [実行] をクリックします。

Syslog

データが収集されていることを確認するには、 Syslog テーブル内のレコードを確認します。 仮想マシンまたは Azure portal の Log Analytics ワークスペースから、[ ログ ] を選択し、[ テーブル ] ボタンをクリックします。 [仮想マシン] カテゴリで、[Syslog] の横にある [実行] をクリックします。

注

クエリでデータが返されない場合は、収集する仮想マシンでイベントが作成されるまで数分待つ必要がある場合があります。 また、DCR のデータ ソースを変更して、他のカテゴリのイベントを含める必要がある場合もあります。

Log Analytics を使用してログ データを分析するチュートリアルについては、 Log Analytics のチュートリアルを参照してください。 ログ データからアラート ルールを作成するチュートリアルについては、「 チュートリアル: Azure リソースのログ検索アラートを作成する」を参照してください。

Azure リソースのログ検索アラートを作成する