プライベート ネットワーク コネクタのログを Log Analytics ワークスペースにエクスポートする

この記事では、顧客のネットワークにデプロイされているコネクタ マシンからプライベート ネットワーク コネクタ ログを抽出する方法について説明します。 抽出されたログは、顧客の Azure サブスクリプションの Log Analytics ワークスペースに送信できます。 これらのログの抽出は、Azure Arc とその拡張機能を使用して実行されます。 お客様は Azure 環境でログの制御と管理を維持するため、お客様はデータの完全な所有権とセキュリティを確保できます。

前提 条件

このプロセスの手順を完了するには、次の前提条件が満たされている必要があります。

• アクティブな Azure サブスクリプション。
• Azure Log Analytics に接続する Microsoft Entra プライベート ネットワーク コネクタを実行しているオンプレミスの Windows マシン。 詳細については、「Microsoft Entra プライベート ネットワーク コネクタについて」を参照してください。
• Azure portal でコマンドを移動して実行するためのアクセス。
• オンプレミスとマルチクラウドのリソースを管理するための Microsoft Azure Arc アカウント。 詳細については、「Azure Arc の概要」を参照してください。

コネクタ ログの抽出

コネクタ ログを抽出するには、コネクタ マシンで詳細ログを有効にしてから、ログを Log Analytics にストリーミングする必要があります。

コネクタ マシンで詳細なログを有効にする

詳細ログは、Entra Private Access に関する Microsoft Entra プライベート ネットワーク コネクタ側の問題をデバッグするときに役立ちます。 既定では、詳細ログはコネクタで有効になっていません。

詳細ログを有効にするには、次の手順を実行します。

1. C:\Program Files\Microsoft Entra Private Network Connectorにあるコネクタのインストール ディレクトリを見つけます。

2. で、の書き込みアクセス許可を持つフォルダーをローカルディレクトリに作成します。

   書き込みアクセス許可を確認するには:

   1. 作成したフォルダーを右クリックし、[プロパティ]クリックします。
   2. [セキュリティ] タブに移動し、[書き込み] プロパティの [許可] がオンになっていることを確認します。 [書き込み] がオンになっていない場合、[編集] を選択します。
   3. ポップアップ ウィンドウで、[書き込み] 行の [許可] をオンに、[適用] をクリックします。

3. メモ帳やメモ帳++ などのテキスト エディター アプリケーションを右クリックし、[管理者として実行] 選択。

4. 編集するファイル MicrosoftEntraPrivateNetworkConnector.exe.config を開きます。

5. 次のセクションから、<system.diagnostics> から </system.diagnostics> までのコードを選択し、MicrosoftEntraPrivateNetworkConnector.exe.config ファイルに追加します。

<?xml version="1.0" encoding="utf-8" ?> 

<configuration> 

  <runtime> 

     <gcServer enabled="true"/> 

  </runtime> 

  <appSettings> 

    <add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" /> 

  </appSettings> 

<system.diagnostics> 

  <trace autoflush="true" indentsize="4"> 

    <listeners> 

      <add name="consoleListener" type="System.Diagnostics.ConsoleTraceListener" /> 

      <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:\logs\connector_logs.log" /> 

      <remove name="Default" /> 

    </listeners> 

  </trace> 

</system.diagnostics> 

</configuration>

次に、上記の変更を有効にするには、コネクタ サービスを停止して開始する必要があります。

6. タスク バーの検索ボックスに「Services」と入力し、Servicesに移動します。
7. サービスの一覧から Microsoft Entra Private Network Connector サービス を探して選択します。
8. エージェント サービスの [停止] を選択し、エージェント サービスの [開始] をもう一度選択します。 この時点で、C:\logs\ フォルダーに connector_logs.log というラベルが付いたテキスト ファイルが表示されます。

手記

詳細ログが有効になっていない場合、既定のログ ファイルの場所は C:\Users\<user>\AppData\Local\Tempに格納されます。 詳細ログが有効になっている場合、ログ ファイルは C:\logs\connector_logs.logに格納されます。 詳細ログは、手順 4 で指定した行を追加または削除すると、有効化または無効にすることができます。 ログ記録の変更を有効にするには、サービス エージェントを毎回再起動する必要があります。

オンプレミス コンピューターで Azure Arc を設定する

1. オンプレミス コンピューターに対して Azure Arc を有効にするスクリプトを取得します。
   1. Azure portal にアクセスします。
   2. 検索バーで Azure Arc を検索します。
   3. Azure Arc リソースの > Machinesに移動します。
   4. [追加/作成] > [マシンの追加] の順にクリックします。
   5. 単一のサーバーを追加し、> をクリックします。
   6. 情報を入力し、[スクリプトのダウンロードと実行 ] をクリックします。
2. オンプレミスのコネクタ マシンに Azure Arc エージェントをインストールします。
   1. Azure Portal から Azure Arc エージェントセットアップ スクリプトをダウンロードします。
   2. タスク バーの検索ボックス Windows PowerShell ISE を検索します。 アプリケーションを右クリックし、[管理者として実行]クリックします。
      PowerShell から、OnboardingScript.ps1というラベルの付いたダウンロードしたファイルを開きます。
   3. スクリプトを実行します。
   4. ポップアップ ウィンドウにログインし、Azure アカウントの資格情報を使用して認証します。 次のメッセージが画面に返されます: Authentication complete. You can return to the application. Feel free to close this browser tab.

Log Analytics ワークスペースを設定する

1. Azure portal にアクセスします。
2. Log Analytics ワークスペースを作成します。
   1. 検索バーに「Log Analytics」を入力し、「Log Analytics ワークスペース」を選択します。
   2. [作成] をクリックします。
   3. 必要な詳細を入力します。
      • サブスクリプション: サブスクリプションを選択します。
      • リソース グループ: 既存のリソース グループを選択するか、新しいリソース グループを作成します。
      • 名前: Log Analytics ワークスペースの一意の名前を指定します。
      • リージョン: オンプレミス コンピューターに最も近いリージョンを選択します。
   4. [確認と作成]、[作成] の順にクリックします。
3. 新しいワークスペースの下にテーブルを作成します。
   1. 作成したワークスペース名を選択します。
   2. ワークスペース> ** 設定>Tables に移動します。
   3. [ 作成>新しいカスタム ログ (MMA ベース) をクリックします。
   4. 仮想マシン (VM) の場所 (C:\logs\connector_logs.log) からログ ファイルを選択します。
   5. 区切り記号を [改行] に設定します。
   6. コレクション パスの種類 – Windows & パスを C:\logs\connector_logs.log として追加します。
   7. [作成] をクリックします。

データ収集エンドポイント (DCE) を設定する

1. Azure portal にアクセスします。
2. 検索バーで、データ収集エンドポイントを検索します。
3. [作成] をクリックします。
4. DCE の名前とリージョンを指定します。
5. [確認と作成]、[作成] の順にクリックします。

データ収集規則 (DCR) を設定する

1. Azure portal にアクセスします。
2. 検索バーで、データ収集規則を検索します。
3. [作成] をクリックします。
4. 必要な詳細を入力します。
   • サブスクリプション: サブスクリプションを選択します。
   • リソース グループ: Log Analytics ワークスペースと同じリソース グループを選択します。
   • 名前: DCR の名前を指定します。
   • リージョン: Log Analytics ワークスペースと同じリージョンを選択します。
   • プラットフォーム: Windows。
   • データ収集エンドポイント: 前の手順で作成したデータ収集エンドポイントを選択します。
5. [次へ: リソース] をクリックする
   1. [リソースの追加] をクリックします。
   2. サブスクリプションを開きます。
   3. 一覧からリソース グループを選択します。
   4. [適用] をクリックします。 リソースに VM 名の一覧が表示されます。
6. [次へ: 収集して配信] をクリックする
   1. [データソースの追加] をクリックします。
   2. [データ ソースの種類] で、[カスタム テキスト ログ] を選択します。
   3. オンプレミスの Windows マシン上のログへのパスを指定します (例: C:\logs\ connector_logs.log)。
   4. Log Analytics ワークスペースで作成したテーブル名を入力します。 テーブル名を取得するには、新しいタブを開き、Azure portal に移動し、Log Analytics ワークスペースを検索します。 作成したテーブルを選択します。 設定 をクリックし、テーブルを開きます。 カスタム テーブル (クラシック)の名前を見つけます。
   5. [追加]、[次へ: 宛先] の順にクリックします。
7. 送信先を設定する:
   1. 宛先の [種類] -> [Azure Monitor ログ]。
   2. サブスクリプションを選択します。
   3. 宛先として、Log Analytics ワークスペースを選択します。
   4. データ収集エンドポイントが選択されていることを確認します。
   5. [次へ: 確認と作成]、[作成] の順にクリックします。

データ収集の確認

• Log Analytics のデータを確認する:

  エージェントをインストールして構成した後、データの表示が開始されるまでに時間がかかる場合があります。

  1. Azure portal で、Log Analytics ワークスペースに移動 > ワークスペースを選択します。
  2. [ログ] に移動し、ポップアップ ハブで [終了] >[カスタム ログ]> をクリックし、ログ名をダブルクリックします。 これにより、ログ名がクエリに追加されます。
  3. [実行] を選択します。 ログが表示されます。 このセットアップでは、オンプレミスの Windows マシンからテキスト ログを収集し、Azure Arc を使用して Azure Log Analytics に送信できます。データ収集ルールにより、定義されたパスに従ってログが収集され、エージェントによって Log Analytics ワークスペースに送信されます。

ワークスペースへのアクセスを共有する

Log Analytics ワークスペースへのログを取得したら、ワークスペースを共有することで、外部ユーザー (テナントの外部) へのログへのアクセスを安全に開くことができます。 1 つのユース ケースは、サポートの問題に対して (必要に応じて) サポート担当者にアクセス権を付与することです。 サポート担当者は、Microsoft CSS (カスタマー サービス & サポート)、エンジニアリング OCE (オン コール エンジニア)、または顧客独自のサポート ネットワークから取得できます。 ワークスペースにアクセスできるようにすることは、問題を迅速に診断するのに役立ち、平均復旧時間 (MTTR) と平均緩和時間 (MTTM) にプラスの影響を与え、その延長によって顧客満足度に影響を与えます。

外部ユーザーへのアクセスを提供する手順を次に示します。

前提 条件

• Azure サブスクリプション: アクティブな Azure サブスクリプションがあることを確認します。
• Log Analytics ワークスペース: 共有する既存の Log Analytics ワークスペース。
• Microsoft Entra ID ゲスト ユーザー: 外部ユーザーを Microsoft Entra ID のゲスト ユーザーとして追加する必要があります。

Microsoft Entra ID で外部ユーザーをゲストとして追加する

1. Microsoft Entra ID に移動します。
   1. Azure portal にアクセスします。
   2. 検索バーに「Microsoft Entra ID」と入力してから選択します。
2. 新しいゲスト ユーザーの追加:
   1. Microsoft Entra ID ダッシュボードで、[ 管理>ユーザー] を選択します。
   2. [+ 新しいユーザー] をクリックし、[外部ユーザー招待] を選択します。
   3. 外部ユーザーのメール アドレスを入力し、必要な情報を入力します。
   4. "招待をクリックして、外部ユーザーに招待を送信します。" 外部ユーザーは、Microsoft Entra ID ページにゲストとして参加するための招待メールを受け取ります。

Log Analytics ワークスペースでゲスト ユーザーにロールを割り当てる

1. Log Analytics ワークスペースに移動します。
   • Azure portal で、Log Analytics ワークスペースを検索し、共有するワークスペースを選択します。
2. ID アクセス制御 (IAM):
   1. ワークスペース ブレードで、左側のメニュー アクセス制御 (IAM) を選択します。
   2. [+を追加] をクリックして、[ロールの割り当てを追加]を選択します。
3. ロールを割り当てる:
   1. ゲスト ユーザーに割り当てるロールを選択します。 Log Analytics にアクセスするための一般的なロールは次のとおりです。
   2. Log Analytics 閲覧者: ユーザーがログの読み取りとクエリを実行できるようにします。
   3. Log Analytics 共同作成者: ユーザーがログの読み取り、クエリ、変更を行うことができます。
4. ゲスト ユーザーを追加します。
   1. [メンバー] セクションで、[メンバーの選択]をクリックします。
   2. 先ほど追加したゲスト ユーザーをメール アドレスで検索します。
   3. ゲスト ユーザーを選択し、[選択] をクリックします。
5. 確認と割り当て:
   • ロールの割り当てを確認し、[確認と割り当て] をクリックしてプロセスを完了します。

アクセス許可が適切に設定されていることを確認する

• アクセス許可の確認: ゲスト ユーザーは、アクセス許可が割り当てられた Log Analytics ワークスペースにアクセスできるようになります。
  • Log Analytics ワークスペースで アクセス制御 (IAM) に移動し、ロールの割り当てを確認できます。

外部ユーザー アクセスとクエリ ログ

1. 外部ユーザー アクセス:
   • 外部ユーザーは、電子メールに送信された招待に同意し、資格情報を使用して Azure portal にログインする必要があります。
2. Log Analytics へのアクセス:
   1. ログインすると、外部ユーザーは自分と共有されている Log Analytics ワークスペースに移動します。
   2. Log Analytics ワークスペースの ログ 機能を使用して、付与されたアクセス許可に基づいてログのクエリと分析を行うことができます。

その他の考慮事項

• セキュリティ: 最小限の特権の原則に従い、ゲスト ユーザーに必要なアクセス許可のみを付与します。
• 監視と監査の: Log Analytics ワークスペースへのアクセスを定期的に監視および監査して、コンプライアンスとセキュリティを確保します。

これらの手順に従うことで、テナントの外部のユーザーに対して Azure Log Analytics ワークスペースを安全に開き、必要に応じてログにアクセスしてクエリを実行できます。

次の手順

• Microsoft Entra プライベート ネットワーク コネクタの について
• Microsoft Entra Private Access について説明します