Azure Arc 対応サーバー上の Azure Monitor エージェントのデプロイ オプション
Azure Monitor では、Azure Monitor エージェントをインストールし、Azure Arc 対応サーバーに登録されているマシンまたはサーバーをサービスに接続するための、複数の方法がサポートされています。 Azure Arc 対応サーバーによってサポートされている Azure VM 拡張機能フレームワークにより、デプロイ後の構成と自動化タスクが提供され、Azure VM の場合と同様にハイブリッド マシンの管理を簡略化できます。
次のことを行う場合は、Azure Monitor エージェントが必要です。
- VM の分析情報を使用して、マシンまたはサーバーで実行されているオペレーティング システムとワークロードを監視します
- Azure Monitor を使用して分析とアラートを実行します
- Microsoft Defender for Cloud と Microsoft Sentinel を使用して、Azure のセキュリティ監視を実行します
- Azure Monitor エージェントを使用して、インベントリを収集し、変更を追跡します。
Note
Azure Monitor エージェントのログはローカルに保存され、Arc 対応マシンの一時的な切断後に更新されます。
この記事では、環境内の複数の運用物理サーバーまたは仮想マシンでの、Azure Monitor エージェント VM 拡張機能のデプロイ方法を確認して、組織に最適な機能を判断できるようにします。 新しい Azure Monitor エージェントに関心があり、詳細に比較したい場合は、「Azure Monitor エージェントの概要」をご覧ください。
インストール オプション
1 つの方法や組み合わせを使用して VM 拡張機能をインストールするさまざまな方法を確認し、シナリオに最適な方法を決定します。
Azure Arc 対応サーバーを使用する
この方法では、Azure portal から、PowerShell、Azure CLI を使用して、または Azure Resource Manager (ARM) テンプレートを使用して、VM 拡張機能 (Azure Monitor エージェントを含む) のインストール、管理、削除の管理がサポートされています。
利点
- テストの目的で役立ちます
- 管理するマシンが数台の場合に便利です
短所
- Azure Resource Manager テンプレートを使用するときに自動化が制限されます
- 1 つの Arc 対応サーバーだけを対象にでき、複数のインスタンスは対象にできません
- 報告先として指定できるワークスペースは 1 つのみです。最大 4 つのワークスペースに報告するように Log Analytics Windows エージェント VM 拡張機能を構成するには、PowerShell または Azure CLI を使用する必要があります。
- ポータルからの Dependency Agent のデプロイはサポートされていません。PowerShell、Azure CLI、または ARM テンプレートのみを使用できます
Azure Policy を使用する
Azure Policy を使用して、環境内のマシンに Azure Monitor エージェント VM 拡張機能を大規模にデプロイし、構成のコンプライアンスを維持できます。 これは、Azure Monitor エージェントを実行するように Linux Arc 対応マシンを構成するポリシー定義、またはAzure Monitor エージェントを実行するように Windows Arc 対応マシンを構成するポリシー定義のいずれかを使用して実現します。
Azure Policy には、Azure Monitor に関連するいくつかの定義があらかじめ組み込まれています。 [監視] カテゴリの組み込みポリシーの完全な一覧については、「Azure Monitor 用の Azure Policy 組み込み定義」を参照してください。
利点
- VM 拡張機能が削除された場合は再インストールされます (ポリシーの評価後)。
- 新しい Azure Arc 対応サーバーが Azure に登録されると、VM 拡張機能が識別されてインストールされます
短所
- Azure Monitor エージェントを実行するように "オペレーティング システム" Arc 対応マシンを構成するポリシーでは、Azure Monitor エージェント拡張機能のみがインストールされ、指定された Log Analytics ワークスペースにレポートするようにエージェントが構成されます。
- 標準コンプライアンス評価サイクルは 24 時間に 1 回です。 サブスクリプションまたはリソース グループの評価スキャンは、Azure CLI、Azure PowerShell、または REST API への呼び出しを使用して、または Azure Policy Compliance Scan GitHub アクションを使用して開始できます。 詳しくは、「評価のトリガー」をご覧ください。
Azure Automation を使用する
Azure Automation でのプロセス自動化動作環境と、PowerShell および Python Runbook のサポートは、環境内のマシンへの規模に応じた Azure Monitor エージェント VM 拡張機能のデプロイの自動化に役立ちます。
利点
- 使い慣れたスクリプト言語でスクリプト化した方法を使用して、デプロイと構成を自動化できます
- 実行するスケジュールを定義および制御できます
- マネージド ID を使用して、Automation アカウントから Arc 対応サーバーに対して安全に認証が行われます
短所
- Azure Automation アカウントが必要です
- Azure Automation での Runbook の作成と管理の経験
- 対象のオペレーティング システムに応じて、PowerShell または Python ベースの Runbook を作成する必要があります
Azure Portal の使用
Azure Monitor エージェント VM 拡張機能は、Azure portal を使用してインストールできます。 Azure portal からの拡張機能のインストールの詳細については、「Azure Arc 対応サーバーの拡張機能の自動アップグレード」を参照してください。
利点
- Azure portal から直接ポイントしてクリックする
- 少数のサーバー セットでテストする場合に便利です
- 拡張機能の即時デプロイ
短所
- 多くのサーバーに対してスケーラブルではありません
- 限定の自動化
次のステップ
セキュリティ関連のイベントの収集を Microsoft Sentinel で開始する場合は、「Microsoft Sentinel にオンボードする」を参照し、Microsoft Defender for Cloud で収集する場合は「Microsoft Defender for Cloud にオンボードする」を参照してください。
マシンのパフォーマンスを確認し、検出されたアプリケーション コンポーネントを表示するには、VM の分析情報のパフォーマンスの監視と依存関係のマップに関する記事をご覧ください。