Azure Monitor エージェントを使用してデータを収集する
Azure Monitor エージェントは、Azure Virtual Machines、仮想マシン スケール セット、Azure Arc 対応サーバーからデータを収集するために使われます。 データ収集規則 (DCR) エージェントから収集するデータと、データを送信する場所を定義します。 この記事では、Azure portal を使ってさまざまな種類のデータを収集する DCR を作成する方法と、必要なマシンにエージェントをインストールする方法について説明します。
Azure Monitor を初めて使う場合、または基本的なデータ収集要件がある場合は、Azure portal とこの記事のガイダンスを使って、すべての要件を満たすことができます。 変換などの他の DCR 機能を利用したい場合は、他の方法を使って DCR を作成するか、ポータルで作成した後で DCR を編集することが必要になる場合があります。 Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート (ARM テンプレート)、または Azure Policy を使ってデプロイしたい場合は、別の方法を使用して DCR を管理し、関連付けを作成することができます。
Note
テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
警告
次のシナリオでは、重複するデータが収集され、課金料金が増加する可能性があります。
- 同じデータ ソースで複数の DCR を作成し、それらを同じエージェントに関連付ける。 各 DCR で一意のデータが収集されるように、DCR 内のデータをフィルター処理します。
- セキュリティ ログを収集する DCR を作成し、同じエージェントに対して Microsoft Sentinel を有効にする。 この場合、Event テーブルと SecurityEvent テーブルで同じイベントを収集できます。
- 同じマシンで Azure Monitor エージェントと従来の Log Analytics エージェントの両方を使う。 エージェントを一方から他方に移行する期間だけに、重複するイベントを制限します。
データ ソース
次の表に、現在 Azure Monitor エージェントを使用して収集できるデータの種類と、そのデータを送信できる場所を示します。 各データ ソースのリンクは、そのデータ ソースの構成方法の詳細を説明する記事へのリンクです。 DCR を作成してリソースに割り当てるためのこの記事の手順を実行し、データ ソースを構成する方法に関連するリンク先の記事を参照してください。
| データ ソース | 説明 | クライアント OS | Destinations |
|---|---|---|---|
| Windows イベント | Windows イベント ログ システムに送信される情報 (sysmon イベントなど) | Windows | Log Analytics ワークスペース |
| パフォーマンス カウンター | オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値 | Windows Linux |
Azure Monitor メトリック (プレビュー) Log Analytics ワークスペース |
| Syslog | Linux イベント ログ システムに送信される情報 | Linux | Log Analytics ワークスペース |
| テキスト ログ | ローカル ディスクのテキスト ログ ファイルに送信される情報 | Windows Linux |
Log Analytics ワークスペース |
| JSON ログ | ローカル ディスクの JSON ログ ファイルに送信される情報 | Windows Linux |
Log Analytics ワークスペース |
| IIS ログ | インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します | Windows | Log Analytics ワークスペース |
Note
Azure Monitor エージェントでは、現在一般公開されている Azure サービスの SQL ベスト プラクティス アセスメントもサポートされています。 詳細については、「Azure Monitor エージェントを使用したベスト プラクティス評価の構成」を参照してください。
前提条件
- ワークスペースでDCR オブジェクトを作成するためのアクセス許可。
- すべての前提条件については、関連するデータ ソースについて説明する前の表のリンク先の記事を参照してください。
データ収集ルールを作成する
Azure portal には、仮想マシンとスケール セットの DCR を作成するためのシンプル エクスペリエンスが用意されています。 この方法を使用すると、変換などの高度な機能を実装する場合を除き、DCR の構造を理解する必要はありません。 「Azure Monitor でデータ収集ルール (DCR) を作成する」で説明されている他の作成方法を使うこともできます。
Azure portal の [監視] メニューで、[データ収集規則]>[作成] の順に選択して、DCR の作成ページを開きます。
![新しいデータ収集ルールの [作成] ボタンを示すスクリーンショット。](media/azure-monitor-agent-data-collection/create-data-collection-rule.png#lightbox)
[基本] タブには、DCR に関する基本情報が含まれています。
![新しいデータ収集ルールの [基本] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/basics-tab.png#lightbox)
| 設定 | 説明 |
|---|---|
| Rule Name | DCR の名前。 名前は、ルールを見分けるのに役立つわかりやすいものにする必要があります。 |
| サブスクリプション | DCR を格納するサブスクリプション。 サブスクリプションは、仮想マシンと同じサブスクリプションにする必要はありません。 |
| リソース | DCR を格納するリソース グループ。 リソース グループは、仮想マシンと同じリソース グループにする必要はありません。 |
| リージョン | DCR を格納する Azure リージョン。 リージョンは、DCR の送信先で使われる Log Analytics ワークスペースまたは Azure Monitor ワークスペースと同じリージョンである必要があります。 異なる複数のリージョンにワークスペースがある場合は、同じマシンのセットに関連付けられた複数の DCR を作成します。 |
| プラットフォームの種類 | DCR で使用できるデータ ソースの種類を指定します ([Windows] または [Linux])。 [なし] は両方に対応します。 1 |
| データ収集エンドポイント | データの収集に使われるデータ収集エンドポイント (DCE) を指定します。 DCE は、Azure Monitor のプライベート リンクを使っている場合にのみ必要です。 この DCE は、DCR と同じリージョンにある必要があります。 詳細については、「デプロイに基づいてデータ収集エンドポイントを設定する」を参照してください。 |
1 このオプションは、DCR の kind 属性を設定します。 この属性に設定できる値は他にもありますが、ポータルでは選択できません。
リソースを追加する
[リソース] ペインで、DCR に関連付けられる VM を追加できます。 追加するリソースを選択するには、[リソースの追加] を選択します。 Azure Monitor エージェントは、まだエージェントがインストールされていないリソースに自動的にインストールされます。 データ収集ルールの関連付け (DCRA) は、Azure 仮想マシンとデータ収集ルールとの間で作成されます。
重要
リソースが DCR に追加される場合、Azure portal の既定のオプションは、リソースに対してシステム割り当てマネージド ID を有効にすることです。 既存のアプリケーションでは、ユーザー割り当てマネージド ID が既に設定されている場合や、ポータルを使用して DCR にリソースを追加するときにユーザー割り当て ID を指定しない場合は、マシンでは既定で、DCR によって適用されるシステム割り当て ID が使用されます。
![新しいデータ収集ルールの [リソース] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/resources-tab.png#lightbox)
監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンに存在せず、DCE を必要とするデータの種類を収集している場合は、[データ収集エンドポイントを有効にする] を選んで、監視対象の各マシンのリージョンにあるエンドポイントを選びます。 監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンにある場合、または DCE が必要ない場合は、[リソース] タブでデータ収集エンドポイントを選ばないでください。
データ ソースの追加
[収集と配信] ペインでは、DCR のデータ ソースを追加および構成し、各ソースの送信先を追加できます。
| 設定 | 説明 |
|---|---|
| データ ソース | [データ ソースの種類] を選択し、選択したデータ ソースの種類に基づいて関連フィールドを定義します。 各データ ソースの種類の構成について詳しくは、「データ ソース」の関連記事をご覧ください。 |
| 宛先 | データ ソースごとに 1 つ以上の送信先を追加します。 同じ種類または異なる種類の送信先を複数選択できます。 たとえば、multihoming と呼ばれる複数の Log Analytics ワークスペースを選択できます。 サポートされているさまざまな送信先の各データの種類の詳細を参照してください。 |
DCR には、複数の異なるデータ ソースを含めることができます。 1 つの DCR には、最大 10 個のデータ ソースを含めることができます。 同じ DCR で異なるデータ ソースを組み合わせることができますが、通常は、異なるデータ収集シナリオには異なる DCR を作成します。 DCR を整理する方法の推奨事項については、「Azure Monitor でのデータ収集ルールの作成と管理のベスト プラクティス」を参照してください。
Note
データ収集ルール ウィザードを使用してデータ収集ルールを作成したときに、データが宛先に送信されるまでに最大 5 分かかることがあります。
操作を検証する
DCR を作成してマシンに関連付けた後、Log Analytics ワークスペースでクエリを実行して、エージェントが動作していることとデータが収集されていることを確認できます。
エージェントの動作を確認する
Log Analytics で次のクエリを実行して、エージェントが動作し、正常に通信していることを検証します。 クエリで、Heartbeat テーブルにレコードがあるかどうかを調べます。 各エージェントからこのテーブルにレコードが 1 分ごとに送信されている必要があります。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
レコードが受信されていることを確認する
エージェントがインストールされ、新規または変更された DCR の実行が開始されるまで、数分かかります。 その後、Log Analytics ワークスペース内の各ソースの書き込み先テーブルを調べて、各データ ソースからレコードが受信されていることを確認します。
たとえば、次のクエリは、Event テーブル内の Windows イベントをチェックします。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
トラブルシューティング
表示されることが想定されるデータが収集されない場合は、次の手順を実行します。
エージェントがマシンにインストールされて動作していることを確認します。
問題が発生しているデータ ソースについての記事のトラブルシューティングに関するセクションを参照してください。
DCR の監視を有効にし、次の手順を実行します。
- メトリックを見て、データが収集されているかどうか、および削除されている行があるかどうかを判断します。
- ログを見て、データ収集のエラーを確認します。
関連するコンテンツ
- Azure Monitor エージェントを使用してテキスト ログを収集します。
- Azure Monitor エージェントの詳細を確認します。
- データ収集ルールの詳細を確認します。