編集

次の方法で共有


Azure Monitor を使用した企業の監視

Azure Arc
Azure Automation
Azure Logic Apps
Azure Monitor
Microsoft Sentinel

大企業では、既存の監視ソリューションを最新化する際、多くの要因を検討する必要があります。 Azure Monitor 機能を使用すれば、一元的な監視管理を実現できます。 このシナリオの例では、Azure Monitor を使用するエンタープライズ レベルの監視について説明します。

アーキテクチャ

エンタープライズ ワークスペースと監視機能を示すアーキテクチャの図。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

  • このアーキテクチャは、リソース コンテキストのログ モデルに従います。 Azure のリソースによって出力されるすべてのログ レコードは、自動的にリソースに関連付けられます。 このモデルは、異なるアプリ所有者から収集と取り込みを行うワークスペースを分離するのに役立ちます。

  • エンタープライズ全体のさまざまなワークロードには、個別のワークスペースがあります。 さまざまなワークスペースを構成することにより、チームが各自のデータに自律性を持たせることができます。また、ワークスペースごとにコストの概要を個別に提供することができます。

    • Azure Web Apps や Azure Functions アプリなどのサービスとしてのプラットフォーム (PaaS) サービスでは、ワークスペース内に Application Insights の構成が追加されます。

    • ID の場合、オンプレミスの Active Directory とクラウドの ID プロバイダーにはそれぞれ独自のワークスペースがあります。

    • Azure Virtual Desktop、Azure Pipelines、SQL ワークロード、Azure Kubernetes Service (AKS) と Azure Web Apps のアプリ、およびその他の PaaS サービスにはすべて独自のワークスペースがあります。

  • 各ワークスペースには、一連の構成済みアラートがあります。 Azure Logic Apps と Azure Automation では、事前アラートと修復を行うことができます。 Logic Apps は、IT サービスマネジメント (ITSM) ツールと統合することができます。

  • オンプレミスの仮想マシン (VM) セットは Azure Arc を介して接続し、エンドツーエンドの Azure 管理プレーンを提供します。 また、Azure Arc を使用して、サードパーティのクラウドで実行されるサービスとしてのインフラストラクチャ (IaaS) リソースに接続することもできます。

  • カスタムログは、サードパーティの仮想化された環境に関する情報をキャプチャし、オペレーティング システム、ソフトウェア、およびアプリケーションのカスタム ログを収集します。

  • Log Analytics ワークスペースの分析情報では、包括的なワークスペース監視が提供されます。 すべてのリソースから収集したデータの保存に単一のワークスペースを使用することで、IT 組織の運用モデルにアラインさせます。 このワークスペースは、すべてのワークスペースの使用状況、コスト、およびパフォーマンスの概要を中心となるチームに提供します。 中央のワークスペースでは、リソースに基づくスコープとロールベースのアクセス制御 (RBAC) が尊重されます。 Log Analytics ワークスペースの分析情報には、独自のアラートセットが別途用意されています。

  • Log Analytics は、アーカイブまたは分析のためにワークスペース データをエクスポートすることにより、さらに統合することができます。 クール ストレージ層にデータをアーカイブすることで、コストを節約することができます。 機械学習モデルにフィードするデータセットを作成することで、アーカイブされたデータをさらに分析するために使用できます。

  • モニターは、Microsoft Sentinel などのセキュリティ情報およびイベント管理 (SIEM) ツールに接続することで、大規模なエンタープライズ セキュリティ データストアを作成することができます。

  • Power BI と Azure Workbooks (Azure Monitor 用) では、データの視覚化とダッシュボード機能が提供されます。

コンポーネント

このアーキテクチャには次のコンポーネントがあります。

Monitor のコンポーネント

Azure Monitor は、クラウドおよびオンプレミス環境から利用統計情報データを収集、分析して、対処します。 このソリューションでは、次のモニター コンポーネントと機能を使用します。

  • モニター メトリクスは、監視対象のリソースから時系列データベースに数値データを格納します。 モニターのメトリクスは軽量で、ほぼリアルタイムのシナリオに対応しているので、問題の警告や迅速な検出に役立ちます。
  • モニター ログは監視対象のリソースからログとパフォーマンス データを収集して整理します。 Azure のプラットフォーム ログを含む複数のソースのデータを、1つのワークスペースに統合することができます。 データ分析は、Log Analytics の高度なクエリ言語 を使用して行うことができます。
  • Azure Monitor エージェントは、ログの監視とメトリクスの監視の両方にデータを送信できます。 Azure Monitor エージェントは、構成可能な データ収集ルール (DCR) を使用し、接続にワークスペースキーは必要ありません。
  • Application Insights は、クラウド環境や、ハイブリッド環境、オンプレミス環境の幅広いプラットフォーム上のライブ アプリケーションを監視します。 Application Insights は、パフォーマンスの異常を自動的に検出します。 Application Insights には、使用状況を把握し、問題を診断するのに役立つ強力な分析ツールが含まれています。
  • Azure Virtual Desktop の分析情報には、Azure Virtual Desktop の Monitor を使用し、IT 担当者が Azure Virtual Desktop 環境を理解するのに役立てることができます。
  • コンテナの分析情報は、Kubernetes クラスターとその他のコンテナーベースのワークロードのパフォーマンスと正常性を監視します。
  • Network insights を使用すると、デプロイされたすべてのネットワーク リソースの正常性とメトリクスを包括的に把握できます。
  • SQL の分析情報 (プレビュー)は正常性を監視し、Azure SQL ファミリ内のあらゆる製品の問題を診断し、パフォーマンスを調整するのに役立ちます。
  • VM の分析情報 は、VM と仮想マシン スケール セットのパフォーマンスと正常性を監視します。 VM の分析情報には、実行中のプロセスや他のリソースへの依存関係が含まれます。
  • IT Service Management Connector (ITSMC) は、Azure とサポートされている ITSM ツール間の双方向の接続を提供し、作業項目の迅速な解決に役立ちます。
  • Azure Monitor 用の Azure Workbooks では、複数の Azure データソースを分析して対話型のビジュアルレポートに結合するための柔軟なキャンバスが提供されます。
  • Log AnalyticsLog Analytics ワークスペースのモニター ログ データに対してクエリを作成して実行します。 このソリューションでは、次の Log Analytics 機能を使用します。
    • Log Analytics エージェント は、クラウドおよびオンプレミスのオペレーティングシステムと VM ワークロードから監視データを収集し、それを Log Analytics ワークスペースに送信します。
    • Microsoft Entra 監視 は、Microsoft Entra アクティビティ ログを Log Analytics ワークスペースにルーティングします。
    • Log Analytics ゲートウェイ は、インターネットに直接接続できないコンピューターの Azure Automation と Log Analytics ワークスペースにデータを送信します。
    • Service Mapは、Log Analytics エージェントを使用して Windows および Linux システムのアプリケーション コンポーネントを自動的に検出したり、サービス間の通信をマップしたりできます。
    • Alert Managementは、Log Analytics ワークスペース内のすべてのアラートを分析することができます。
    • Log Analytics データのエクスポート (プレビュー) では、Log Analytics ワークスペースの選択したテーブルからデータを継続的にエクスポートします。 データは、Azure ストレージ アカウントまたは Azure Event Hubs にエクスポートできます。
    • Log Analytics ワークスペースの分析情報は、Log Analytics ワークスペースを包括的に監視できます。 ワークスペース インサイトは、ワークスペースの使用状況、パフォーマンス、正常性、エージェント、クエリ、および変更ログの統合ビューを提供します。

その他のコンポーネント

このソリューションでは、Monitor は次の Azure と Microsoft サービスとのサポートまたは統合を行います。

  • Azure Arc では、一貫したマルチクラウドとオンプレミスの管理プラットフォームを提供することによって、ガバナンスと管理が簡素化されます。
  • Azure Automation は、環境全体で一貫性のある管理をサポートするクラウドベースの自動化、オペレーティング システムの更新、および構成サービスを提供します。 Change Tracking は、クラウドとオンプレミスの VM の変更を追跡して、ソフトウェアの問題を特定するのに役立ちます。 Change Tracking は、データを Monitor のログに転送して、データを Log Analytics ワークスペースに格納します。
  • Azure ExpressRoute により、オンプレミスのネットワークが Microsoft クラウドに拡張されます。 ExpressRoute は、接続プロバイダーを介してプライベート接続を使用します。
  • Azure Data Lake Storage は、ビッグ データを分析するための、スケーラブルでコスト効率に優れたクラウド ストレージです。
  • Azure Functions は、 関数と呼ばれるすぐに使用可能なコード ブロックを実装するサーバーレス ソリューションです。 関数は要求時に実行され、自動的にスケール アップされます。
  • Azure Kubernetes Service (AKS) は、コンテナ化されたアプリケーションを簡単にデプロイして管理するためのフル マネージド Kubernetes サービスです。
  • Azure Load Balancerは、バックエンド リソースまたはサーバー間で受信トラフィックを均等に分散します。
  • Azure Logic Appsは、自動化されたワークフローを作成および実行するためのクラウドベースのプラットフォームです。 Logic apps では、アプリ、データ、サービス、およびシステムを統合できます。
  • Azure Resource Manager には、Azure アカウントでリソースを作成、更新、削除するための管理レイヤーとテンプレートが用意されています。
  • Microsoft Defender for Cloudは、統合インフラストラクチャ セキュリティ管理システムである Microsoft Defender for Cloud の一部です。
  • Microsoft Sentinel は、クラウドネイティブで、スケーラブルなセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。
  • データベース サービスの Azure SQL ファミリは、一貫性のある統合された Azure SQL エクスペリエンスが提供されます。 Azure SQL には、エッジからクラウドまで、さまざまなデプロイ オプションがあります。
  • Power BI はデータ ソースを一貫性があり視覚的に没入型で対話形式の分析情報に変換するソフトウェア サービス、アプリ、コネクタのコレクションです。

代替

Monitor と一緒に、 または Monitor の代替として、いくつかの代替的な監視手段を使用できます。

System Center Operations Manager

System Center Operations Manager は、柔軟でコスト効率の高いインフラストラクチャ監視を提供します。 Operations Manager、プライベートおよびパブリックのデータセンターとクラウドに対する包括的な監視を提供します。 Operations Manager は、重要なアプリケーションの予測可能なパフォーマンスと可用性を確保するのに役立ちます。

既存の Operations Manager への投資を維持するために、Log Analytics ワークスペースと Operations Manager を統合することができます。 Monitor Logs と拡張機能を使用しながら、次の機能に Operations Manager を使用できます。

  • IT サービスの正常性の監視
  • インシデントと問題の管理をサポートする ITSM ソリューションとの統合を維持する
  • オンプレミスとパブリック クラウドの IaaS VM にデプロイされたエージェントのライフサイクルの管理。

詳細については、「Operations Manager を Azure Monitor に接続する」を参照してください。

Grafana

Grafana は、オープンでコンポーザブルな監視とデータを視覚化するためのプラットフォームです。 Grafana は、格納されている場所に関係なく、データを視覚化し、アラートを生成し、理解するのに役立ちます。 柔軟なダッシュボードを作成でき、データの探索と共有をすることができます。

シナリオの詳細

Enterprise チームには、Windows、Linux、SQL、ID ベースのワークロード、仮想デスクトップ インフラストラクチャ (VDI)、コンテナー、Web アプリなど、さまざまなワークロードがあります。 これらのワークロードは、任意のクラウド プロバイダー、オンプレミス、またはそれらの組み合わせで実行できます。 このような膨大な量のワークロードをさまざまな環境で使用すると、クラウドベースの監視が複雑になります。

Enterprise レベルの監視では、ガバナンスや、運用上のベストプラクティス、効果的なコスト管理、ワークスペースのセキュリティについてもカバーする必要があります。 監視は、チーム環境を設定し、管理するうえで十分な柔軟性があり、チームがある程度制御しながら自分自身で管理できるようにする必要があります。

監視設計のその他の重要な要因は次のとおりです。

  • さまざまな地域またはチーム間で Log Analytics ワークスペースを分散する方法。
  • ワークスペース自体、およびワークロードの監視。
  • さまざまなチームをチャージ バックして、全体的なコストを最適化する方法。
  • 収集したデータを視覚化して、場合によってはアーカイブする方法。
  • 操作や、アプリ、さまざまなチーム用に個別のダッシュボードを作成する。
  • リーダーに適切な情報を十分に可視化する。

考えられるユース ケース

このソリューションは、次のユース ケースに役立ちます。

  • クラウドとオンプレミスのさまざまなワークロードに対する統合監視。
  • コンテナー、Azure SQL、Azure Virtual Desktop のワークロードの監視。
  • モニターを Microsoft Sentinel に接続するなどの、拡張された監視スコープ。
  • ネットワークや、ID プロバイダー、オペレーティング システム、その他のドメインにまたがるハイブリッドで異種のクラウドの監視。

考慮事項

このソリューションには以下の考慮事項が適用されます。

可用性

Azure 可用性ゾーンは、リージョン内の他のゾーンの可用性に依存することで、データセンターの障害からアプリケーションとデータを保護します。 可用性ゾーンは、Log Analytics ワークスペースに依存する Application Insights のような Monitor の機能の回復性を提供するのに役立ちます。 可用性ゾーンにリンクされたワークスペースは、特定のデータセンターが利用できない場合でも、アクティブな状態であり操作することができます。

可用性ゾーンがある Azure リージョンについては、「Azure のリージョンと Availability Zones」を参照してください。 Monitor では現在、米国東部 2 と米国西部 2 のリージョンで可用性ゾーンがサポートされています。

Monitor での可用性ゾーンのサポートを利用するには、Monitor 専用クラスターにリンクされた Log Analytics ワークスペースが必要です。 専用クラスターは、Monitor ログに関して、可用性ゾーンを含む高度な機能を利用できるようにするデプロイ オプションです。 2020 年 10 月より後に作成された専用クラスターでは、既定で可用性ゾーンを使用できます。この場合、Monitor では可用性ゾーンがサポートされます。

Logic Apps 事業継続とディザスター リカバリー (BCDR) ワークフロー

Logic Apps ワークフローを使用すると、アプリ、クラウド サービス、オンプレミス システム間でデータを統合および調整できます。 ビジネス継続性とディザスター リカバリー (BCDR) を計画する場合は、ロジック アプリだけでなく、使用する Azure リソースも考慮してください。 自動化されたロジック アプリ ワークフローに関する BCDR のガイダンスと戦略については、「Azure Logic Apps の事業継続とディザスター リカバリー」を参照してください。

Operations

  • 個人データの処理に関する戦略を、必ず立ててください。 詳細については、「Log Analytics と Application Insights に格納される個人データに関するガイダンス」をご覧ください。

  • 次のガイドラインに従って、規制への準拠を確保します。

  • Azure で実行される Azure Automation Runbook は、他のクラウドまたはオンプレミスのリソースにアクセスできない場合があります。 Azure Automation Hybrid Runbook Worker を使用して、ロールをホストするマシンで直接的に Runbook 実行することが出来ます。 環境内のリソースに対して Runbook を実行して、ローカル リソースを管理することができます。 詳細については、「Automation Hybrid Runbook Workerの概要」をご覧ください。

  • 次に示すコストを抑えるのに役立つ運用上のベスト プラクティスをご検討ください。

    • データ収集が多い場合にのみアラートを有効にします。
    • 実装前に Monitor の監視ソリューションを確認してください。 たとえば、Defender for Cloud でセキュリティ イベント データの収集と監査を有効にすると、データ収集コストが指数関数的に増加する可能性があります。
    • アラートの作成をボード全体で合理化します。 各ワークスペースまたはチームが、同じアラートを使用する代わりに、単一のアラートを作成することを検討します。
    • アラート、Logic Apps、個別のリソース グループ内のワークスペースなどのグループ リソースや、識別にタグ付けを使用します。
    • Log Analytics Workspace Insights を使用して、異なるワークスペース間のコストの全体像を表示できます。
    • Azure Monitor エージェントを使用して、システム イベント ログから単一のイベント ID を収集するレベルの詳細なデータ収集を行います。 データ収集を微調整すると、コスト効率が向上します。
    • 低コストのストレージへのデータ アーカイブには、Monitor Data Export を使用します。
    • Application Insights ワークスペースの利用統計情報に関するベスト プラクティスに従います。 詳細については、「Application Insights の使用量とコストを管理する」を参照してください。

パフォーマンス効率

このソリューションには、次のパフォーマンスに関する考慮事項が適用されます。

Latency

待機時間は、監視対象システムでデータを作成してから、Monitor で分析に利用できるようになるまでの時間です。 ログ データを取り込むための一般的な待ち時間は 20 秒から 3 分です。 データの特定の待機時間は、さまざまな要因によって異なります。

特定のデータ セットの合計インジェスト時間には、次の要素が含まれます。

  • エージェント時間: イベントを検出し、それを収集して、ログ レコードとして Monitor ログのインジェスト ポイントに送信する時間。 ほとんどの場合、エージェントによってこのプロセスが処理されます。 ネットワークによってさらなる待機時間が発生する可能性があります。
  • パイプライン時間: ログ レコードを処理するインジェスト パイプラインの時間。 この時間には、イベント プロパティの解析が含まれ、場合によっては計算情報が追加されます。
  • インデックス作成時間: ログ レコードを Monitor のビッグ データ ストアに取り込むために費やされた時間。

待機時間を最小限に抑えるには、Monitor ワークスペース、Logic Apps、および関連するインフラストラクチャを、監視またはコントロール対象のワークロードと同じ Azure リージョンに配置します。 ただし、待機時間の問題が引き続き発生する可能性があります。 詳細については、「Azure Monitor でのログ データ インジェスト時間」を参照してください

ログ アラートとメトリック アラート

メトリック アラートは、1 つ以上のメトリック時系列の条件が true かどうかを定期的にチェックし、条件が評価を満たした場合に通知します。 メトリック アラートは既定ではステートフルになっています。つまり、状態が変更されたときにのみ (発生または解決済みに変更された場合など)、通知を送信します。

ログ アラートでは、Log Analytics クエリを使用して、設定された頻度でリソース ログを評価し、結果に基づいてアラートを生成します。 メトリック ベースのアラートは、ログ アラートよりも速く通知を送信できます。

スケーラビリティ

セキュリティ

このソリューションでは、次のセキュリティ メカニズムを使用します。

アクセス制御

Azure RBAC は、アラートをホストするリソース グループをロック ダウンし、Logic Apps またはアプリの所有者ごとに割り当てることができます。 Azure RBAC では、ユーザーとグループには、ワークスペース内の監視データを操作するために必要な量のアクセス権のみを付与できます。 たとえば、Azure VM でホストされるインフラストラクチャ サービスを担当するチームへのアクセス権を、VM が生成するログにのみ付与することができます。

ユーザーがアクセスできるデータは、要素の組み合わせによって決まります。

要素 説明
アクセス モード ユーザーがワークスペースにアクセスするために使用する方法。 使用可能なデータの範囲と適用されるアクセス制御モードを定義します。
アクセス制御モード アクセス許可をワークスペース レベルとリソース レベルのどちらで適用するかを定義するワークスペースの設定。
アクセス許可 ワークスペースまたはリソースについて、個々のユーザーまたはユーザー グループに適用されるアクセス許可。 ユーザーがアクセスできるデータを定義します。
テーブル レベルの Azure RBAC アクセス モードまたはアクセス制御モードに関係なく、すべてのユーザーに適用されるオプションのきめ細かいアクセス許可。 ユーザーがアクセスできるデータ型を定義します。

詳しくは、「アクセス制御の概要」をご覧ください。

ExpressRoute 経由のプライベート エンドポイント接続

Monitor は、相互に連携してワークロードを監視する、相互接続されたさまざまなサービスの集まりです。 Azure Private Link を使用すると、プライベート エンドポイントを使用して Azure PaaS リソースを仮想ネットワークに安全に接続できます。 Azure Monitor プライベート リンク スコープ を使用すると、仮想ネットワークにデプロイされたアプリケーションと Monitor のリソースとの間に非公開接続性が提供され、監視ネットワークの境界を定義することができます。 詳細については、「Azure Private Link を使用して、ネットワークを Azure Monitor に接続する」をご覧ください。

Logic Apps 統合サービス環境 (ISE)

統合サービス環境 (ISE) 環境では、専用のストレージとその他のリソースが、グローバルなマルチテナント Logic Apps サービスとは別に保持されます。 詳細については、「統合サービス環境 (ISE) を使用して Azure Logic Apps から Azure Virtual Network に接続する」を参照してください。

Log Analytics ゲートウェイ

Log Analytics ゲートウェイは、インターネットに直接接続できないコンピューターの Azure Automation と Monitor Log Analytics ワークスペースにデータを送信します。 詳細については、「インターネットアクセスのないコンピューターを Azure Monitor の Log Analytics ゲートウェイを使って接続する」を参照してください。

コスト最適化

  • Azure Monitor には、ログ データの収集と分析のための機能が含まれています。 Monitor では、データ インジェスト、リテンション期間、およびエクスポートによって課金されます。 価格に影響する可能性のあるその他の要因としては、アラート、通知、SMS や音声通話などがあります。 詳細については、「Azure Monitor の価格」を参照してください。

  • Application InsightsLog Analytics の既定の料金は、取り込まれたデータの量に基づく従量課金制で、データ保持期間が長くなることでも料金が発生する場合があります。 Log Analytics にはコミットメント レベルもあります。これにより、従量課金制の料金と比較して30% を節約できます。

  • Logic Apps の料金Azure Automation の料金をご確認ください。

  • 料金について詳しくは、 Azure 料金計算ツール をご利用ください。

考慮事項のチェックリスト

  • 環境とコストへの影響を最小限に抑えるために、モニター ソリューションを徐々に有効にします。
  • 「すべてのアーキテクチャ コンポーネントの Azure サービスの制限」を参照してください。
  • コスト制限に関するアラートを設定します。 新しいソリューションを追加すると、収集されるデータが増加するため、コストが増加します。
  • すべてのリソース グループとリソースにタグ付けすることで、必要に応じてコストをドリルダウンできます。
  • 一貫性を確保するために、コードとしてのインフラストラクチャ (IaC) を使用してワークスペースのデプロイを自動化します。
  • 取り込みの待機時間を短くするために、ワークロードを実行するのと同じリージョンにワークスペースを作成します。
  • インターネットに接続されていないオンプレミスのマシンの場合は Log Analytics ゲートウェイ経由で Azure Arc を使用します。
  • Azure Arc 用に構成されたインターネット接続を使用するオンプレミスのマシンでは、プロジェクトごとに個別のリソースで VM をグループ化し、DCRs を使用します。
  • リソース グループごとにアラートを分散することで、リソース グループあたり 800 デプロイというサブスクリプション制限に達しないようにします。
  • アラートを合理化して、複数のチームで 1 つのアラートを使用します。
  • ネットワーク、ユーザー、および全体のクラウドサービスのセキュリティ要件を確認します。
  • RBAC ルールを効果的に適用できるように、ワークスペースごとに個別のリソース グループを作成します。
  • ユーザーアカウントや、Log Analytics ワークスペースへのアクセスに使用するその他のオブジェクトに RBAC を適用します。
  • Microsoft Sentinel を使用して、ID およびセキュリティ関連のログを取り込みます。
  • Application Insights でライブ アプリケーションを監視し、パフォーマンスの異常を自動的に検出します。
  • Application Insights 分析ツールを使用して、問題を診断し、アプリの使用状況を把握できます。
  • ボードの Log Analytics Workspace Insights を使用して、次のメジャーについて監視し、アラートを設定します。
    • インジェストの待ち時間
    • データ インジェストのボリューム
    • インジェストの異常
    • エージェントの正常性
  • データ収集を微調整するには、Azure Monitor エージェントを使用します。
  • クール ストレージ層にデータをアーカイブすることを検討してください。 クール データ ストレージはデータ レイク サービスと統合することができます。

次のステップ