次の方法で共有


Azure Monitor エージェントを使用してデータを収集する

Azure Monitor エージェント (AMA) は、Azure Virtual Machines、Virtual Machine Scale Sets、Arc 対応サーバーからデータを収集するために使われます。 データ収集ルール (DCR) で、エージェントから収集するデータとそのデータを送信する場所を定義します。 この記事では、Azure portal を使ってさまざまな種類のデータを収集する DCR を作成する方法と、必要なマシンにエージェントをインストールする方法について説明します。

Azure Monitor を初めて使う場合、または基本的なデータ収集要件がある場合は、Azure portal とこの記事のガイダンスを使って、すべての要件を満たすことができます。 変換などの他の DCR 機能を利用したい場合は、他の方法を使って DCR を作成するか、ポータルで作成した後で編集することが必要になる場合があります。 CLI、PowerShell、ARM テンプレート、または Azure Policy を使ってデプロイしたい場合は、別の方法を使って DCR を管理し、関連付けを作成することもできます。

Note

テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。

警告

次の場合は、重複するデータが収集され、追加料金が発生する可能性があります。

  • 同じデータ ソースで複数の DCR を作成し、それらを同じエージェントに関連付ける。 それぞれで一意のデータが収集されるように、DCR 内でデータをフィルター処理してください。
  • セキュリティ ログを収集する DCR を作成し、同じエージェントに対して Sentinel を有効にする。 この場合、Event テーブルと SecurityEvent テーブルで同じイベントを収集できます。
  • 同じマシンで Azure Monitor エージェントと従来の Log Analytics エージェントの両方を使う。 エージェントを一方から他方に移行する期間だけに、重複するイベントを制限します。

データ ソース

下の表に、現在 Azure Monitor エージェントで収集できるデータの種類と、そのデータを送信できる場所を示します。 それぞれのリンクは、そのデータ ソースの構成方法の詳細を説明する記事へのリンクです。 この記事に従って DCR を作成してリソースに割り当てた後、リンク先の記事に従ってデータ ソースを構成します。

データ ソース 説明 クライアント OS Destinations
Windows イベント Windows イベント ログ システムに送信される情報 (sysmon イベントなど)。 Windows Log Analytics ワークスペース
パフォーマンス カウンター オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値。 Windows
Linux
Azure Monitor メトリック (プレビュー)
Log Analytics ワークスペース
Syslog Linux イベント ログ システムに送信される情報。 Linux Log Analytics ワークスペース
テキスト ログ ローカル ディスクのテキスト ログ ファイルに送信される情報。 Windows
Linux
Log Analytics ワークスペース
JSON ログ ローカル ディスクの JSON ログ ファイルに送信される情報。 Windows
Linux
Log Analytics ワークスペース
IIS ログ インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します Windows Log Analytics ワークスペース

Note

Azure Monitor エージェントでは、現在一般公開されている Azure サービスの SQL ベスト プラクティス アセスメントもサポートされています。 詳細については、「Azure Monitor エージェントを使用してベスト プラクティス アセスメントを構成する」を参照してください。

前提条件

概要

Azure portal で DCR を作成するときは、一連のページを移動しながら、指定したマシンからデータを収集するために必要な情報を提供します。 次の表では、各ページで指定する必要がある情報について説明します。

セクション 説明
リソース DCR を使用するマシン。 DCR にマシンを追加すると、マシンと DCR の間にデータ収集ルールの関連付け (DCRA) が作成されます。 それが作成された後で DCR を編集して、マシンを追加または削除できます。
データ ソース マシンから収集するデータの種類。 利用できるデータ ソースの一覧については、上の「データ ソース」をご覧ください。 各データ ソースには、独自の構成設定と、場合によっては前提条件があるため、詳細についてはそれぞれの記事をご覧ください。
宛先 データ ソースから収集されたデータの送信先。 DCR に複数のデータ ソースがある場合は、それらを個別の宛先に送信でき、1 つのデータ ソースからのデータを複数の宛先に送信できます。 Log Analytics ワークスペースのテーブルなど、各データ ソースの送信先について詳しくは、各データ ソースの記事をご覧ください。

Azure portal を使用して DCR を作成する方法の詳細な手順については、「データ収集ルールを作成する」を参照してください。

操作を検証する

DCR を作成してマシンに関連付けたら、Log Analytics ワークスペースでクエリを実行して、エージェントが動作していることとデータが収集されていることを確認できます。

エージェントの動作を確認する

Log Analytics で次のクエリを実行し、Heartbeat テーブルにレコードがあるかどうかを調べて、エージェントが動作し、正常に通信していることを検証します。 各エージェントからこのテーブルにレコードが 1 分ごとに送信されている必要があります。

Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc

レコードが受信されていることを確認する

エージェントがインストールされ、新規または変更された DCR の実行が開始されるまで、数分かかります。 その後、Log Analytics ワークスペース内の書き込み先テーブルを調べて、各データ ソースからレコードが受信されていることを確認します。 たとえば、次のクエリは、Event テーブル内の Windows イベントをチェックします。

Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

トラブルシューティング

想定どおりにデータが収集されていない場合は、次の手順のようにします。

  • エージェントがマシンにインストールされて動作していることを確認します。
  • 問題が発生しているデータ ソースについての記事のトラブルシューティングに関するセクションを参照してください。
  • DCR の監視を有効にするには、「Azure Monitor での DCR データ収集の監視とトラブルシューティング」をご覧ください。
    • メトリックを見て、データが収集されているかどうか、および削除されている行があるかどうかを判断します。
    • ログを見て、データ収集のエラーを確認します。

次のステップ