Azure Monitor エージェントを使用してデータを収集する
Azure Monitor エージェント (AMA) は、Azure Virtual Machines、Virtual Machine Scale Sets、Arc 対応サーバーからデータを収集するために使われます。 データ収集ルール (DCR) で、エージェントから収集するデータとそのデータを送信する場所を定義します。 この記事では、Azure portal を使ってさまざまな種類のデータを収集する DCR を作成する方法と、必要なマシンにエージェントをインストールする方法について説明します。
Azure Monitor を初めて使う場合、または基本的なデータ収集要件がある場合は、Azure portal とこの記事のガイダンスを使って、すべての要件を満たすことができます。 変換などの他の DCR 機能を利用したい場合は、他の方法を使って DCR を作成するか、ポータルで作成した後で編集することが必要になる場合があります。 CLI、PowerShell、ARM テンプレート、または Azure Policy を使ってデプロイしたい場合は、別の方法を使って DCR を管理し、関連付けを作成することもできます。
Note
テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
警告
次の場合は、重複するデータが収集され、追加料金が発生する可能性があります。
- 同じデータ ソースで複数の DCR を作成し、それらを同じエージェントに関連付ける。 それぞれで一意のデータが収集されるように、DCR 内でデータをフィルター処理してください。
- セキュリティ ログを収集する DCR を作成し、同じエージェントに対して Sentinel を有効にする。 この場合、Event テーブルと SecurityEvent テーブルで同じイベントを収集できます。
- 同じマシンで Azure Monitor エージェントと従来の Log Analytics エージェントの両方を使う。 エージェントを一方から他方に移行する期間だけに、重複するイベントを制限します。
データ ソース
下の表に、現在 Azure Monitor エージェントで収集できるデータの種類と、そのデータを送信できる場所を示します。 それぞれのリンクは、そのデータ ソースの構成方法の詳細を説明する記事へのリンクです。 この記事に従って DCR を作成してリソースに割り当てた後、リンク先の記事に従ってデータ ソースを構成します。
データ ソース | 説明 | クライアント OS | Destinations |
---|---|---|---|
Windows イベント | Windows イベント ログ システムに送信される情報 (sysmon イベントなど)。 | Windows | Log Analytics ワークスペース |
パフォーマンス カウンター | オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値。 | Windows Linux |
Azure Monitor メトリック (プレビュー) Log Analytics ワークスペース |
Syslog | Linux イベント ログ システムに送信される情報。 | Linux | Log Analytics ワークスペース |
テキスト ログ | ローカル ディスクのテキスト ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
JSON ログ | ローカル ディスクの JSON ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
IIS ログ | インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します | Windows | Log Analytics ワークスペース |
Note
Azure Monitor エージェントでは、現在一般公開されている Azure サービスの SQL ベスト プラクティス アセスメントもサポートされています。 詳細については、「Azure Monitor エージェントを使用してベスト プラクティス アセスメントを構成する」を参照してください。
前提条件
- ワークスペースにデータ収集ルール オブジェクトを作成するためのアクセス許可。
- その他の前提条件については、各データ ソースについての説明記事をご覧ください。
概要
Azure portal で DCR を作成するときは、一連のページを移動しながら、指定したマシンからデータを収集するために必要な情報を提供します。 次の表では、各ページで指定する必要がある情報について説明します。
セクション | 説明 |
---|---|
リソース | DCR を使用するマシン。 DCR にマシンを追加すると、マシンと DCR の間にデータ収集ルールの関連付け (DCRA) が作成されます。 それが作成された後で DCR を編集して、マシンを追加または削除できます。 |
データ ソース | マシンから収集するデータの種類。 利用できるデータ ソースの一覧については、上の「データ ソース」をご覧ください。 各データ ソースには、独自の構成設定と、場合によっては前提条件があるため、詳細についてはそれぞれの記事をご覧ください。 |
宛先 | データ ソースから収集されたデータの送信先。 DCR に複数のデータ ソースがある場合は、それらを個別の宛先に送信でき、1 つのデータ ソースからのデータを複数の宛先に送信できます。 Log Analytics ワークスペースのテーブルなど、各データ ソースの送信先について詳しくは、各データ ソースの記事をご覧ください。 |
Azure portal を使用して DCR を作成する方法の詳細な手順については、「データ収集ルールを作成する」を参照してください。
操作を検証する
DCR を作成してマシンに関連付けたら、Log Analytics ワークスペースでクエリを実行して、エージェントが動作していることとデータが収集されていることを確認できます。
エージェントの動作を確認する
Log Analytics で次のクエリを実行し、Heartbeat テーブルにレコードがあるかどうかを調べて、エージェントが動作し、正常に通信していることを検証します。 各エージェントからこのテーブルにレコードが 1 分ごとに送信されている必要があります。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
レコードが受信されていることを確認する
エージェントがインストールされ、新規または変更された DCR の実行が開始されるまで、数分かかります。 その後、Log Analytics ワークスペース内の書き込み先テーブルを調べて、各データ ソースからレコードが受信されていることを確認します。 たとえば、次のクエリは、Event テーブル内の Windows イベントをチェックします。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
トラブルシューティング
想定どおりにデータが収集されていない場合は、次の手順のようにします。
- エージェントがマシンにインストールされて動作していることを確認します。
- 問題が発生しているデータ ソースについての記事のトラブルシューティングに関するセクションを参照してください。
- DCR の監視を有効にするには、「Azure Monitor での DCR データ収集の監視とトラブルシューティング」をご覧ください。
- メトリックを見て、データが収集されているかどうか、および削除されている行があるかどうかを判断します。
- ログを見て、データ収集のエラーを確認します。
次のステップ
- Azure Monitor エージェントを使用してテキスト ログを収集します。
- Azure Monitor エージェントの詳細を理解します。
- データ収集ルールの詳細を確認します。