Azure Monitor エージェントを使用してデータを収集する
Azure Monitor エージェント (AMA) は、Azure Virtual Machines、Virtual Machine Scale Sets、Arc 対応サーバーからデータを収集するために使われます。 データ収集ルール (DCR) で、エージェントから収集するデータとそのデータを送信する場所を定義します。 この記事では、Azure portal を使ってさまざまな種類のデータを収集する DCR を作成する方法と、必要なマシンにエージェントをインストールする方法について説明します。
Azure Monitor を初めて使う場合、または基本的なデータ収集要件がある場合は、Azure portal とこの記事のガイダンスを使って、すべての要件を満たすことができます。 変換などの他の DCR 機能を利用したい場合は、他の方法を使って DCR を作成するか、ポータルで作成した後で編集することが必要になる場合があります。 CLI、PowerShell、ARM テンプレート、または Azure Policy を使ってデプロイしたい場合は、別の方法を使って DCR を管理し、関連付けを作成することもできます。
Note
テナント間でデータを送信するには、まず Azure Lighthouse を有効にする必要があります。
警告
次の場合は、重複するデータが収集され、追加料金が発生する可能性があります。
- 同じデータ ソースで複数の DCR を作成し、それらを同じエージェントに関連付ける。 それぞれで一意のデータが収集されるように、DCR 内でデータをフィルター処理してください。
- セキュリティ ログを収集する DCR を作成し、同じエージェントに対して Sentinel を有効にする。 この場合、Event テーブルと SecurityEvent テーブルで同じイベントを収集できます。
- 同じマシンで Azure Monitor エージェントと従来の Log Analytics エージェントの両方を使う。 エージェントを一方から他方に移行する期間だけに、重複するイベントを制限します。
データ ソース
下の表に、現在 Azure Monitor エージェントで収集できるデータの種類と、そのデータを送信できる場所を示します。 それぞれのリンクは、そのデータ ソースの構成方法の詳細を説明する記事へのリンクです。 この記事に従って DCR を作成してリソースに割り当てた後、リンク先の記事に従ってデータ ソースを構成します。
| データ ソース | 説明 | クライアント OS | Destinations |
|---|---|---|---|
| Windows イベント | Windows イベント ログ システムに送信される情報 (sysmon イベントなど)。 | Windows | Log Analytics ワークスペース |
| パフォーマンス カウンター | オペレーティング システムとワークロードのさまざまな側面のパフォーマンスを測定する数値。 | Windows Linux |
Azure Monitor メトリック (プレビュー) Log Analytics ワークスペース |
| Syslog | Linux イベント ログ システムに送信される情報。 | Linux | Log Analytics ワークスペース |
| テキスト ログ | ローカル ディスクのテキスト ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
| JSON ログ | ローカル ディスクの JSON ログ ファイルに送信される情報。 | Windows Linux |
Log Analytics ワークスペース |
| IIS ログ | インターネット インフォメーション サービス (IIS) は、Windows マシンのローカル ディスクからログを記録します | Windows | Log Analytics ワークスペース |
Note
Azure Monitor エージェントでは、現在一般公開されている Azure サービスの SQL ベスト プラクティス アセスメントもサポートされています。 詳細については、「Azure Monitor エージェントを使用してベスト プラクティス アセスメントを構成する」を参照してください。
前提条件
- ワークスペースにデータ収集ルール オブジェクトを作成するためのアクセス許可。
- その他の前提条件については、各データ ソースについての説明記事をご覧ください。
データ収集ルール (DCR) を作成する
Azure portal には、Virtual Machines と Virtual Machine Scale Sets の DCR を作成するためのシンプル エクスペリエンスが用意されています。 この方法を使用すると、変換などの高度な機能を実装する場合を除き、DCR の構造を理解する必要はありません。 「Azure Monitor でデータ収集ルール (DCR) を作成する」で説明されている他の作成方法を使うこともできます。
Azure portal の [監視] メニューで、[データ収集規則]>[作成] の順に選択して、DCR の作成ページを開きます。
![新しいデータ収集ルールの [作成] ボタンを示すスクリーンショット。](media/azure-monitor-agent-data-collection/create-data-collection-rule.png#lightbox)
[基本] ページには、DCR に関する基本情報が含まれています。
![新しいデータ収集ルールの [基本] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/basics-tab.png#lightbox)
| 設定 | 説明 |
|---|---|
| 規則の名前 | DCR の名前。 名前は、ルールを見分けるのに役立つわかりやすいものにする必要があります。 |
| サブスクリプション | DCR を格納するサブスクリプション。 サブスクリプションは、仮想マシンと同じサブスクリプションにする必要はありません。 |
| リソース グループ | DCR を格納するリソース グループ。 リソース グループは、仮想マシンと同じリソース グループにする必要はありません。 |
| リージョン | DCR を格納するリージョン。 リージョンは、DCR の送信先で使われる Log Analytics ワークスペースまたは Azure Monitor ワークスペースと同じリージョンである必要があります。 異なる複数のリージョンにワークスペースがある場合は、同じマシンのセットに関連付けられた複数の DCR を作成します。 |
| プラットフォームの種類 | DCR で使用できるデータ ソースの種類を指定します ([Windows] または [Linux])。 [なし] は両方に対応します。 1 |
| データ収集エンドポイント | データの収集に使われるデータ収集エンドポイント (DCE) を指定します。 DCE は、Azure Monitor のプライベート リンクを使っている場合にのみ必要です。 この DCE は、DCR と同じリージョンにある必要があります。 詳細については、「デプロイに基づくデータ収集エンドポイントの設定方法」を参照してください。 |
1 このオプションは、DCR の kind 属性を設定します。 この属性に設定できる値は他にもありますが、ポータルでは使用できません。
リソースを追加する
[リソース] ページでは、DCR に関連付けられる VM を追加できます。 [+ リソースの追加] を選んでリソースを選びます。 Azure Monitor エージェントがまだないリソースには自動的にインストールされ、マシンと DCR の間にデータ収集ルールの関連付け (DCRA) が作成されます。
重要
ポータルは、既存のユーザー割り当て ID と共に、ターゲット リソースでシステム割り当てマネージド ID を有効にします (該当する場合)。 既存のアプリケーションでは、ユーザー割り当て ID を要求で指定しない限り、マシンでは既定でシステム割り当て ID が代わりに使用されます。
![新しいデータ収集ルールの [リソース] タブを示すスクリーンショット。](media/azure-monitor-agent-data-collection/resources-tab.png#lightbox)
監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンに存在せず、DCE を必要とするデータの種類を収集している場合は、[データ収集エンドポイントを有効にする] を選んで、監視対象の各マシンのリージョンにあるエンドポイントを選びます。 監視対象のマシンが送信先の Log Analytics ワークスペースと同じリージョンにある場合、または DCE が必要ない場合は、[リソース] タブでデータ収集エンドポイントを選ばないでください。
データ ソースの追加
[収集と配信] ページでは、DCR のデータ ソースとそれぞれの送信先を追加および構成できます。
| 画面要素 | 説明 |
|---|---|
| データ ソース | [データ ソースの種類] を選択し、選択したデータ ソースの種類に基づいて関連フィールドを定義します。 各データ ソースの種類の構成について詳しくは、「データ ソース」の記事をご覧ください。 |
| 宛先 | データ ソースごとに 1 つ以上の送信先を追加します。 同じタイプまたは異なるタイプの送信先を複数選択できます。 たとえば、複数の Log Analytics ワークスペース (マルチホームとも呼ばれます) を選択できます。 サポートされているさまざまな送信先の各データの種類の詳細を参照してください。 |
1 つの DCR に、最大 10 個まで、複数の異なるデータ ソースを含めることができます。 同じ DCR で異なるデータ ソースを組み合わせることができますが、通常は、異なるデータ収集シナリオには異なる DCR を作成します。 DCR を整理する方法の推奨事項については、「Azure Monitor でのデータ収集ルールの作成と管理のベスト プラクティス」を参照してください。
Note
データ収集ルール ウィザードを使用してデータ収集ルールを作成したときに、データが宛先に送信されるまでに最大 5 分かかることがあります。
操作を検証する
DCR を作成してマシンに関連付けたら、Log Analytics ワークスペースでクエリを実行して、エージェントが動作していることとデータが収集されていることを確認できます。
エージェントの動作を確認する
Log Analytics で次のクエリを実行し、Heartbeat テーブルにレコードがあるかどうかを調べて、エージェントが動作し、正常に通信していることを検証します。 各エージェントからこのテーブルにレコードが 1 分ごとに送信されている必要があります。
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
レコードが受信されていることを確認する
エージェントがインストールされ、新規または変更された DCR の実行が開始されるまで、数分かかります。 その後、Log Analytics ワークスペース内の書き込み先テーブルを調べて、各データ ソースからレコードが受信されていることを確認します。 たとえば、次のクエリは、Event テーブル内の Windows イベントをチェックします。
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
トラブルシューティング
想定どおりにデータが収集されていない場合は、次の手順のようにします。
- エージェントがマシンにインストールされて動作していることを確認します。
- 問題が発生しているデータ ソースについての記事のトラブルシューティングに関するセクションを参照してください。
- DCR の監視を有効にするには、「Azure Monitor での DCR データ収集の監視とトラブルシューティング」をご覧ください。
- メトリックを見て、データが収集されているかどうか、および削除されている行があるかどうかを判断します。
- ログを見て、データ収集のエラーを確認します。
次のステップ
- Azure Monitor エージェントを使用してテキスト ログを収集します。
- Azure Monitor エージェントの詳細を理解します。
- データ収集ルールの詳細を確認します。