大規模なコンテナーの診断設定を構成する
Azure Backup によって提供されるレポート作成ソリューションは、ログ分析 (LA) を活用します。 特定のコンテナーのデータを LA に送信するには、そのコンテナーに対して 診断設定 を作成する必要があります。
多くの場合、資格情報コンテナーごとに手動で診断設定を追加することは面倒なタスクです。 また、作成された新しいコンテナーでも、このコンテナーのレポートを表示するには、診断設定を有効にする必要があります。
(同期先としての LA を使用した) 大規模な診断設定の作成を簡単にするために、Azure Backup には、組み込みの Azure Policyが用意されています。 このポリシーは、特定のサブスクリプションまたはリソース グループ内のすべてのコンテナーにLA診断設定を追加します。 次のセクションでは、このポリシーの使用方法について説明します。
サポートされるシナリオ
このポリシーは、特定のサブスクリプション (またはサブスクリプション内のリソース グループ) 内のすべての Recovery Services コンテナーに一度に適用することができます。 ポリシーを割り当てるユーザーは、ポリシーが割り当てられているサブスクリプションへの所有者アクセス権を持っている必要があります。
ユーザーによって指定された LA ワークスペース (ここに診断データが送信されます) は、ポリシーが割り当てられているコンテナーとは別のサブスクリプションにあってもかまいません。 ユーザーは、指定された LA ワークスペースが存在するサブスクリプションへの閲覧者、共同作成者、または所有者のアクセス権を持っている必要があります。
管理グループのスコープは、現在サポートされていません。
Note
以下のセクションで説明されている機能には、バックアップ センター経由でもアクセスできます。 バックアップ センターは、Azure における単一の統合管理エクスペリエンスです。 それを使用して、企業は大規模なバックアップを管理、監視、運用、分析することができます。 このソリューションを使用すると、個々のコンテナーのスコープに限定されずに、主なバックアップ管理操作のほとんどを実行できます。
組み込みポリシーをスコープに割り当てる
必要なスコープのコンテナーにポリシーを割り当てるには、次の手順に従ってください。
Azure portal にサインインし、 [バックアップ センター] ダッシュボードに移動します。
左側のメニューの [バックアップ用の Azure ポリシー] を選択して、Azure リソース全体にわたるすべての組み込みポリシーの一覧を取得します。
[リソース固有のカテゴリの Log Analytics ワークスペースに Recovery Services コンテナーの診断設定をデプロイする] という名前のポリシーを検索します。
ポリシーの名前を選択します。 このポリシーの詳細な定義にリダイレクトされます。
ペインの上部にある [割り当て] ボタンを選択します。 これにより、 [ポリシーの割り当て] ペインにリダイレクトされます。
[基本] で、 [スコープ] フィールドの横にある 3 つのドットを選択します。 これにより、適切なコンテキスト ペインが開き、そこでポリシーを適用するサブスクリプションを選択できます。 必要に応じて、リソース グループを選択して、特定のリソース グループ内のコンテナーに対してのみポリシーが適用されるようにすることもできます。
[パラメーター] で、次の情報を入力します。
[プロファイル名] - ポリシーによって作成された診断設定に割り当てられる名前。
Log Analytics ワークスペース - 診断設定関連付けられたLog Analytics ワークスペース。 ポリシー割り当てのスコープ内にあるすべてのコンテナーの診断データは、指定された LA ワークスペースにプッシュされます。
除外タグ名 (省略可能) と除外タグ値 (省略可能) - 特定のタグ名と値を含むコンテナーをポリシー割り当てから除外するように選択できます。 たとえば、タグ 'isTest' が値 'yes' に設定されているコンテナーに診断設定が追加されないようにする場合は、 [除外タグ名] フィールドに「isTest」、 [除外タグ値] フィールドに「yes」と入力する必要があります。 これらの 2 つのフィールドのいずれか (または両方) が空のままになっていると、含まれているタグには関係なく、このポリシーは関連するすべてのコンテナーに適用されます。
修復タスクを作成する - ポリシーがスコープに割り当てられると、そのスコープ内に作成された新しいタスク作成するコンテナーによって、自動的に LA 診断設定が構成されます (コンテナーの作成時点から 30 分以内)。 スコープ内の既存のコンテナーに診断設定を追加するには、ポリシーの割り当て時に修復タスクをトリガーできます。 修復タスクをトリガーするには、 [修復タスクを作成] チェックボックスをオンにします。
[確認および作成] タブに移動し、 [作成] を選択します。
どのような条件で修復タスクがコンテナーに適用されますか?
修復タスクは、ポリシーの定義に従って非準拠であるコンテナーに適用されます。 次のいずれかの条件を満たしている場合、コンテナーは非準拠になります。
- コンテナーの診断設定が存在しない。
- コンテナーの診断設定は存在するが、LA を送信先としてリソース固有のイベントのすべてが有効になっており、かつトグルで [リソース固有] が選択されている設定が 1 つもない。
そのため、ユーザーのコンテナーで AzureDiagnostics モード (これはバックアップ レポートでサポートされています) で AzureBackupReport イベントが有効になっている場合でも、今後はリソース固有モードが診断設定を作成するための推奨される方法であるため、修復タスクは引き続きこのコンテナーに適用されます。
さらに、ユーザーのコンテナーで 6 つのリソース固有のイベントのサブセットしか有効になっていない場合は、バックアップ レポートが期待どおりに動作するのは 6 つのリソース固有のイベントのすべてが有効になっている場合だけであるため、修復タスクはこのコンテナーに適用されます。
Note
コンテナーに既存の診断設定があり、リソース固有のサブセットカテゴリが有効になっていて、特定の LA ワークスペースにデータを送信するように設定されている場合で、ポリシー割り当てで指定されたコピー先の LA ワークスペースが同じ「ワークスペース X」の場合、ワークスペース名を「ワークスペース X」とすると、修復タスクは失敗します(そのコンテナーのみ)。
これは、同じリソースに対して 2 つの異なる診断設定によって有効にされたイベントが、何らかの形式で 重複 している場合に、設定がコピー先と同じ LA ワークスペースを持つことができないためです。 関連するコンテナーに移動し、別の LA ワークスペースでコピー先として診断設定を構成することにより、このエラーを手動で解決する必要があります。
既存の診断設定が、ワークスペース X で変換先として有効になっている場合にのみ、修復 タスクは失敗しない ことにご注意ください。この場合、既存の設定によって有効になっているイベントと、修復タスクによって作成された設定によって有効になったイベントとの間で重複が発生しないためです。