VM クライアント イベント ログを収集する

完了

Azure Monitor メトリックと VM insights のパフォーマンス カウンターは、パフォーマンスの異常を特定し、しきい値に達したときにアラートを生成するのに役立ちます。 ただし、検出した問題の根本原因を分析するには、ログ データを分析して、問題の原因または一因となったシステム イベントを確認する必要があります。 このユニットでは、Linux VM Syslog データを収集するように DCR を設定し、単純な Kusto 照会言語 (KQL) クエリを使用してログ データを Azure Monitor Log Analytics に表示します。

VM insights は、Azure Monitor エージェントのインストール、事前定義されたパフォーマンス カウンターを収集する DCR の作成、プロセスの依存関係のマッピング、事前構築済みのブックへのデータの表示を行います。 VM insights の DCR では収集されない VM パフォーマンス カウンターを収集したり、ログ データを収集したりする独自の DCR を作成できます。

Azure portal で DCR を作成する場合、さまざまなパフォーマンス カウンターとサンプリング レートから選択するか、カスタム パフォーマンス カウンターを追加することができます。 または、事前定義されたログの種類と重大度レベルのセットから選択するか、カスタム ログ スキーマを定義することができます。 1 つの DCR をサブスクリプション内の任意またはすべての VM に関連付けることができますが、さまざまな VM からさまざまな種類のデータを収集するために複数の DCR が必要になる場合があります。

ログ データを収集する DCR を作成する

Azure portal で、「モニター」を検索して選択し、Azure Monitor の [概要] ページに移動します。

Azure Monitor の概要ページを示すスクリーンショット。

データ収集エンドポイントを作成する

ログ データの送信先となるデータ収集エンドポイントが必要です。 エンドポイントを作成するには、次の手順を行います。

  1. Azure Monitor の左側のナビゲーション メニューにある [設定] で、[データ収集エンドポイント] を選択します。
  2. [データ収集エンドポイント] ページで、[作成] を選択します。
  3. [データ収集エンドポイントの作成] ページで、[名前] に「linux-logs-endpoint」と入力します。
  4. VM で使用されるものと同じ [サブスクリプション][リソース グループ][リージョン] を選択します。
  5. [確認および作成] を選択し、検証に成功したら [作成] を選択します。

データ収集ルールを作成する

イベント ログを収集する DCR を作成するには、次の手順を行います。

  1. Monitor の左側のナビゲーション メニューにある [設定] で、[データ収集ルール] を選択します。

  2. [データ収集ルール] ページで、VM insights で作成された DCR を確認できます。 [作成] を選択して、新しいデータ収集ルールを作成します。

    [作成] が強調表示されている [データ収集ルール] 画面のスクリーンショット。

  3. [データ収集ルールの作成] 画面の [基本] タブで、次の情報を指定します。

    • ルール名: 「collect-events-linux」と入力します。
    • [サブスクリプション][リソース グループ][リージョン]: VM と同じものを選択します。
    • プラットフォームの種類: [Linux] を選択します。
  4. [次へ: リソース] または [リソース] タブを選択します。

    [データ収集ルールの作成] 画面の [基本] タブのスクリーンショット。

  5. [リソース] 画面で、[リソースの追加] を選択します。

  6. [スコープの選択] 画面で、[monitored-linux-vm] VM を選択し、[適用] を選択します。

  7. [リソース] 画面で、[データ収集エンドポイントを有効にする] を選択します。

  8. [monitored-linux-vm][データ収集エンドポイント] で、作成した [linux-logs-endpoint] を選択します。

  9. [次へ: 収集と配信] または [収集と配信] タブを選択します。

    [データ収集ルールの作成] 画面の [リソース] タブのスクリーンショット。

  10. [収集と配信] タブで [データ ソースの追加] を選択します。

  11. [データ ソースの追加] 画面の [データ ソースの種類] で、[Linux Syslog] を選択します。

  12. [データ ソースの追加] 画面で、[次へ: 送信先] または [送信先] タブを選択し、[アカウントまたは名前空間] が、使用する Log Analytics ワークスペースと一致していることを確認します。 VM insights で設定された既定の Log Analytics ワークスペースを使用するか、別の Log Analytics ワークスペースを作成して使用することができます。

  13. [データ ソースの追加] 画面で、[データ ソースの追加] を選択します。

  14. [データ収集ルールの作成] 画面で、[確認と作成] を選択し、検証が成功したら [作成] を選択します。

    [データ収集ルールの作成] 画面で [確認と作成] が強調表示されているスクリーンショット。

ログ データを表示する

DCR で収集されたログ データは、KQL ログ クエリを使用して表示および分析できます。 VM で使用できるサンプル KQL クエリ セットはありますが、DCR で収集しているイベントを確認するクエリを作成できます。

  1. VM の [概要] ページで、左側のナビゲーション メニューの [監視] の下にある [ログ] を選択します。 Log Analytics で、スコープが VM に設定された空のクエリ ウィンドウが開きます。

    Azure Monitor の [概要] ページで左側のナビゲーションから [ログ] を選択して、ログ データにアクセスすることもできます。 必要に応じて、クエリ ウィンドウの上部にある [スコープの選択] を選択して、クエリのスコープを目的の Log Analytics ワークスペースと VM に設定します。

    Note

    Log Analytics を開くと、サンプル クエリを含む [クエリ] ウィンドウが開く場合があります。 ここでは、簡単なクエリを手動で作成するため、このウィンドウを閉じます。

  2. 空のクエリ ウィンドウで、「Syslog」と入力し、[実行] を選択します。 [時間範囲] 内で DCR によって収集されたすべてのシステム ログ イベントが表示されます。

  3. クエリの条件を絞り込むと、関心のあるイベントを特定できます。 たとえば、[SeverityLevel][警告] と表示されているイベントのみを表示できます。

    DCR によって Syslog から返されたイベントを示すスクリーンショット。

自分の知識をチェックする

1.

VM からイベント ログ データを収集するにはどうすればよいですか?

2.

DCR で収集されたログ データを表示するにはどうすればよいですか?