トップ > Microsoft Sentinel > Azure Monitor による Logic Apps の正常性監視

Azure Monitor による Logic Apps の正常性監視

Microsoft Sentinel Azure Logic Apps Azure Monitor

Microsoft Sentinel でアラート発報時の対応を自動化するために、 Logic Apps を利用することがあります。

ただ、そのために作成した Logic Apps が、意図しない形で動作が失敗するケースが考えられます。これは、テスト等で Logic Apps の動作確認を行ったとしても、完全に防ぐことは出来ません。

そのため、Logic Apps を実装する際は何らかの方法で動作の監視を行い、動作が失敗した場合に管理者へ通知を行うなど、素早く気づけるように構成する必要があります。

本記事では、Azure Monitor を活用し、Logic Apps の動作が失敗した場合に、自動的に管理者へメール通知をする方法をご紹介します。

構成イメージ

今回は、 Azure Monitor を利用して Logic Apps の監視を行います。



※ Azure Monitor による監視を行う場合、事前に Logic Apps を作成しておく必要があります。

アラートルールの作成

Azure Monitor より、 Logic Apps を監視するためのアラートルールを作成します。

  1. Azure Portal にて「モニター」を検索し、選択します。
  2. 「アラート」を選択します。

  3. 「+作成」を選択し、「アラートルール」を選択します。

  4. 「リソースの選択」にて、監視対象の Logic Apps を選び「適用」を選択します。

  5. 「スコープ」タブに選択した Logic Apps が表示されたことを確認し「条件」を選択します。

  6. 「シグナル名」にて「Runs Failed」を選択します。

  7. アラートロジックの値を設定します。今回は「ルックバック期間」を「1分」と設定し、他は既定値のまま「アクション」を選択します。*1
    ※ 今回の設定では、Logic Apps の実行結果を1分間隔で確認し、失敗していた場合にアラートが発報されます。

  8. Select actionsにて「Use action groups」を選択します。

  9. 「アクショングループの選択」を選択します。
  10. 「+アクショングループの作成」を選択します。

  11. 「基本」タブにて必要な値を入力し、「通知」を選択します。

  12. 通知タイプにて「電子メール/SMS メッセージ/プッシュ/音声」を選択します。

  13. 「電子メール」にチェックを入れ、通知先のメールアドレスを入力し「OK」を選択します。

  14. 「名前」を入力し、「アクション」を選択します。
    ※通知先の名称を入れることで管理が容易になります。(どこの宛先が含まれているか、など)

  15. 「アクション」タブは既定値のまま、「タグ」を選択します。

  16. 「タグ」タブは既定値のまま、「確認と作成」を選択します。
    ※任意の値で設定してください。

  17. 設定した内容の確認を行い、問題なければ「作成」を選択します。

  18. アラートルールの作成画面に戻るので、「詳細」を選択します。

  19. 「詳細」タブにて任意の「重大度」「アラートルール」「説明」を入力し、「タグ」を選択します。

  20. 「タグ」タブは既定値のまま、「確認および作成」を選択します。
    ※任意の値で設定してください。

  21. 設定内容を確認し、問題なければ「作成」を選択します。

  22. モニターのトップページより、「アラートルール」を選択します。

  23. 作成したアラートが存在し、状態が「有効」になっていることを確認します。

動作の確認

作成したアラートルールが正常に動作することを確認します。

今回は、Logic Apps を失敗させるために、事前にアクションをフロー内に組み込んでおきます。

  1. アラートルール作成時に選択した Logic Apps を編集し、「Teriminate」のアクションを追加し、「Status」を「Failed」に設定します。
  2.  Logic Apps を実行し、失敗させます。

  3. アラートルールが発報され、管理者に以下のメールが送信されます。

※ 動作確認が終わったら、Logic Apps を再度編集し、「Teriminate」のアクションを削除しておきます。

最後に

今回は、Logic Apps の動作が失敗した場合に、自動的に管理者へメール通知をする方法をご紹介しました。

Logic Apps の動作を監視することで迅速に実行失敗に気づき、必要な対処を行うことが可能になります。

Logic Apps の監視を検討する際に本記事が少しでも参考になればと思います。

今後も Microsoft Sentinel に関する内容をご紹介させていただければと思います。今回はご一読いただきありがとうございました。

*1:他にも、詳細にアラート発報を行う条件を選択することが可能です。

執筆担当者プロフィール
森田 侑紀仁

森田 侑紀仁(日本ビジネスシステムズ株式会社)

2020年度新卒入社。 主にMicrosoft Sentinel、Microsoft Defender for Endpointの設計・構築に携わっております。 趣味はドライブ・野球観戦(主に千葉ロッテ)です。

担当記事一覧