Log Analyticsを利用した仮想マシンの監視と検知の仕組みを実装するまでのステップを、検証・解説していくシリーズのPart.2となります。
今回は、構成の紹介と検知実装までの準備編となります。
前回の記事は以下をご参照ください。
構成概要図
監視対象となる仮想マシンはAzure Market Placeより、以下のイメージを基に用意しました。
- Windows Server 2022 Datacenter x64 Gen2
- Ubuntu 24.04 LTS x64 Gen
全体的な構成図は以下としました。
以降にて、上図赤枠内の箇所の作成を進めていきます。
リソース作成
それでは、具体的な実装に向けた準備を進めていきます。
※キャプチャ画像は本記事作成時点のものとなります。
Log Analyticsワークスペースの作成
まずはmデータを集める土台となるLog Analyticsワークスペースを作成します。
1.検索画面から「Log Analytics」を選択します。
2.「+ 作成」をクリックして、新しいワークスペースを作成します。
3.「サブスクリプション」と「リソースグループ」を選択し、「ワークスペース名」を入力、「リージョン」を選択します。
4.「タグ」は任意で付与してください。確認し、問題なければ「作成」をクリックして完了です。
データの収集設定
次に、実際に収集するデータの設定を行います。
監視対象ログの選定
はじめに、収集したいデータを特定します。監視を目的としているため、以下のデータを収集対象とします。
- Windows イベントログ/Linuxシステムログ(ログ監視目的)
- パフォーマンスカウンター(リソース監視目的)
データ収集ルールの設定
1.検索画面から「データ収集ルール」を選択します。
2.「+ 作成」をクリックして、新しいデータ収集ルールを作成します。
3.「ルール名」を入力します。WindowsとLinuxによってルールを分ける必要があるため、区別がつく名前とします。
4.「サブスクリプション」、「リソースグループ」、「リージョン」を選択します。
5.「プラットフォームの種類」は、対象となるリソースのOSに合わせて選択します。今回はWindows用とLinux用にそれぞれ選択したものを作成します。
6.「リソース」タブにて、「+リソースの追加」を選択し、対象となるリソースを選択して、「適用」を選択します。
7.「収集と配信」タブにて「+データソースの追加」を選択します。以下、WindowsとLinuxにて設定が異なるため、分けて表記します。
Windowsの場合は、「Windows イベントログ」を選択し、取得対象となるログの種類とレベルを選択します。今回はシステムログのエラーとクリティカルを選択しました。
Linuxの場合は、「Linux Syslog」を選択し、取得対象となるログの種類と最低ログレベルを選択します。
今回はSYSLOGを対象とし、最低ログレベルはERRとしました。
8.ターゲットにて、「Azure Monitor Log」を選択します。「サブスクリプション」と「宛先の詳細」は、先ほど作成したLogAnalytics Workspaceを選択します。選択後、「データソースの追加」を選択します。
9.続けて「+データソースの追加」を選択します。「データソースの種類」は「パフォーマンスカウンター」を選択します。以下、WindowsとLinuxにて設定が異なるため、分けて表記します。
Windowsでの設定例です。設定値はデフォルトとしました。サンプルレートは取得頻度となりますので、監視頻度も以下設定に依存することを前提としてください。
Linuxでの設定例です。こちらも設定値はデフォルトとしました。
10.ターゲットの設定は先ほどと同様です。
11.「タグ」は任意で付与してください。確認し、問題なければ「作成」をクリックして完了です。
簡易確認
ここまで完了したら、データが収集出来ているか確認したいと思います。
作成したLogAnalytics Workspaceから「ログ」を選択し、クエリを入力して実行します。
※詳細な使い方は次回以降に解説します。
データが収集されていることが確認できました。
まとめ
以上が、Azureで仮想マシンの監視と検知を行うための構成の紹介と、検知実装までの準備でした。
次回は実際のデータ分析と検知設定の方法についてご紹介する予定です。この機会にAzureの強力な機能を存分に活用してみてください。
それでは、また次回お会いしましょう!
