トップ > Azure > 【Azure】プライベート接続でLog Analyticsを活用する(構築編)

【Azure】プライベート接続でLog Analyticsを活用する(構築編)

Azure Azure Monitor AMPLS Azure Log Analytics Microsoft

前回は、Log Analyticsをプライベートエンドポイント経由で利用する方法について説明しました。

blog.jbs.co.jp

今回は、実際にAzure Monitor Private Link Scope(以下、AMPLS)を設定する手順をご紹介いたします。

作成するリソース

本記事では、プライベート接続でLog Analyticsを活用するために必要な以下のリソースを作成する手順を記載いたします。

  • AMPLS
  • プライベートエンドポイント
  • データ収集エンドポイント
  • データ収集ルール

事前準備

本記事の手順は、以下のリソースが既に作成されていることを前提とします。

  • Log Analyticsワークスペース
  • Azure Virtual Network(VNet)
  • VM(VNet内に配置済み)

AMPLSの作成

AMPLSとは?

AMPLS(Azure Monitor Private Link Scope)は、Azure Monitorの各種サービス(Log Analytics、Application Insightsなど)とプライベート接続を確立するためのリソースです。

手順

  1. Azureポータルの検索バーに「Azure Monitor Private Link」と入力し、「Azure Monitor Private Linkスコープ」を選択します。

  2. 画面左上の「+作成」をクリックします。

  3. リソースグループとリソース名を設定し、「次:タグ」をクリックします。

  4. 必要に応じてタグを設定し、「次:Review+create」をクリックします。

  5. 設定内容を確認し、「作成」をクリックします。

プライベートエンドポイントの作成

手順

  1. Azureポータルの検索バーに「Azure Monitor Private Link」と入力し、「Azure Monitor Private Linkスコープ」を選択します。
  2. 作成したAMPLSを選択します。

  3. 左ペインより、「構成」-「プライベートエンドポイント接続」を選択します。

  4. 「+プライベートエンドポイント」をクリックします。

  5. リソース名を設定し、「次:リソース」をクリックします。

  6. リソースの種類にて「Microsoft.Insights/privateLinkScopes」を選択し、リソースでは、作成したAMPLSを選択し、「次:仮想ネットワーク」をクリックします。

  7. 仮想ネットワーク、サブネットを設定し、「次:DNS」をクリックします。

  8. 既定値のまま「次:タグ」をクリックします。

  9. 必要に応じてタグを設定し、「次:確認および作成」をクリックします。

  10. 設定内容を確認し、「作成」をクリックします。

データ収集エンドポイントの作成

データ収集エンドポイントの役割

データ収集エンドポイントは、Azure Monitorの各種サービス(Log AnalyticsやApplication Insightsなど)へのデータ送信を制御する重要な機能です。特に、AMPLS(Azure Monitor Private Link Scope)を利用する場合には必須の設定となります。

デフォルトの状態だと、Azureのリソースはインターネット経由でLog Analyticsにデータを送信します。セキュリティを強化し、通信経路を制御するためには、データ収集エンドポイントを設定してAMPLS経由での送信を強制する必要があります。

手順

  1. Azureポータルの検索バーに「データ収集エンドポイント」と入力し、「データ収集エンドポイント」を選択します。

  2. 画面左上の「+作成」をクリックします。

  3. リソース名、リソースグループ、リージョンを設定し、「次:タグ」をクリックします。

  4. 必要に応じてタグを設定し、「次:確認と作成」をクリックします。

  5. 設定内容を確認し、「作成」をクリックします。

  6. Azureポータルの検索バーに「Azure Monitor Private Link」と入力し、「Azure Monitor Private Linkスコープ」を選択します。
  7. 作成したAMPLSを選択します。

  8. 左ペインより、「構成」-「Azure Monitorリソース」を選択します。

  9. 画面左上の「+追加」を選択します。

  10. 作成したデータ収集エンドポイントを選択し、「適用」をクリックします。

データ収集ルール(DCR)の作成

データ収集ルール(DCR)とは?

データ収集ルール(DCR: Data Collection Rules)は、Azure Monitorにおいてどのリソースから、どのデータを、どのように収集するのかを定義する仕組みです。

手順

  1. Azureポータルの検索バーに「データ収集ルール」と入力し、「データ収集ルール」を選択します。

  2. 画面左上の「+作成」をクリックします。

  3. リソース名、リソースグループ、リージョン、プラットフォームの種類、データ収集エンドポイントを設定し、「次へ:リソース」をクリックします。プラットフォームは、ログやメトリクス収集対象のVMのOSに合わせて選択します。データ収集ポイントは、作成したデータ収集エンドポイントを選択します。

  4. 「+リソースの追加」をクリックします。

  5. ログやメトリクス収集対象のVMを選択し、「適用」をクリックします。

  6. 「データ収集エンドポイントを有効にする」にチェックを付け、追加したVMの「データ収集エンドポイント」のプルダウンを展開し、作成したデータ収集エンドポイントを選択します。その後、「次へ:収集と配信」をクリックします。

  7. 「+データソースの追加」をクリックし、データソースの種類のプルダウンを展開し、収集するログの種類を選択し、収集対象とするログのレベルを構成します。その後、「次へ:ターゲット」をクリックします。

  8. 宛先の詳細のプルダウンを展開し、作成したLog Analyticsワークスペースを選択し、「データソースの追加」をクリックします。

  9. 「次へ:タグ」をクリックします。

  10. 必要に応じてタグを設定し、「次へ:確認と作成」をクリックします。

  11. 設定内容を確認し、「作成」をクリックします。

まとめ

今回は、プライベート接続でLog Analyticsを活用するためのAMPLS関連の構築手順をご紹介いたしました。

次回は、構築した環境を使用して、VMのログやメトリクスがインターネットに接続せず、プライベートネットワークを経由して正しく収集されることを確認します。

執筆担当者プロフィール
神田 皓貴

神田 皓貴(日本ビジネスシステムズ株式会社)

クラウドソリューション事業本部所属。AWSを中心としたクラウドインフラに携わっています。

担当記事一覧