自由気ままに書いちゃおう

好きなことをつらつらと・・・

Azure MonitorとLogAnalyticsについて

前回の記事で少し触れていますが、
今回はAzure MonitorとLogAnalyticsを中心に書いていこうと思います。

↓前回の記事↓

www.guri2o1667.work

 

■Azure Monitorとは?


Azure Monitorは複数のサービスを統合しているものであり、言わば総称です。
具体的には下図の通りですが、正直これだけみてもイメージしづらいと思います。
※ググるとこの画像が最初の方に表示されますが、イマイチ、イメージしづらい・・・

ですので、まずは「Azure Monitorに含まれる各サービスで分析とか監視ができるんだな」程度で大丈夫です。

f:id:guri2o1667:20200321093551p:plain

 掲載元: https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview#monitoring-data-platform

■Metrics(メトリック)とLogs(ログ)について


上の図の真ん中に記載されているMetricsとLogsについてです。
両方とも収集したデータの格納先を意味していますが、
ここでは用語の整理をしておきます。

f:id:guri2o1667:20200321094543p:plain

■使用頻度が高そうなもののみ抜粋


上の図を抜粋して使用頻度が高そうなものを表形式にまとめたものが以下です。
どのサービスを使用すると何ができるかをイメージしやすくなっていれば幸いです。

この内容を基に、
LogAnalyticsの使い方やアラートの作成方法を本記事で紹介いたします。

f:id:guri2o1667:20200321095223p:plain

 

■Azure Monitorへのアクセス方法


Azure Monitorへのアクセス方法を先に紹介します。
※紹介し忘れそうですので、このタイミングで。

Azureポータルの検索ウィンドウから「モニター」で検索すると、「モニター」と表示されるため、それをクリックします。

f:id:guri2o1667:20200321092215p:plain

■LogAnalyticsを使用した監視方法について


ここでは、「仮想マシンのOS停止を検知したらメールを送信する」ための手順を紹介します。
大まかな流れをは以下の通りです。

① LogAnalyticsワークスペースを作成
  ⇒ 仮想マシンから収集したデータが格納される入れ物(=ワークスペース)を作成します。

② ①で作成したLogAnalyticsワークスペースに仮想マシンを接続する
  ⇒ 接続完了すると、仮想マシンの各種ログを取得するための準備が整ったことになります。


③ 仮想マシンから収集したいデータを指定します。
  ⇒ 上記②では接続のみのため、収集したいデータを具体的に指定する必要があります。
    ここでは、「死活監視データ」を収集対象とします。

④ アラートルールとアクショングループを登録します。
  ⇒ アラートルールとは上記④で作成したアクショングループが実行される契機を指定します。例えば、「死活監視のデータが取得できなくなったら、アラートメールを送信する」場合には、「死活監視のデータが取得できなくなったら」の部分が契機にあたります。

  ⇒ アクショングループとは、「こういうことをしたい」と思うことを纏めておくグループです。今回の場合ですと、「アラートを検知した際にメールを送りたい」となります。

 では、以下から早速作成手順を記載します。

■①LogAnalyticsワークスペースを作成


1.LogAnalyticsワークスペースをクリックします。

f:id:guri2o1667:20200321133723p:plain


2.「追加」をクリックします。

f:id:guri2o1667:20200321133813p:plain


3.必要事項を記入し、画面下の「OK」をクリックします。
※ワークスペース名は世界で一意である必要があります。重複している場合には警告表示となります。緑チェックであればOKです。
※作成完了までに1分程度。ただし、LogAnalyticsワークスペースに作成したワークスペースが表示されるまでに3分程度かかります。

f:id:guri2o1667:20200321134129p:plain

4.作成したLogAnalyticsワークスペースをクリックします。

5.監視したい仮想マシンを起動しておきます。
※仮想マシンが起動していないと、後続作業が失敗します。


■②作成したLogAnalyticsワークスペースに仮想マシンを接続する


1.「LogAnalyticsワークスペース」の「ワークスペースのデータソース」>「仮想マシン」をクリックします。

f:id:guri2o1667:20200321140016p:plain

2.右ペインに監視対象となる仮想マシンが表示されていることを確認します。
※LogAnalyticsワークスペースと仮想マシンが接続前のため、「LogAnalytics接続」列は「接続されていません」と表示されますが、問題ありません。

f:id:guri2o1667:20200321140149p:plain

3.監視対象となる仮想マシンをクリックし、「接続」をクリックします
※接続が完了するまで、10分程度かかります。

f:id:guri2o1667:20200321141013p:plain

4.接続が完了すると、以下のように「状態」が「このワークスペース」と表示されます。「このワークスペース」と表示されていることを確認します。

f:id:guri2o1667:20200321141035p:plain

 

f:id:guri2o1667:20200321141108p:plain


■③仮想マシンから収集したいデータを指定します
1.LogAnalyticsワークスペースの「詳細設定」をクリックします。

f:id:guri2o1667:20200321141230p:plain

2.以下が表示されることを確認し、「Data」をクリックします。

f:id:guri2o1667:20200321141400p:plain


3.収集したいデータを選択、もしくは設定します。
  尚、仮想マシンを接続した時点でデフォルトで仮想サーバの死活監視データが1分間隔で取得されています
  そのため、ここでは追加設定は行う必要はありません。
  Windowsイベントログやパフォーマンスカウンターを取得する方法は、機会があれば、記載しようと思います。
  

■④アラートルールとアクショングループ

を登録します。


アラートルールを登録します。
ここでは、OS停止を検知したいため、死活監視を行うための設定をします。

1.「モニター」をクリックします。
※画像は本記事の冒頭で記載済みのため割愛

2.左ペインの「ログ」をクリックします。

f:id:guri2o1667:20200321142308p:plain

3.以下の通り入力します。
※Computer == "仮想マシン名"とし、仮想マシン名は各自の環境に合わせてください。

f:id:guri2o1667:20200321142513p:plain

4.「実行」をクリックします。
※収集データが画面下に表示されることを確認します。
 収集データが表示されない場合、Computer名が間違っている可能性が高いため、
 Hearbeatのみ記載した状態で再度「実行」をクリックしてみてください。
 そうすることで、取得対象の仮想マシンのComputer名が表示可能です。

f:id:guri2o1667:20200321142627p:plain


5.「新しいアラートルール」をクリックします。
 上記4で期待通りの死活監視データが表示されていることを確認しています。そのため、この死活監視データを利用してアラートルールを新規作成します。

f:id:guri2o1667:20200321142848p:plain


6.「条件」欄を入力するため、下図赤枠のところをクリックします。

f:id:guri2o1667:20200321143138p:plain


7.「アラートロジック」と「評価基準」を次の通り入力し「完了」をクリックします。
■作業前

f:id:guri2o1667:20200321143300p:plain


■作業後
死活監視はOS起動を意味する「1」を1分ごとに収集しておりますので、
しきい値は「1」より小さいを指定しています。

f:id:guri2o1667:20200321143355p:plain


8.「アクショングループ」欄で「作成」をクリックし、必要事項を入力し「OK」をクリックします。

f:id:guri2o1667:20200321143621p:plain

■作業前

f:id:guri2o1667:20200321143741p:plain

■作業後

f:id:guri2o1667:20200321143915p:plain

9.「アクションをカスタマイズする」欄で「メールの件名」に任意の文字列を入力します。
※ここでは、「死活監視NGを検知」としています。

f:id:guri2o1667:20200321144129p:plain

10.「アラートの詳細」欄で任意の文字列を入力します。
※私は以下のように入力しております。

f:id:guri2o1667:20200321144318p:plain

11.「アラートルールの作成」をクリックします。

f:id:guri2o1667:20200321144340p:plain



12.アラートメールが飛んでくることを確認するために、OSを停止します。


13.OS停止を検知すると以下のようなメールが、送信先に指定したアドレスに飛んできます。

f:id:guri2o1667:20200321144647p:plain



以上です。詳細を割愛している為、別の機会に説明できれば書きたいと思います。