Azure でログ収集!(Log Analytics)
Azureでlogを収集!
■初めに
Azureの「Log Analytics」を使ってAzureVMのイベントログを収集し、メール発砲までの処理を行います。
※やってることは監視と似ていますがあくまでログの収集と分析のツールになります
■実践理由 :
1.今度の自社で行う「社外向け」勉強会で実践しようと思ったけど時間的な都合で断念したから。
限られた時間内ですべてを詰め込むのは難しい。。。
2.実際にやってみて調べてみたけど意外に少ない!この通りやればできますよっていう手順書的な物がなかった。(俺がダメってパターンかもしれないけど。。。(十中八九それっぽいOrz))
■準備するもの
・ Azure Portal
・ インターネット環境
・ AzureVM(インターネットに接続できること)
■Section 1 概要■
■1 「Log Analytics」 ってなに?
AzureのPaas。Azureのリソースからパフォーマンスやイベントログ、パッチ更新情報等様々な情報を収集しダッシュボードにて集約。閾値を設定してメールを発砲させたりすることができます。
まだ未検証だけど「オンプレミス環境」、「AWSリソース」にも今後できるらしい。
■2 今回やること
・ 「Log Analytics」の作成とソリューションの作成
・ イベントログの収集
・ エラー検知によるアラート発行!
※今回はこんな環境作ります
■Section 2 やりかた■
■1 「Log Analytics」の作成
これは簡単!ポータルから適当に入力して作成です!
1) 「Azure Portal」にログインし「新しいサービスの作成」をクリック
※左の「+」アイコン
2)「Market Place」より「Log Analytics」を指定し「作成」ボタンを押す
※検索バーに「Log Analytics」と入力し「Enterkey」!
3)以下入力し「OK」
※作成には3分程度かかります
※作成後はダッシュボードにワークスペースが存在していることを確認
| 項目 | 設定値 | 実際の設定 |
|---|---|---|
| 新規作成 | いづれかにチェック | チェック |
| 既存のものを使用する | いづれかにチェック | チェックなし |
| OMSワークスペース | 作成するワークスペース名 | EVTLOG |
| サブスクリプション | 自分のサブスクリプション | ※内緒 |
| 場所 | 自分のリージョン | ※内緒 |
| 価格レベル | 料金プラン | Free |
■補足 「ソリューション」の作成
「ワークスペース」内に「ソリューション」を追加することで収集をしたい内容を追加することができます。
注意: イベントログを取得するだけなら本手順は必要ありません。本手順は新たなログを取得したい時に使う内容です。
1)「Marketplace」より「Monitoring + Management」を選択する
2)「ActivityLog」を選択し「作成」を押す
3)以下入力し「作成」を押す
| 項目 | 内容 | 入力値 |
|---|---|---|
| OMS ワークスペース | ソリューションを追加するワークスペースを設定 | EVTLOG |
| OMS ワークスペースの設定 | 上記同様 | EVTLOG |
作成後↓
(画像縮小しています)
■2 「ワークステーション」に仮想マシンを接続
作成したワークステーションにログを取得する仮想マシンを接続します
1)「ワークスペースのデータソース」より「仮想マシン」を選択
2)ログを収集する「仮想マシン」を選択
3)「接続」をクリック
※10分程度かかります
※接続が完了したら初めてワークスペースに仮想マシンが接続された状態になります
4)「ワークスペースの概要」戻り「OMSポータル」をクリック
※Setingsの表示数が「1」になっていれば接続されています
※OMSポータルに反映されるまで10分程度は見てください
■補足 Azure Activity Logs
「Azure Activity Logs」はAzureの操作ログになります。AzureでのVM作成、削除更新等のアクションをログとして収集されます。今回のターゲットではありませんので割愛しますが、Azure内部で誰が何をやったかを追跡する際に使用できます
■3 「イベントログ」の収集
ようやく本題です。接続させたVMの持つ「イベントログ」を「Log Analytics」で収集し「OMS」上から確認できるようにします
1)「OMSポータル」の「設定」をクリック
2)「Data」を選択し「Windows イベントログ」を選択
3)「Collect events from the following event logs」に「System」と入力し「+」をクリックする
追加後↓
4)「3)」を繰り返し「Application」を追加する
5)「3)」,「4)」実施後「Save」をクリックして保存する
※保存後「家」のアイコンをクリックしホーム画面に戻ります
5補足)「5)」実施後右端に下図のアイコンが表示される。アイコンをクリックして内容の確認を行う
6)「ログ検索」をクリック
7)入力欄に以下の「クエリー」を記載し「EnterKey」か、「下図虫眼鏡アイコン」をクリックして検索を実行する
入力クエリー : Type=Event
「クエリー」実行後
※ログが発生している場合このように表示される
注意 : 本手順を実施することでログの収集は始まっています。ただ設定した内容によってはログが即座に反映されないこともあるためこの時点で表示されない場合はしばらく時間をおいてから再度実行するか直接端末に入って以下のコマンドを実行してください。
EVENTCREATE /ID 999 /L system /SO sys_test /T ERROR /D "イベントログのテストです。"
■4 イベントログのビューの作成
手順3まででとりあえずのログを確認することはできましたがこのままでは毎回「クエリー」を実行することになり面倒です。次の手順では独自のビューを作成しログ状況の把握を行います。
1)「OMSポータル」より「ビューデザイナー」をクリック
2)「ギャラリー」よりどれかを選択しドラッグ&ドロップで赤枠内に移動する
※本手順では「数値」を利用していますが、ギャラリー内のものならどれを選んでもエラーは出ません。
3)「プロパティ」画面より以下項目の設定を行い「適用」を押す
| 項目 | 内容 | 入力値 |
|---|---|---|
| 名前 | ビューの名前 | Event_All |
| 説明 | ビューの説明 | イベントログの総数を表示 |
| タイル―凡例 | 凡例の名前 | イベントログの総数を表示 |
| クエリ | クエリー | Type=Event |
4)「ダッシュボードの表示」をクリックする
5)「2)」を繰り返してビューを作成する
※本手順では「番号とリスト」を利用していますが、ギャラリー内のものならどれを選んでもエラーは出ません。
6)「プロパティ」にて以下を設定し「適用」
| 項目 | 内容 | 入力値 |
|---|---|---|
| グループタイトル | ビューの名前 | 個別イベント |
| タイル―凡例 | 凡例の名前 | VM04LogTest |
| タイル―クエリ | クエリー | Computer=VM04LogTest Type=Event |
| リスト―クエリ | クエリー | Type=Event Computer=VM04LogTest | Measure count() by EventLog |
7) 適用後、「保存」ボタンを押す
8)「OMS ポータル」の「ホーム」より作成したビューを確認する
※登録しているマシンで発生しているイベントの総数は「69」だということがわかる ⇒ 赤枠内をクリック
※「VM04LogTest」で発生しているログの内訳がわかる
-Systemイベント : 60件
-Applicationイベント : 9件
■5 「メール」の発行
イベントログの監視になりますので当然閾値を超えた場、何らかのアクションを起こさせる必要があります。本手順ではAlertの設定を行い、エラーが5件発生したらメールを飛ばすという仕組みを作成します
1)「ホーム」画面より「Event_All」を選択
2)「VM04LogTest集計」より「System」を選択
3)「ログ検索」画面より「error」にチェックを入れる
4)チェックを入れた後、「適用」を押す
5)表示された「クエリー」をコピーする(Ctrl+C)
6)「Alert」をクリックする
7)以下設定を行う。設定後保存する
| 項目 | 内容 | 入力値 |
|---|---|---|
| 名前 | アラートルールの名前 | Rule01 |
| 説明 | アラートルールの説明 | テストアラート |
| 時間枠 | アラート発行の時間帯 | 5分 |
| このアラートを確認する頻度 | このアラートを確認する頻度 | 5分 |
| アラートを生成する基準 | トリガー | 結果の数 |
| 結果の数 | 閾値 | (次の値より大きい) 4 |
| 電子メールの通知 | 電子メール | はい |
| 件名 | メールの件名 | AzureErrorMail |
| 受信者 | 受信するメールアドレス | 内緒 |
設定は以上になります
あとはエラーが5件発生したらメールが飛んできます
本手順ではコマンドでイベントを発行させてメールの確認を行います
1対象のVMにはいって以下のコマンドを5回実行
EVENTCREATE /ID 999 /L system /SO sys_test /T ERROR /D "イベントログのテストです。"
自前のメールより以下のようなメールが届いていることを確認する
■6 最後に。。。
ここまでたどり着くのに作者は結構苦労しました。何が大変って公式ドキュメントに書いてある通りにやってもなかなかできませんでした。本資料はとりあえず使ってみたいとか、機能検証行う時とかに何も考えずに作れることをイメージしながら作りました。当然ながらより深いことをやるためにはやっぱり自学が必要になります。
どんな動きをするのかをとりあえず見たいとかの時に使ってくれると幸いです。
Author And Source
この問題について(Azure でログ収集!(Log Analytics)), 我々は、より多くの情報をここで見つけました https://qiita.com/yo_dazy/items/14018d29da140c9152c2著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .