Azure Monitor の実装を計画する
この記事では、実装を開始する前に考慮すべき事項について説明します。 適切な計画を立てると、ビジネス要件を満たす構成オプションを選択するのに役立ちます。
大まかな監視の概念と、監視環境の要件を定義する際のガイダンスについて学び始める場合は、「Azure 向けの Microsoft Cloud 導入フレームワーク」の一部である「クラウド監視ガイド」を参照してください。
戦略を定義する
まず、監視戦略を策定して計画の目標と要件を明確にします。 戦略で定義するのは、アプリケーションのパフォーマンスと信頼性を最大化するための特定の要件とそれらを最も満たす構成、そして監視環境を活用するプロセスです。
「クラウド デプロイ モデルの監視戦略」を参照してください。100% クラウドを使用した監視とハイブリッド モデルとの比較がわかりやすく説明されています。
必要な情報を収集する
実装の詳細を決定する前に、次の情報を収集します。
監視すべきものは何か
重要なアプリケーションと、それらが依存するコンポーネントに焦点を当て、監視と監視環境の複雑さを軽減します。 必要なデータを定義するうえでのガイダンスについては、「クラウド監視ガイド: 適切なデータの収集」を参照してください。
アクセスする必要があるのは誰か、通知を受ける必要があるのは誰か
どのユーザーが監視データにアクセスする必要があるか、また問題が検出されたときにどのユーザーに通知する必要があるかを決定します。 その対象は、アプリケーションとリソースの所有者である場合もあれば、中央の監視チームの場合もあります。 この情報によって、データのアクセス許可とアラートの通知を構成する方法が決まります。 特定の情報セットをさまざまなユーザーに提示するようにカスタムのブックを構成することもできます。
サービス レベル アグリーメント (SLA) の要件を検討する
SLA によってアプリケーションのパフォーマンスとアップタイムのコミットメントを定義している組織もあります。 アラートなど、時間の影響を受けやすい Azure Monitor の機能を構成する場合は、これらの SLA を考慮してください。 Azure Monitor のデータ待ち時間について確認します。これは、監視シナリオの応答性と SLA への対応能力に影響します。
サポートする監視サービスと製品を特定する
Azure Monitor は、正常性と状態を監視するという課題への対応を目的としています。 完全な監視ソリューションには、通常、複数の Azure サービスが含まれています。また、他の監視目標を達成するために他の製品が含まれる場合もあります。
次のように Azure Monitor と共に他の製品とサービスを使用することを検討してください。
セキュリティ監視ソリューション
Azure Monitor に格納されている運用データはセキュリティ インシデントの調査に役立つことがありますが、Azure の他のサービスはセキュリティを監視するために設計されています。 Azure のセキュリティは Microsoft Defender for Cloud と Microsoft Sentinel によって監視されます。
| セキュリティ監視ソリューション | 説明 |
|---|---|
| Microsoft Defender for Cloud | Azure リソースとハイブリッド サーバーに関する情報を収集します。 Defender for Cloud ではセキュリティ イベントを収集できますが、インベントリ データ、評価のスキャンの結果、ポリシーの監査の収集に重点が置かれており、脆弱性を目立つように表示し、是正措置を推奨します。 注目すべき機能には、対話型のネットワーク マップ、Just-In-Time の VM アクセス、アダプティブ ネットワークのセキュリティ強化機能、疑わしい実行可能ファイルをブロックする適応型アプリケーション制御が含まれます。 |
| Microsoft Defender for servers | Defender for Cloud が提供するサーバー評価ソリューション。 Defender for Servers では、Windows セキュリティ イベントを Log Analytics に送信できます。 Defender for Cloud は、アラートまたは分析に関して Windows のセキュリティ イベントに依存していません。 この機能を使用すると、調査などの目的でイベントを一元的にアーカイブできます。 |
| Microsoft Sentinel | セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動対応 (SOAR) ソリューション。 Sentinel では、Microsoft およびサードパーティのさまざまなソースからセキュリティ データを収集して、アラート、視覚化、自動化を提供します。 このソリューションでは、可能な限り多くのセキュリティ ログ (Windows セキュリティ イベントを含む) を統合することに重点が置かれています。 Microsoft Sentinel では、Windows セキュリティ イベントのログを収集することもできます。また、通常、Log Analytics ワークスペースを Security Center と共有しています。 セキュリティ イベントは、同じワークスペースを共有している場合にのみ、Microsoft Sentinel または Defender for Cloud から収集できます。 Defender for Cloud とは異なり、セキュリティ イベントは Microsoft Sentinel において警告と分析の主要構成要素です。 |
| Defender for Endpoint | 企業ネットワークによる高度な脅威に対する防御、検出、調査、対応を支援するように設計されたエンタープライズ エンドポイント セキュリティ プラットフォーム。 これは、Windows ユーザー デバイスの保護に主に重点を置いて設計されています。 Defender for Endpoint では、セキュリティの問題と脆弱性について、さまざまなオペレーティング システムのワークステーション、サーバー、タブレット、携帯電話を監視します。 Defender for Endpoint は、Microsoft Intune と緊密に連携して、データを収集し、セキュリティ評価を提供します。 データ収集は主に ETW トレース ログに基づいており、分離されたワークスペースに格納されます。 |
System Center Operations Manager
仮想マシン上で実行されているオンプレミスのリソースとワークロードを監視するために System Center Operations Manager に既に投資している場合は、この監視を Azure Monitor に移行するか、引き続きハイブリッド構成で両製品を併用するかを選択できます。
製品の比較については、「クラウド監視ガイド: 監視プラットフォームの概要」を参照してください。 この 2 つをハイブリッド構成で使用する方法と実際の環境に最適なモデルの判断については、「クラウド デプロイ モデルの監視戦略」を参照してください。
次のステップ
- Azure Monitor におけるデータ収集を構成する際の手順と推奨事項については、「データ収集を構成する」を参照してください。