Azure Monitor ログの概要

  • [アーティクル]

Azure Monitor ログは、Azure および Azure 以外のリソースとアプリケーションによって生成されたテレメトリ データを収集、分析、操作するための一元化されたサービスとしてのソフトウェア (SaaS) プラットフォームです。

主要な Azure Monitor ログ リソースである、1 つの Log Analytics ワークスペースで、ログの収集、ログ データとコストの管理、さまざまな種類のデータの使用を行うことができます。 つまり、データを移動したり、他のストレージを管理したりする必要がなく、さまざまなデータ型を必要な期間だけ、または必要な分だけ保持できます。

この記事では、Azure Monitor ログのしくみの概要を示し、組織内のさまざまな担当者のニーズとスキルに Azure Monitor ログがどのように対処するかについて説明します。

Note

Azure Monitor ログは、Azure Monitor をサポートするデータ プラットフォームの片方です。 もう一方は、時系列データベースに数値データを格納する Azure Monitor メトリックです。

Azure Monitor ログのしくみ

Azure Monitor ログには、次のツールが用意されています。

  • Azure Monitor データ収集メソッドを使用して任意のデータを収集します。 コストの最適化、個人データの削除などのニーズに基づいてデータを変換し、Log Analytics ワークスペース内のテーブルにデータをルーティングします。
  • テーブル スキーマ、テーブル プラン、データ保持、データ集計、誰がどのデータにアクセスできるか、ログ関連のコストなど、Log Analytics ワークスペースとログ テーブルを構成することで、ログ データとコストを管理および最適化します
  • Kusto 照会言語 (KQL)、または KQL の知識を必要としない KQL ベースのツールと機能 (Log Analytics ユーザー インターフェイスのシンプル モード、Insights という事前構築済みのキュレーションされた監視エクスペリエンス、定義済みのクエリなど) を使用して、ほぼリアル タイムでデータを取得します
  • データ分析、トラブルシューティング、アラート、ダッシュボードとレポート、カスタム アプリケーション、その他の Azure サービスや Azure 以外のサービスなど、さまざまなユース ケースに合わせてデータを柔軟に使用します

ログ データの収集、管理、取得、操作のためのエンドツーエンド ソリューションを Azure Monitor と Azure Monitor Logs がどのように実現するかを示すダイアグラム。

データ収集、ルーティング、変換

Azure Monitor のデータ収集機能を使用すると、Azure、他のクラウド、オンプレミスで実行されているすべてのアプリケーションとリソースからデータを収集できます。 強力なインジェスト パイプラインにより、データのフィルター処理、変換、Log Analytics ワークスペース内の宛先テーブルへのルーティングが可能になり、コスト、分析機能、クエリ パフォーマンスが最適化されます。

データ ソースから収集され、変換されて Log Analytics ワークスペース内のテーブルに送信されるデータを示すダイアグラム。

データ収集と変換の詳細については、「Azure Monitor データ ソースとデータ収集方法」と「Azure Monitor でのデータ収集の変換」を参照してください。

Log Analytics ワークスペース

Log Analytics ワークスペースは、データを収集するテーブルを保持するデータ ストアです。

Log Analytics ワークスペースを使用するさまざまなユーザーのデータ ストレージと消費のニーズに対処するには、次の方法があります。

Azure portal の Log Analytics ワークスペースのスクリーンショット。

また、ネットワーク分離を構成し、リージョン間でワークスペースをレプリケートし、ビジネス ニーズに基づいてワークスペース アーキテクチャを設計することもできます。

テーブル プラン

1 つの Log Analytics ワークスペースを使用して、あらゆる目的に必要な任意の種類のログを格納できます。 次に例を示します。

  • 監査とコンプライアンスのために低コストの長期ストレージを必要とする大量の詳細データ
  • 開発者によるトラブルシューティングのためのアプリとリソース データ
  • 継続的なオペレーショナル エクセレンスとセキュリティを確保するためのスケーリングとアラートの主要なイベントとパフォーマンスのデータ
  • 高度分析と機械学習のための集計された長期的なデータ傾向

テーブル プランを使用すると、テーブル内のデータを使用する頻度と、データが必要な分析の種類に基づいてデータ コストを管理できます。

このビデオでは、Azure Monitor ログでテーブル プランによって多層ログを有効にする方法について概要を説明しています。

以下の図と表は、分析、基本、補助テーブル プランを比較しています。 対話型と長期保有の詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。 テーブル プランを選択または変更する方法については、テーブル プランの選択に関するページを参照してください。

分析、基本、補助テーブル プランによって提供される機能の概要を示す図。

機能 分析 基本 補助 (プレビュー)
最適な用途 継続的な監視、リアルタイムの検出、パフォーマンス分析に使用される価値の高いデータ。 トラブルシューティングとインシデント応答に必要なミディアムタッチのデータ。 詳細ログなどのロータッチ データ、監査とコンプライアンスに必要なデータ。
サポートされているテーブルの種類 すべてのテーブルの種類 基本ログをサポートする Azure テーブルおよび DCR ベースのカスタム テーブル DCR ベースのカスタム テーブル
インジェスト コスト Standard 減額率 最小
クエリ価格が含まれています
最適化されたクエリ パフォーマンス ❌ 低速なクエリ。
監査に適しています。 リアルタイム分析用に最適化されていません。
クエリ機能 完全なクエリ機能 単一テーブル上の完全な Kusto 照会言語 (KQL)lookup を使用して Analytics テーブルのデータで拡張できます。 単一テーブル上の完全な KQLlookup を使用して、Analytics テーブルのデータで拡張できます。
警告
分析情報
ダッシュボード ✅ ダッシュボードの更新にかかるクエリあたりのコストは含まれません。 可能ですが、更新に時間がかかります。ダッシュボードの更新にかかるクエリあたりのコストは含まれません。
データのエクスポート
Microsoft Sentinel
検索ジョブ
集計ルール ✅ KQL は単一のテーブルに制限されます ✅ KQL は単一のテーブルに制限されます
復元
対話型の保持 30 日 (Microsoft Sentinel および Application Insights の場合は 90 日)。
日割り計算された月単位の長期保有料金で、最大 2 年間まで延長できます。		 30 日 30 日
合計保持期間 最大 12 年 最大 12 年 最大 12 年*
* パブリック プレビューの制限: 補助プランの合計リテンション期間は現在 365 日に固定されています。

Note

補助テーブル プランはパブリック プレビュー段階です。 現在の制限とサポートされているリージョンについては、「パブリック プレビューの制限」を参照してください。
基本および補助テーブル プランは、従来の価格レベルのワークスペースでは使用できません。

Kusto 照会言語 (KQL) と Log Analytics

Log Analytics ワークスペースからデータを取得するには、Kusto 照会言語 (KQL) クエリを使用します。これは、データを処理して結果を返す読み取り専用の要求です。 KQL は、数百万のレコードをすばやく分析できる強力なツールです。 KQL を使用して、ログの調査、データの変換と集計、パターンの検出、異常値や外れ値の特定などを行います。

Log Analytics は、ログ クエリを実行し、その結果を分析するための Azure portal のツールです。 Log Analytics 簡易モードでは、KQL の知識に関係なく、すべてのユーザーが 1 回のクリックで 1 つ以上のテーブルからデータを取得できます。 一連のコントロールを使用すると、よく使われる Azure Monitor ログ機能を直感的でスプレッドシートのようなエクスペリエンスで使用して、取得したデータについて確認および分析できます。

Log Analytics の簡易モードを示すスクリーンショット。

KQL に精通している場合は、Log Analytics KQL モードを使用してクエリを編集および作成し、アラートやブックなどの Azure Monitor 機能で使用したり、他のユーザーと共有したりできます。

Log Analytics の詳細については、「Azure Monitor の Log Analytics の概要」を参照してください。

組み込みの分析情報とカスタム ダッシュボード、ブック、レポート

Azure Monitor のすぐに使用できるキュレーションされた Insights エクスペリエンスの多くは、データを Azure Monitor ログに格納し、このデータを直感的な方法で表示するため、クラウドおよびハイブリッド アプリケーションとそれらのサポート コンポーネントのパフォーマンスと可用性を監視できます。

Azure Monitor に組み込まれたコンテナーの分析情報の監視エクスペリエンスを示すスクリーンショット。

ブック、ダッシュボード、Power BI を使用して、独自の視覚化とレポートを作成することもできます。

ユース ケース

この表は、Azure Monitor ログで収集したデータを使用して運用面とビジネス面の価値を引き出す方法をいくつか説明したものです。

機能 説明
解析 Azure portal で Log Analytics を使用してログ クエリを書き込み、強力な分析エンジンを使用してログ データを対話形式で分析します。
Aggregate 集計ルールを使用して、取り込んだ生のログ データからアラートと分析に必要な情報を集計します。 これにより、コスト、分析機能、クエリのパフォーマンスを最適化できます。
異常を検出して分析する 組み込みまたはカスタムの異常検出アルゴリズムを使用して、ログ データの異常なパターンや動作を特定します。 これは、潜在的な問題を早期に検出するのに役立ちます。
アラート ログ検索アラート ルールまたはログのメトリック アラートを構成して、特定の条件が発生したときに通知を送信したり、自動アクションを実行したりできます。
視覚化 テーブルまたはグラフとして表示されるクエリ結果を Azure ダッシュボードにピン留めします。
ブックを作成し、対話形式のレポートに複数のデータ セットを結合します。
クエリの結果を Power BI にエクスポートし、さまざまな視覚化を使用して Azure の外部のユーザーと共有します。
クエリの結果を Grafana にエクスポートし、そのダッシュボード機能を活用して、他のデータ ソースと結合します。
分析情報の取得 Insights は、特定のリソースやサービスを監視するためのカスタマイズされたエクスペリエンスを提供します。
取得 次からログ クエリの結果にアクセスします。
インポート REST API か、.NETGoJavaJavaScript、または Python のクライアント ライブラリを介してカスタム アプリからログをアップロードします。
Export Azure Storage アカウントまたは Azure Event Hubs へのログ データの自動エクスポートを構成します。
Azure Logic Apps を使用し、ログ データを取得して外部の場所にコピーするワークフローを構築します。
解析持ち込み ノートブックを使用して Azure Monitor ログのデータを分析し、Azure Monitor ログで収集したデータの上に合理化されたマルチステップ プロセスを作成します。 これは、機械学習パイプラインの構築と実行、高度な分析、サポート ニーズに対応したトラブルシューティング ガイド (TSG) などの目的に特に役立ちます。
監査とコンプライアンスのためにデータを保持する Auxiliary プランを使用してデータをテーブルに直接送信し、任意のテーブルのデータ保持期間を延長して、監査とコンプライアンス用にデータを最長 12 年間保存します。 低コストの Auxiliary テーブル プランとワークスペース内での長期保有により、コストを削減し、必要なときにデータを迅速かつ簡単に使用できます。

Microsoft Sentinel と Microsoft Defender for Cloud の操作

Azure のセキュリティ監視Microsoft SentinelMicrosoft Defender for Cloud によって実行されます。

これらのサービスによってデータは Azure Monitor ログに保存されるので、Azure Monitor によって収集された他のログ データと共に分析することができます。

詳細情報

サービス 詳細
Microsoft Sentinel
Microsoft Defender for Cloud

次のステップ