Azure Diagnostics および Azure Audit Logs の新機能

  • Article

執筆者: Ashwin Kamath (Senior Program Manager, Azure Monitoring)

このポストは、4 月 1 日に投稿された New features for Azure diagnostics and Azure Audit logs の翻訳です。

 

Azure リソースの操作を詳細に把握し、そのデータを柔軟に活用するための新機能がリリースされました。また、パートナー企業の Splunk が開発した Azure Diagnostics のデータを閲覧、分析するための優れたアドオンについてもご紹介します。

Azure Audit Logs のアーカイブとストリーミング

Azure Audit Logs は、Azure リソースの操作に関するさまざまな情報を提供するデータ ソースです。Azure Audit Logs で最も重要なデータは、すべてのリソースから送信される操作ログです。これには Azure Resource Manager によって追跡されるすべてのリソースの制御プレーンの操作が含まれ、具体的には VM の作成、Web サイトの開始、データベースの停止、デプロイメントの完了や失敗などのログが挙げられます。既定では、Azure Audit Logs のすべてのログは 90 日間保持されます。しかし、履歴データのスタティック分析やコンプライアンス監査のために、このデータをアーカイブできる期間を延長してほしいという要望が寄せられていました。

そこで今回、すべての操作ログを BLOB ストレージに転送し、Event Hubs にストリーミングする機能を追加しました。

968c8e85-df4e-4445-b03a-87bea5a43222

この機能では、サブスクリプションを選択してからデータの取得元となるリソースのリージョンを選択し、そのサブスクリプションに含まれるストレージ アカウントの中からデータの転送先を選択します。Audit Logs の保持期間はサブスクリプションごとに容易に設定できます。これらの構成情報はサブスクリプションのログ プロファイルに保存されます。これにより、他のサブスクリプションを選択し、各サブスクリプションに同様のプロファイルを構成して、ストレージ アカウントに転送することができます。

なお、ポータルから複数のログ プロファイルを構成、管理する機能と、リソース グループ レベルで構成、管理する機能を近日中に追加する予定です。

ログ プロファイルは、Azure Event Hubs にストリーミングすることも可能です。Azure Event Hubs はスケーラビリティに優れたパブリッシュ/サブスクライブ型のサービスで、1 秒間に数百万件のイベントを取り込み、複数のアプリケーションにストリーミングすることができます。これにより、接続したデバイスやアプリケーションで生成される膨大な量のデータの処理や分析を実行できます。Event Hubs に収集されたデータは、変換して任意のリアルタイム分析プロバイダーやバッチ処理/ストレージ アダプターに送信することが可能です。

これにより、Azure Stream Analytics、Azure HD Insight、Machine Learning、Elastic Search/ELK といったサービスと直接統合するなど、さまざまなシナリオを実現できます。また、診断データにフィルターを適用して Power BI に直接転送し、共有可能なダッシュボードを作成することもできます。

Audit Logs のアーカイブとストリーミングの構成には、Azure Insights PowerShell (英語) および Azure CLI (英語) を使用することもできます。

VM および Cloud Services から Event Hubs への Azure Diagnostics データのストリーミング

クラウド開発者チームからは、ホット パス診断のメトリックやログへのアクセスを大幅に高速化し、レイテンシを短縮してほしいというご意見や、このデータをカスタムのダッシュボードやツールで活用し、詳細な分析を実行できるように柔軟性を向上してほしいという要望をいただいていました。

今回、Azure 開発者が ETW イベント、パフォーマンス カウンター、Windows イベント ログ、アプリケーション ログなどの Azure Diagnostics のカウンターやイベントを数秒で Azure Event Hubs にストリーミングする機能を追加しました。

前述のように、Azure Event Hubs との統合で、Azure Stream Analytics、Azure HD Insights、Elastic Search/ELK などのさまざまな Azure サービスや独自のカスタム ソリューションを使用して、Azure Diagnostics のデータの分析や処理を実行できるようになりました。Azure Stream Analytics を使用すると、VM や Cloud Services、Web Apps を監視する高度なアラートを構成できます。

Azure Diagnostics および Event Hubs の詳細については、こちらのドキュメント (英語) を参照してください。

診断ログの管理とダウンロード

Virtual Machines や Cloud Services、Websites の診断ログの他にも、Network Security Groups、Software Load Balancer、Application Gateway など、さまざまな Azure サービスで詳細な診断ログが提供されています。これらのデータは、JSON 形式の BLOB データとして 1 時間ごとに BLOB ストレージ アカウントに転送するように構成できます。また、ログの種類ごとに保持期間を設定することができます。

3c742533-795b-4eec-aa40-3fa7adc8b99a

ログを有効化すると、ストレージ アカウントへの診断ログの送信が開始されます。最新のログを閲覧またはダウンロードして、迅速なトラブルシューティングや分析に活用することができます。

add29da2-4a89-4dde-b05c-dd2ed1411415

同様の診断ログの構成には、Azure Insights PowerShell (英語) および Azure CLI (英語) を使用することもできます。

各プラットフォームのログに保持期間を指定して転送する機能は、Azure Network Security Groups、Software Load Balancer (英語)、Application Gateway、Key Vault、Azure Search、Azure Logic Apps などの Azure サービスで使用できます。

Splunk Add-on for Azure による Audit Logs のサポートの追加

Splunk Add-on for Microsoft Azure (英語) では、Microsoft Azure で実行されているインフラストラクチャや Web サイトの診断、パフォーマンス、監査に関する有用なデータを収集することができます。今回、Splunk チームはこのアドオンを強化し、Azure Audit Logs のサポートを新たに追加しました。

パフォーマンスと診断に関する情報は、Azure Storage Tables および Azure Storage Blobs から収集され、Audit Logs は Azure Insights Events API から収集されます。このアドオンには、構築済みの複数のパネルが含まれています。詳細については、[Documentation] タブを参照してください。

502eb05d-fafa-430c-ac9d-65ada8193caa

以下のビデオでは、このアドオンで新たにサポートされた Audit Logs との統合および視覚化機能についてご紹介しています。

[embed]https://youtu.be/IFgf3yS8X8w[/embed]

Azure で Splunk の使用を開始する方法については、こちらのブログ記事 (英語) を参照してください。

まとめ

Azure 監視チームでは、今後も引き続きリソースの診断データにアクセスするための新たな方法の提供に取り組んでいきます。マイクロソフトやパートナーが提供するさまざまなサービスでデータを利用、分析するための柔軟なオプションを提供することで、データを十分に活用していただきたいと考えています。今回の新機能により、主要な Azure サービスの操作に関する詳細情報を把握できるようになりました。

今後はさらに多くの Azure サービスで、詳細な診断ログにアクセスできるようになります。Azure ポータルでは、近日中にこれらの機能に関する大幅な強化を実施する予定です。ぜひ新機能をお試しになり、ご意見 (英語) をお聞かせください。