はじめに

Part-1では何もデータソースを接続しなかったので、放っておいてもデータがたりませんでした。
AzureのLog Analyticsは、Azure上のリソースでなくても情報収集して分析することが可能です。
ということで今回は自分のPC(Windows10)を接続してみます。

参考

自分の環境にあったエージェントをOMSの設定画面からダウンロードします。今回はWindows64ビット環境用のエージェントとダウンロードします。
※OMSポータルからもダウンロード可能です。

ダウンロードしたMMASetup-AMD64.exeを起動しインストール開始。

ライセンス条項に同意。

インストール先フォルダの指定。

ワークスペースIDとワークスペースキーを入力。

ワークスペースIDとワークスペースキーの情報はエージェントをダウンロードする場所に表示されています。

OMSポータルの設定でDATAをクリックします。

収集したいイベント情報を入力しますが、わからない場合は何かキーワードを入れてみると候補が出てきますので選択します。

収集したいイベントが決まったら＋ボタンをクリックして追加します。

＋ボタンを押しただけでは設定に反映されません。

左上のSaveボタンをクリックします。
※注意点：複数イベントを選択して最後にSaveをクリックするとエラーになります。１つ追加する度にSaveをクリックしてください。

同様にIISのログなどを追加すると、以下のように表示されます。

3.接続されたPCの確認
エージェントが正しくAzureに接続されるとポータルの設定で以下のように表示されます。「1台のサーバーが接続されました」をクリックしてログを確認してみます。

ログ検索画面に遷移し、以下のように1台PCが認識されていることがわかります。表示されない場合は少し待ってみるか、左側のログのスコープを少し長めにしてみると良いかもしれません。

検索条件に*を入力し、表示形式をテーブルにすると以下のように表示されます。

ポータルのホームに戻ってみるとシステムの更新評価に変化がありましたので見てみます。

どうやらセキュリティの更新プログラムが１つ適用されていないようでした。

ちなみに実際にPCの状況を確認すると１つではなく２つ更新プログラムが適用されていませんでした。OMSではKB890830が認識されていませんでしたが、特殊なプログラムなのか自分の設定が悪いのかはちょっとよくわかりません。このあたりは運用しながら調べていくか、サポートに聞いてみるしかないですね。

他にもいろいろ試してみようと思います。

Part-3ではLinuxを接続します。