Azure VM のログを Log Analytics に保存する

Azure VM ログとは？

Azure VM 上の OS から取得される イベントログ や Syslog と、ホスト の メトリック および ゲスト の メトリック などが含まれます。

Log Analytics へ Azure VM のログを集約することで、複数台に跨って ログを分析したり、ログの内容をもとに アラートを発生させ 管理者へのメール通知や、PowerAutomate への連携などを行う事ができるようになります。

① Azure Monitor エージェント が必要となるログ

以下のログは、OS 内の情報を取得して 送信する必要があるため エージェントが必要です。
・イベントログ = Windows OS から取得されます。
・Syslog = Linux OS から取得されます。
・ゲストのメトリック = OS 上のパフォーマンスデータ から取得されます。

② エージェントが不要なログ

ホストのメトリック は、エージェント無しで取得できます。

注意
仮想マシンの作成、削除、起動、停止 などのアクションは、Azure VM のログではなく、アクティビティログから取得されます。

以下の記事を参照して、取得してください。
Azure アクティビティログを Log Analytics に保存する
https://qiita.com/carol0226/items/791c37494a2a9995c486

1. Azure VM のログ収集の手順

1-1. 前提事項

事前に、以下の記事の手順を参照して Log Analytics ワークスペースをデプロイします。

1-2. Azure VM の データ収集ルール

Azure VM の場合は、事前に データ収集ルールを作成しておき、そのルールに対して、リソースを割り当てる形で構成します。

注意
データ収集ルール を作成する前に、ログ取得対象の Azure VM は すべて パワー ON の状態にしておいてください。

ここで選択した Azure VM には、自動的に Azure Monitor エージェントが導入されますが、そのために Azure VM がパワー ON されている必要があります。

パワー OFF されていると、エージェントが導入されません。

Azure モニター の データ収集ルール で構成を行っていきます。

1. Azure Portal の検索窓を使い、モニター 検索して選びます。
   左ペインの 設定 を開き、データ収集ルール を選択します。、
   
   　
   
2. 作成 ボタンを押します。
   
   　
   
3. 基本 タブでは、以下の画面の通り、パラメータを設定して　次へ：リソース を押します。
   
   　
   
4. リソース タブでは リソースの追加 ボタンを押します。
   
   　
   
5. 以下の画面で、ログを取得したい Azure VM を選択して 適用 を押します。
   
   　
   
6. 以下の通り、一覧に追加されます。続けて エンドポイント の作成を押し、右側に表示されたウィンドウに 任意の エンドポイント名 や その他のパラメータを入力して 確認と作成 を押します。
   
   　
   
7. 以下の確認画面が表示されたら 作成 を押します。
   
   　
   
8. 以下の通知が表示されれば OK です。
   
   　
   
9. リソース タブでは データ収集エンドポイントを有効にする にチェックを入れてから、Azure VM の データ収集エンドポイント 列 で、先ほど作成したエンドポイント名を選択します。最後に 次へ：収集と配信 を押して進みます。
   
   　
   
10. 収集と配信 タブでは、データソースの追加 を押します。
    
    　
    
11. 以下の画面で、Azure VM から取得させたい ログの種類を選定します。
    下図では、Windows イベントログ を選択しており、基本 を選んで すべてにチェックを入れているため アプリケーション・セキュリティ・システム の全てのイベントログが取得されます。
    設定が終わったら 次へ：ターゲット を押して進みます。
    
    　
    
12. ターゲット タブでは ターゲットの追加 ボタンを押して、ログの保存先となる Log Analytics を選択して データソースの追加 ボタンを押します。
    
    　
    
13. ここで もう１件 データソースの追加 を行うため ボタンを押します。
    
    　
    
14. 今度は パフォーマンス カウンター を選択して 基本 を選び すべての項目にチェックが入っている事を確認してから 次へ：ターゲット を押します。
    
    　
    
15. ターゲット タブでは ターゲットの追加 ボタンを押して、ログの保存先となる Log Analytics を選択して データソースの追加 ボタンを押します。
    
    　
    
16. 以下の通り、２行のデータソースの追加がされていることを確認して 確認と作成 を押します。
    
    　
    
17. 確認と作成 タブでは、内容を確認して 作成 ボタンを押します。
    
    　
    
18. デプロイが完了したら リソースに移動 を押します。
    デプロイ中に、選択した Azure VM にエージェントが 自動的 に導入されます。
    
    　
    
19. 以下の通り、データ収集ルール が作成されていれば OK です。
    
    　
    
20. 対象の Azure VM の画面を開き、左ペイン 設定 の 拡張期のとアプリケーション を開くと、追加導入された エージェント (AzureMonitorWindowsAgent) を確認することができます。
    
    　
    
21. モニター の画面に戻り、左ペインの ① ログ を開きます。
    そのあと、② 時間の範囲 を調整し、以下の KQL (③) を貼り付けます。
    　
    準備が出来たら ④ 実行 を押して、ログを抽出します。
    ⑤ 時刻の表示 を押して ローカル時刻 を選択すると 日本時間に変更できます。

Event
| project TimeGenerated,Source,EventLevelName,EventID,RenderedDescription,EventLog
| where EventLog == "System"

2. ブックの利用

モニター の左ペインで ブック を選び 以下の一覧から 仮想マシンに関する ブック を選択します。

　
以下の通り、グラフィカルに 分析結果が表示されます。