この記事では Azure Log Analytics の概要と、新しく追加された価格プランの Basic Logs についてデモ画面付きでご紹介します。
Azure Log Analytics とは
Azure Monitor ログ によって収集されたAzure やその他マシンやサービス リソースのログを分析できる Azure サービスのこと。
分析には Kusto Query Language が使用されており、分析機能は Azure Data Explorer からなります。
自己理解の範囲ですが、Azureリソースを作成した場合に、自動的についてくる Azure Monitor (Auzre ポータルでは「モニター」という名前です)の機能の一つに Azure リソースのログ収集機能および Azure Monitor ログがあり、それにより収集されたログの格納先・分析サービスとして Log Analytics があるという風に解釈しています。
また、Defender for Cloud の[管理|環境設定] - [任意のサブスクリプション] - [設定|自動プロビジョニング] に遷移し、この画面の「Azure VM の Log Analytics エージェント」がオンになっているサブスクリプションにおいて
Azure Monitor(モニター)にアクセスすると、「Log Analytics ワークスペース」リソースが存在しており、そこにログが集積されていることが分かります。
[ログ] ペインより、確かに自分の所持している Azure リソースのログが取れていることが分かります。
また、今お見せした Log Analytics ワークスペースは Defender for Cloud の「Azure VM の Log Analytics エージェント」がオンになっている Azure サブスクリプションにおいて、 Azure リソース作成時にできたものであり、自身で Log Analytics サービスを指定してリソース作成することも可能です。VM 建てるのと概念は一緒です。
※ VM の場合、リソースを 1 台とか 1 基とかと数えると思いますが、Log Analytics の場合はワークスペースと呼び・数えます。
Log Analytics ワークスペースを手ずから作成するとこんな感じになります。
上が Defender for Cloud によって自動生成されたもので、下が自身で作成したものになります。
Log Analytics の価格プランについて
Log Analytics はログ収集基盤のため、ログを収集(Ingestion)したり、保持(Retention)したりするのにお金がかかります。
ログの収集にかかる費用は一緒ですが、保持する期間やどんな状態で保持するかによって価格が変わりそうというのは想像に難くないかと思います。どんな状態で、というのは KQL によって検索しやすいかどうかという意味を含みます。
今までAzure Log Analytics に格納されたログはすべて Analytics Logs と呼ばれる価格プランに該当し、Log Analytics の全機能が使用可能でした。2022年2月のアップデートによって Basic Logs というログ収集・保管の価格プランが公開されました。
Analytics Logs と Basic Logs の大きな違いは以下の通りです。
| カテゴリー | Analytics Logs | Basic Logs |
|---|---|---|
| データの取り込み | 高い (約 450 円/GB) | 安い (約 100 円/GB) |
| 保持期間 | 30 - 730 日 | 8 日 |
| アラートの作成 | サポート | 非サポート |
※データの取り込み費用は2022/7/21時点の東日本リージョンにおける相場になります。
参考:
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-workspace-overview#log-data-plans-preview
https://azure.microsoft.com/ja-jp/pricing/details/monitor/
また、保持期間が終了したログおよびデータ テーブルは Archived Logs を有効化することにより、最大7年間まで保管できます。
参考:
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-workspace-overview#data-retention-and-archive
Archived Logs にアーカイブされたログは Rest API 等を使用して Search Job や Restore を実行することで KQL による分析が可能です。検証結果は今後改めて記載します。
Basic Logs の特徴
Basic Logs の特徴を以下に抜粋します。
- 以下に記載の特定演算子(オペレーター)のみ使用可能
- where
- extend
- project ※project-away, project-rename 等も含む
- parse と parse-where
- Microsoft Sentinel の分析ルールや、Azure Monitor のアラートへの利用はできない
- 以下のデータ テーブルでのみ使用可能
- Azure Monitor の Logs ingestion API で収集したもの ※ DCR (データ収集ルール) による収集も含まれる
- ContainerLogV2 ※Container Insights によって収集された Kuberenetes のログ
- AppTraces ※Application Insights のトレース ログ
- HTTP データ コレクター API を使用して収集したログは対象外
参考:
https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/ingest-archive-search-and-restore-data-in-microsoft-sentinel/ba-p/3195126
https://docs.microsoft.com/ja-jp/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1%2Cportal-2
Basic Logs の有効化
Azure Portal から GUI 操作で変更する方法について公開されていました。
[Log Analytics ワークスペース]を選択し、[設定|テーブル(プレビュー)]を選択します。
Basic Logs 対応のデータテーブルにて [...] をクリックし、[テーブルの編集]を選択します。
今回は Application Insights の AppTraces テーブルに対して実施してみます。
以下のように [Table plan] にて [Basic] が選択可能であることを確認します。
ContainerLog と AppTraces については実行できることを確認しましたが、それ以外のデータ テーブルについては要検証な状況です。
[Table Plan]にて[Basic]を選択すると、以下の画面のようになります。[保存]をクリックします。
変更後は以下のように表示されます。Archived Logs の設定も有効であるように見えます。
MS 公式 Docs を読む限り、Total Retention Period を規定値の 90 日から変更しなかった場合、Total Retention Period 分まで Archive Logs が有効になるようです。
Basic Logs は [Log Analytics ワークスペース] の [全般|ログ] ペインでも確認することができます。
