Azure 実践シリーズ010|Azure 監視編Part1[#くらでべ]

00:03

皆さんこんにちは日本 Microsoft 上坂です 今日は Azure 上に構築した

00:08

システムをどうやって監視するのかについて ご紹介いただきます ご紹介いただくのは

00:14

大井さんです 大井さんこんにちは こんにちはよろしくお願いします

00:18

よろしくお願いいたします では始めましょう

00:25

大井さん Azure 上のシステムを監視 すると言っても IaaS もあれば PaaS とかですね

00:31

いろんな種類のリソースの組み合わせで システムって構築されてると

00:35

思うんですけども そもそも Azure で 構築するシステムってどういうパターンが

00:40

あるんでしょうか そうですね 主に3通り あげられるかなと思います

00:48

まず1つが IaaS 上で社内システム |といったものをですね 構築する

00:52

ケースが上げられるかなと思います この 場合はオンプレミスと接続されることが多い

00:56

ですけども例えば ExpressRoute と いう閉域網を使ってですね オンプレミスからも

01:01

アクセスできるような形 で例えばWeb サーバーですとかアプリケーション

01:04

サーバーまたデータベースといったものを ですね サーバーで構築いただくような

01:08

ケースかなという風に思います 2つ目、より外部向けに展開される

01:14

ようなサービスですと PaaS を使って 構成されることが多いです その場合は

01:19

App Services ですとかまた Functions といったですね PaaS

01:24

もしくはサーバレスの環境に アプリケーションですとかコードを置いて

01:28

いただく またバックエンドの データベースやストレージというのもですね

01:31

マネージドサービスを使っていただく ような構成を取ることが多いです でまた

01:36

フロントには例えば Azure Front Door と いったですね CDN また WAF を置いたような

01:40

構成っていうのもよく取られます もしくは最近ですとコンテナーを

01:45

使うことも増えてきています こちらは Azure のKubernetes Services を使うこともあれば

01:50

よりマネージドな Azure Container Apps を 使うケースというのも増えてきています

01:55

こちらを使っていただく際はですね もちろんアプリケーションを1つ

01:58

ホストいただくことも可能ですけどもそうでは なくて複数のサービスをいわゆる

02:03

マイクロサービスとして置いていただいて 各コンテナ感で通信をさせるような構成

02:07

っていうのも増えてきています

02:13

大きくは3種類あるという感じですかね それぞれについて監視ってやら

02:19

ないといけないというわけなんですけども あのそもそも監視ってデータを元にする

02:25

と思うんですよ どういうデータを Azure では取得できるんでしょうか

02:29

そうですね まず Azure のシステムにおいても 他のシステムと同じく3つほど監視の

02:36

要素が上げられるかなと思います まず1 つがメトリックですね 例えば時系列の

02:41

数値化されたデータCPUの利用率ですとか レスポンスの時間ですとか またエラーの

02:46

発生数ですとかそういったこう数値的な データというのを監視にお使い

02:50

いただきます こちらはリアルタイムに データを取得をしてその中でシステムの正常性ですとか

02:57

もしくは何か問題がある時にアラートを即時に発行する というような使い 方をされるものになります

03:03

同じくログですね Azure のシステムでも当然 重要になります でこちらはアプリケーションですとか OS といった

03:11

ものがイベントをテキスト形式で出力をし た記録になります

03:16

メトリックよりもですねログは具体的な内容が含まれ ますのでシステムの状態ですとかエラーの

03:22

内容ですとかまたユーザーのアクセス情報 とか操作の内容ですとかそういったものが

03:27

検索をしたりして確認をすることができます

03:31

もう1個ですね あの近年の特に分散型の システムにおいて重要視されるのがトレース

03:36

もしくは分散トレースの情報になります こちらのデータを取っていただきますと仮に

03:41

システムが分散していたとしても その複数のサービスの間の通信ですとか

03:45

処理っていうものを捕捉をして 具体的に どこでパフォーマンスの劣化が起こっているかですとか

03:51

1つのエラーのですね 原因を追求していくですとか

03:54

そういった用途でお使いいただけます

04:01

この3種類のデータなんですけどこれ1つ の Azure のリソースから全部取得できるんですかね

04:07

それともこのデータはここから取らないといけないみたいな 何か決まりみたいなものってあるんでしょうか

04:13

そうですね まず Azure の監視自体は

04:17

Azure Monitor というサービスを 使って一通りあの取りまとめることができます

04:24

そういった意味ですと Azure Monitor を使ってください というのが回答になります

04:28

ただ実は Azure Monitor という 大きなサービスの中に色々なこう仕組みが

04:32

入っていまして その機能を1個1個こ 上手に使っていただくことで

04:36

今のメトリックログもしくはトレースといった データを取得することができるようになっています

04:42

特にですね 左側に書かせていただいているんですけども

04:47

Azure のシステムと言っても

04:49

色々なレイヤーを見てそれぞれのデータを取得して あげる必要があります Azure はまず

04:55

プラットフォーム基盤があるんですけども こちらはアクティビティログという操作を

05:00

Azure Monitor で取得することができますので まずはこれを使っていただく

05:05

加えて Azure 側で記録をしてるメトリック というのもありますので

05:09

これもモニターの中でお使いいただけます 加えて Azure のサービスの中には

05:15

診断ログというサービスに特化した ログを取る仕組みですとか

05:19

もしくはAzure Monitor の中にエージェントを使って データを取る仕組みとかもありますので

05:24

そういったものを使って主にログの方を取 とていただくという形ですね

05:30

加えて Azure の IaaS もしくは PaaS 上の アプリケーションからは

05:33

Application Insights といういわゆる APM のツール があります こちらもAzure Monitor の1つになる

05:40

んですけどもこの Application Insights を使ってアプリのログだけではなくて

05:44

いわゆる分散トレーシングのデータという のも取得いただけます クラウドの1番

05:49

難しいところはクラウド プロバイダーがある程度こうマネージド

05:54

サービスとして管理している範囲があると いうところかなと思うんですね

05:59

さらに IaaS, PaaS もしくは他のですね こう色々な Azure のサービスも各サービスに

06:06

よって どこまでクラウドの プロバイダーであるMicrosoftが

06:09

管理をしてるか もしくはどこまでは ユーザーの責任でやらなければいけないの

06:13

かっていうのが少し分かりづらくなっています ですのでちょっとこちらのですね 絵の

06:18

方にその構成というものをまとめてみています あの先ほどご紹介を

06:24

したようにプラットフォーム基盤というのは どんなサービスでも

06:27

Microsoftの範囲で例えば 操作を受け付けるですとか

06:31

サービスが正常に動いているっていうのを 記録しますのでここはどんな仕組みで

06:35

あってもあの必要になります ただ例えば 左側のネットワーク系サービスっていう

06:41

ところを見ていただくとマネージドサービスと 書かれていますけども例えば

06:45

Firewall、WAF というサービスは 上で動かす部分もインフラの部分も

06:50

全てMicrosoftが管理しているので その中で何を監視する必要があるかって

06:54

いうのを考える必要があります 一方で IaaS でアプリケーションを作っていただく

07:00

場合は Windows や Linux の マシンを作っていただいてその上で監視を

07:04

していくわけなんですけどもその 場合は Windows Linux からお客

07:08

様の責任範囲で管理をしていくことになります ここは監視においても同じく

07:13

WindowsとかLinuxの例えば イベントログですとか syslog といった

07:18

ログを取っていただいて Windows OS でどういう例えば設定

07:21

変更が行われているかとかアクセスが行わ れているかっていうものを見ていただく

07:26

加えて例えば IIS とか Apache とか インストールしていただいている場合は

07:31

そのミドルウェアですとかもしくは 例えば .NET といったミドルウェアを

07:35

動かされてる場合は あ ごめんなさい ランタイム動かされ ている場合はそれを監視していただく

07:39

必要も出てきます 加えて アプリケーションですとかデータを

07:45

置かれている場合はその監視というのも IaaS だと必要になります 一方で PaaSの場合は

07:50

そういったOS ランタイム ミドルウェアって いうのは Microsoft の管理する

07:54

範囲になります 一方でただその 例えばミドルウェアが持っているアクセス

07:58

ログみたいなものも取得したいかなと思い ますので そういったものは

08:03

Microsoftのその PaaS の仕組み を使ってログをどう取るかっていうのを

08:06

考える必要があります アプリケーション は当然 IaaS と同じくユーザーの責任範囲に

08:12

なりますのでそこの部分は先ほどの出てい た中だと Application Insights を使って

08:16

どうデータを取れるかっていうところを 見ていくことになります コンテナの場合は

08:21

ややその IaaS と PaaS の中間のような 位置付けになりますけども OSや

08:26

オーケストレーターは Microsoft の管理範囲になりますのでそのログっていうのは

08:31

先ほどの PaaS と同じくですね Microsoft が管理する世界のものを

08:34

どうログとして取得をするか もしくはメトリックとしてどう取得をするか かっていうことが

08:39

求められます

08:40

ただランタイムとかミドルウアっていう のはコンテナ化した中に入ってきますので

08:46

そこはユーザーの責任範囲でどういう風にデータを取るか っていうのが必要になります

08:51

データベースやですね例えば Azure OpenAIといったAPIで利用 していただくサービスに関しては

08:57

基本的には Microsoft の管理範囲なり ますのでこちらのネットワーク系の

09:01

サービスと同じく Microsoft の 提供する仕組みを使ってどういった

09:05

ログとかメトリック取れるかっていうのを 見ていただいて必要に応じて取って

09:09

いただく形になるかなという風に思います

09:16

Azure のリソースから監視用 のデータを取得する場合に

09:20

Microsoft がマネージしている サービスについては基本的にはデータを

09:24

出力できる機能があるんだけども実際に 出力するためにはですね ユーザー側で

09:29

その機能を使う設定が必要という理解で あってますでしょうか

09:34

そうですね はい基本的にはあってます先ほどご紹介してきた

09:37

Azure Monitor の機能をユーザーの側で

09:40

有効にしていただいて見ていく形に なります ただ実際にその Azure の

09:45

モニターの機能を有効にしていくには各 サービスですとか仕組みによって若干動きが

09:50

異なっていたりします なのでここから それぞれに対してどういった

09:55

仕組みがあってどういう風に有効化して いくかっていうところを一緒に見ていければと

09:59

思っています

10:05

最初にご紹介をしたいのが Azure の プラットフォーム基盤の形で先ほどから出ている

10:10

アクティビティログっていう仕組み を有効にするっていうことになります

10:15

リソースの操作ですとか例えば 作成や削除というか操作ですとか

10:20

もしくはサービスの正常性ですね Azure の 基盤に何か障害を起こっていないかっていうのは

10:26

アクティビティログていう 仕組みに記録がされます 基本的には なので

10:31

Azure の監査ていう観点ですと こちらのアクティビティログを見て

10:34

いただくていうところになります ただ1つ 注意点として Microsoft Entra ID というですね

10:41

認証基盤を Azure 使われる 場合は必ず使われているかと思います

10:45

こちらの例えばユーザーを追加をしたとか ユーザーを削除したっていう記録ですとか

10:51

もしくは個々のユーザーが例えば Azure ポータルにログインをしましたよっ

10:54

ていうサインインの記録ですね この辺りは Entra IDのリソースログの方で記録がされています

11:02

なので 実際に監査をされるっていう観点ですと それぞれ両方ですね

11:06

ログを記録する必要があって ちょっと後ほど具体的にどういう風に

11:11

記録を Log Analytics という サービスに保持できるかっていうのは

11:15

ご紹介していくんですけども結論から言う とあのアクティビティログも

11:19

Entra IDのログもこの Log Analytics に 保存していただくということが推奨になります

11:25

かつですね 両方とも セキュリティの監視とっても重要なデータだと

11:30

思いますので Sentinel というSIEM の機能を有効にしていただいてるような

11:34

ワークスペースに送っていただくことが いいのかなという風に思います

11:43

そしたらここから具体的に Azure アクティビティログをどういう風に見たり

11:48

取ったりすることができるかっていう ところを見ていきます 先ほどご紹介した

11:53

ようにまず Azure の監視は Azure Monitor という サービスの中に色々仕組みが入っています

11:59

このメニューの中にアクティビティ ログっていうですね メニューが入っていまして

12:04

こちらで先ほどの監査の記録 っていうことを見ていくことができます

12:08

既定で90日ほどログはこちらに入っていますので まず最低限ですね

12:16

直近のデータを見るのはこちらの画面で見 ていただけます 例えばそうですねこちらの

12:21

記録見てみると Create or Update Virtual Machine っていう風に書かれていますけども

12:26

仮想マシンを作ったよっていうログですね 具体的に出ています 例えば

12:31

Create の作業がですね始まっていて これにどういったですね 操作が入ってるかっていう

12:37

ところを見ていただけます はい ただこちらあくまで既定90日に

12:43

なっていますので大半の監査の要件 例えば半年ですとか1年データを持っておきたい

12:49

という場合にはおそらく足り なくなってくるかなと思います

12:53

その場合はこちらのエクスポートというボタンを. 押していただきまして

12:58

こちらでですね送信先をさらに 指定することができます

13:04

ストレージアカウントという オブジェクトストレージですとか

13:08

Event Hub というですねあのサードパーティの SIEM と連携するようなそういった仕組みも

13:12

ご用意しているんですけども 特に お勧めなのが上の Log Analytics ワークスペースへの

13:17

送信っていうことになります こちらは 後ほど後日ご紹介するような

13:24

診断ログですとかサーバーからのイベント ログ syslog も同じ場所に取っておきますので

13:29

ログを一元的に保持したり検索したりする場所として お使いいただけるサービスです

13:35

こちらを指定先にしておくとですね Log Analytics の側で

13:39

最長12年間ほど保持することも できますのでおおよその監査要件っていうのは

13:45

こちらで満たしていただけるかなと思い ます

13:49

実際にですね Log Analytics ワークスペースを作っていただいて

13:54

データを送っていただくと

13:55

こちらで検索をかけることができます 監査ログの場合は AzureActivity という

14:00

テーブルにデータが入っていますので こちらでクエリをですね かけて

14:05

いただくとその情報っていうのを見て いただくことができます 例えばそうですね

14:12

先ほど出ていたような仮想マシン の作成ですとかそういった記録っていうのも

14:16

こちらで見ていただくことができます 例えばこの VIRTUALMACHINE/WRITEって

14:20

書かれているものですね 仮想マシンの 作成のログになりますけども こちらを

14:25

こう見ていただくことができます こちらのクエリでですね 絞って

14:30

いただくこともできますので 例えばですね

14:38

私の 自身の投げた命令だけを含んで欲しいみたいな

14:45

絞っていただくとこのユーザーが行った ログだけをこう検索をするというようなですね

14:50

ことも行っていただけます こんな感じですね なのでこちらの Log Analytics にデータ保管していただくと

14:56

より検索ですとか この検索した

14:59

クエリをベースにアラートを作ったりとか ダッシュボード作ったりっていうことも

15:02

できますので より有効に監視に役立てて いただけるっていうものになっております

15:09

大井さんちょっと質問していいですか 突然ですけど この今の先ほどの診断設定って

15:16

1度設定したらずっとデータが Log Analytics ですとかストレージに

15:22

ずっと送信され続けると思って良いですか？ はいその通りです

15:32

大井さんアクティビティログのデモ ありがとうございました 今回は時間が

15:36

来てしまいましたけれども監視については まだまだ知ることがいっぱいありそうですね

15:41

次回はどういった内容をお話し いただけるのでしょうか

15:45

そうですねあの今回は IaaS PaaS またコンテナを使った サービスをどう監視していくかていう

15:51

ところの全体像とあのプラットフォームの 監査ログの取り方というところをご紹介を

15:55

しました ですので次回はその IaaS であれ ば IaaS で使うサービスがどういう方式で

16:01

OSとかその上のアプリケーション のログを取ることができるかまたコンテナや

16:06

PaaS だったらどう変わっていくのかそれ 以外にネットワークとかデータベースの

16:10

サービス使う場合にはどういう取り方が できるかっていうのをそれぞれ見ていければなと

16:14

いう風に思っています

16:16

わかりました 次回も楽しみにしています

16:19

では今回はここまでとさせていただきます ご覧いただきましてありがとうございました

16:23

日本 Microsoft上坂と大井でした ありがとうございました ありがとうございました