Log Analytics (旧：Operational Insights） 説明資料 2016年6月版

システムのあらゆる情報を可視化

Azure Log Analytics

（旧サービス名：Azure Operational Insights）

日本マイクロソフト 株式会社

マルチクラウドにおける可視化の必要性

オンプレミスのほか、複数のクラウドサービスの状況を

単一の画面からシンプルに把握したい

複数のクラウドサービスにおいて

一貫したセキュリティ対策を行いたい

あらゆるクラウドサービスから

簡単に接続できる仕組みがほしい

収集したデータをクラウド上に置く

Azure Log Analytics

プライベートクラウド

(Azure Stack, Hyper-V, VMware, OpenStack)

Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Windows Server (Guest) Linux (Guest)

Azure Log Analytics

Azure Log Analytics とは

 IT 運用チーム向けの サービスとしての SaaS ソリューション

– クラウドからオンプレミスのデータセンターまで、

あらゆる環境のログや構成情報の収集と可視化

– Windows および Linux に対応

 キャパシティプランニング

– 仮想化環境における容量の計測と予測によりデータセンターの投資計画に活用

 サーバーの構成変更の追跡

– Windows サービスやソフトウェアの追加・変更の履歴を記録することで

トラブルシューティングへの活用

 ワークロードの構成アセスメント

– Active Directory や SQL Server など、適切な構成であるかどうかを監査して

監査結果を可視化

 ネットワーク監視

– クラウド環境も含めたネットワークの利用状況を計測し、

セキュリティ対策や容量計画に活用

Azure Log Analytics を使うメリット

 マルチクラウドを簡単に一元管理

– 専用エージェントの利用、監視ツール（SCOM）との連携、クラウドサービスの管理機

能（Azure診断）との連携など、あらゆる方法でバラバラであったクラウド環境の稼働

情報を可視化

 迅速な導入

– SaaS による提供なので、サーバー機器のセットアップ不要

オンプレミス、クラウドを問わず、すぐに利用が可能

 データを安全に保管

– 安全なクラウド上にデータが保管されるので、ログや構成情報などのデータの

改竄・漏えいのリスクを低減

 安価に利用

– 料金は０円の無償プランから、データの保存期間と容量による従量課金

– 用途に合わせて提供されるレポートテンプレートはSolution Galleryから無償提供

Log Analytics

利用シナリオ：既存の運用管理ツールへの付加価値提供

 System Center Operations Manager 環境において、

稼働状況をクラウド環境で可視化

既存の SCOM 環境

可用性・セキュリティ などの観点から

運用管理に必要なレポートを提供

Microsoft Azure

開発環境など、SCOM の監視対象に

含めづらいサーバーも、

SCOMの監視下に入れることなく

構成管理とアクセスログなどを取集

既存の環境には

ほとんど手を入れることなく、

クラウドベースの管理が利用可能

Amazon Web Services

Microsoft Azure

利用シナリオ：パブリッククラウド の マルチテナント運用

 複数のクラウド環境で出力されるデータを一か所に集約

Microsoft Azure

Log Analytics

Log Analytics が Manager of Manager として

複数テナントの クラウド をまとめて管理

System Center に加え

Zabbix、Nagios 配下の

サーバーも対象

Azure以外のクラウドも

テナントの一つとして管理可能

各テナントの IaaS 上に

System Center を構築して、

テナントごとの管理

（※）Zabbix, Nagios からはアラートのみ通知可能

利用シナリオ：マルチクラウド基盤におけるセキュリティ対策

Log Analytics

Azure や AWS などの

パブリッククラウド

Microsoft

Cyber Crime Center

マイクロソフトが入手した

ボットネットなどの不正な

ネットワークリストの活用

サーバー健全性を保つために

必要な構成監査

・マルウェア対策

・更新プログラム適用

・Active Directory の構成

・ SQL Server の構成

SaaS 型で提供されるサービスのため

収集した情報を外部からの改竄することは

極めて困難、ログの正確性を担保

すぐに利用可能な SaaS 型ソリューション

使った分だけの従量課金、最小プランは 0円

不正なログオンで行われている

行動は全てクラウド上に通知

•

管理者権限への昇格

•

ポリシーの変更

•

不正なアプリケーション（バッ

クドア）のインストール

•

痕跡（ログ）の消去 など

ネットワーク監視ツールの導入が困難なパブリック

クラウド上のネットワークアクセスも監視

クラウド上で提供される

PhotoDNA等のツールにより

オンライン上の児童ポルノ

などの犯罪を防止

サイバー犯罪の脅威について

の情報発信基地

最新データから日本の

マルウェアの情報/状況を解析

マイクロソフト サイバークライムセンター 日本サテライト

デジタルクライムユニットと

の連携でサイバー犯罪抑止に

貢献

サイバー攻撃の傾向等の情報

をセキュリティ関連団体など

を通じて公表

お客様・パートナー企業へ、

「信頼できるクラウド」と

セキュリティの

ベストプラクティスを周知

ご参考情報

ダッシュボード画面

管理対象の形態に合わせた柔軟な構成

Log Analytics

System Center

Operations Manager

Zabbix /

Nagios

OMS Log Analytics

Forwarder

Zabbix , Nagios はアラートのみ Log Analytics へ 通知

それぞれのデータ収集方法の特徴

Solutions Gallery

 データの収集項目やクエリのセットはポータル画面から追加

– 構成管理、ネットワーク監視、セキュリティなどの Solution を提供

– すべての Solution は無償で利用可能

Solution 一覧（2016年6月現在）

AD Assessment

Active Directory の構成の健全性を可視化

AD Replication Status

Active Directory の ドメインコントローラー間の複製を監視

Alert Management

System Center Operations Manager のアラートを通知

Malware Assessment

マルウェア対策の状況を可視化

Azure Networking Analysis

Azure ネットワークの詳細な状況を可視化・分析

Automation

Azure Automation の実行状況

Backup

Azure Backup の実行状況

Change Tracking

アプリケーション および Windows サービスの構成変更の履歴

Capacity Planning

SCVMM が管理する仮想化環境のリソースの利用状況と将来の予測

Configuration Assessment

System Center、Exchange Server など、サーバー構成の健全性を可視化

Office 365

Office 365 のアクティビティの監査と可視化

Security & Audit

システムにおけるセキュリティの脅威を可視化

Key Vault

Key Vault の利用状況の可視化

Azure Site Recovery

Azure Site Recovery の実行状況

SQL Assessment

SQL Server の構成の健全性を可視化

Surface Hub

Surface Hub の監視

近日提供予定の Solution 一覧（2016年6月現在）

App Dependency Monitor

アプリケーションの依存関係を可視化

Containers

Docker Container ホストのログおよびパフォーマンスを可視化

Network Performance Monitor

オンプレミスおよびAzure ネットワークのパフォーマンス、

_{接続状況の可視化}

Service Fabric

Service Fabric Framework の状態可視化と Service Fabric Application の

_{パフォーマンス可視化}

Upgrade Analytics

Windows クライアントの構成情報の収集と

_{アップグレードに必要な情報を可視化}

提供されている Solution の例

 Security and Audit

– ログ、構成、ネットワークの視点からシステムがセキュアであるかどうかを可視化

セキュリティ関連で

利用可能なクエリ

セキュリティ関連で

主な収集項目（2016年6月現在）



Windows イベントログ



IIS ログ



Windows パフォーマンスカウンタ



Linux パフォーマンスカウンタ



Syslog



テキストログ（Windows/Linux）



Operations Manager アラート



Active Directory アセスメント結果、同期状況



SQL Server アセスメント結果



Hyper-V 環境のリソース消費状況（SCVMM経由）



Windows アプリケーションの構成変更



Windows サービスの構成変更



Linux デーモンの設定変更



マルウェア対策の適用状況



ソフトウェア更新プログラムの適用状況



ネットワーク疎通確認



Office 365 監査ログ

クロスプラットフォームへの対応

 Linux 版 エージェントの提供（Preview版）

– Syslog ベースのログ監視、パフォーマンスの収集

– MySQL および Apache のパフォーマンスの収集

– Docker Container Host の管理

– Linux デーモンの設定変更

– Linux 上に構築された Zabbix および Nagios 上で生成されたアラートの転送

 GitHubよりダウンロード可能

 対応ディストリビューション

–

Amazon Linux 2012.09 --> 2015.09 (x86/x64)

–

CentOS Linux 5,6, and 7 (x86/x64)

–

Oracle Enterprise Linux 5,6, and 7 (x86/x64)

–

Red Hat Enterprise Linux Server 5,6 and 7 (x86/x64)

–

Debian GNU/Linux 6, 7, and 8 (x86/x64)

–

Ubuntu 12.04 LTS, 14.04 LTS, 15.10 (x86/x64)

–

SUSE Linux Enteprise Server 11 and 12 (x86/x64)

Linux で取得可能な パフォーマンスカウンタ

 プロセッサ

– % Processor Time

– % Idle Time

– % Nice Time

– % Privileged Time

– %IO Wait Time

– % Interrupt Time

– % DPC Time

 メモリー

– Available MBytes Memory

– % Available Memory

 論理ディスク

– % Used Inodes

– Free Megabytes

– % Used Space

– Logical Disk Bytes/sec

– Disk Read Bytes/sec

– Disk Write Bytes/sec

– Disk Transfers/sec

– Disk Reads/sec

 Apache

– Total Pct CPU

– Idle Workers

– Busy Workers

– Pct Busy Workers

– Apache Virtual Host

– Request per Second

– KB per Request

– Requests KB per Second

– Errors per Minute - Client

– Errors per Minute - Serve

r

Linux で取得可能な パフォーマンスカウンタ(続き）

 My SQL

–

Database(*)¥Tables

–

Database(*)¥Disk Space in Bytes

–

Key Cache Hit Pct

–

Key Cache Write Pct

–

Key Cache Use Pct

–

Query Cache Hit Pct

–

Query Cache Prunes Pct

–

Query Cache Use Pct

–

Table Cache Hit Pct

–

Table Lock Contention Pct

–

Table Cache Use Pct

–

InnoDB Buffer Pool Hit Pct

–

InnoDB Buffer Pool Use Pct

–

Full Table Scan Pct

–

InnoDB Buffer Pool Use Pct

–

Disk Space Use in Bytes

–

Connection Use Pct

収集したデータの抽出と可視化

 収集したデータはクエリを使用して抽出

– Solution 毎にサンプルクエリを提供

– 直観的な操作でフィルタやグループ化を行い

クエリを自在にカスタマイズ

– リスト形式、テーブル形式、グラフ形式での

出力が可能

– 作成したクエリは、お気に入りとして保存

 データのエクスポート

– 抽出結果は CSV 形式によるエクスポート

– API 経由でクエリの結果を出力

– 将来的には PowerBI との連携も予定

Solution 毎に提供されるサンプルクエリ

My Dashboard でカスタマイズ

作成したクエリの

実行結果を自由に

貼り付けることが可能

管理者への通知と自動化

 監視項目が閾値を超えたり、ログ出力の条件が合致した場合、

メールによる通知、Azure Automation による Runbook を実行

自動実行したい Runbook を選択

通知先のメールアドレスを記述

自動実行したい Webhook の

URL を記述

クエリを実行するスケジュール

定期的に実行する

クエリを記述

モニタリングツールとの連携

Log Analytics

System Center

Operations Manager

OMS Log Analytics

Forwarder

Microsoft Monitoring Agent は Log Analytics と

System Center Operations Manager の

マルチホーム構成をサポート

Power BI 連携

 クエリの実行結果を Power BI のデータセットとして取り込み

– 収集した情報をわかりやすい形で可視化

Log Analytics

15 分間隔で

クエリの実行結果を転送

料金について（2016年6月現在）

 ３種類の料金プランを提供

 利用状況については Usage で確認することが可能

– 本日のデータ転送量

– 直近30日のデータ転送量

– データの種類別転送量

Free

Standard

Premium

1GBあたりの

月額料金

¥0

¥ 234.60

¥357

最大保存期間

7日間

1か月

1年間

１日に転送可能

なデータの量

500MB

制限なし

制限なし

1日あたりに利用可能な転送量を超えると、データの転送が停止し、翌日から再開されます。

 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に 対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。  本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。  すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うこと は、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではあり ません。  Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給され る場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

© 2016 Microsoft Corporation. All rights reserved.

Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。 その他、記載されている会社名および製品名は、一般に各社の商標です。