• 

取得したログを分析、必要なログを確認する

Loganaryticsワークスペースに格納したログはAzureポータル上から参照することが可能です。ポータル上で、各リソースに移動してメニューの「ログ」から参照用のページに移動します。ログの格納されたテーブルにマウスカーソルを合わせ表示されるアイコンからプレビューを表示し内容を確認します。

主に利用するリソースにおいてログの格納先テーブル

テーブル名	主なリソースの種類	代表的な格納情報
Perf	仮想マシン	パフォーマンスログ
Event	仮想マシン	WindowsOS イベントログ
Syslog	仮想マシン	Linux OS Syslog
AzureDiagnostics	NSG 仮想マシン 他	診断ログ
AzureNetworkAnalytics_CL	NSG	NSGフローログ
AzureActivity	サブスクリプション	アクティビティログ

ログの内容をKQLで解析して表示する

格納されたログはクエリを作成することで解析した結果を表示させることが可能です。

Where	抽出条件を指定
project	表示項目を指定
summarize	対象項目のサマライズ 例）平均、最大、最小を取得
limit	表示件数を指定
sort	昇順、降順を指定

KQL構文例

(1) 仮想マシン：5分あたりの平均CPU使用率を表示

Perf
| where ObjectName == “Processor”
| summarize avg(CounterValue) by bin(TimeGenerated,5m), Computer

(2) NSGフローログ：直近15分を降順で10件表示する

AzureNetworkAnalytics_CL
| where TimeGenerated > ago(15m)
| sort by TimeGenerated desc
| limit 10

(3) 仮想マシン：イベントログから状態がエラーのみ表示する

Event
| where EventLevelName == “Error”

カスタムログを利用したアラートを作成するにあたりの注意点

カスタムログでAzureMonitorのアラートを作成する場合において
アラートの対象となる値は「 AggregatedValue 」という変数に格納必要が
あります。

例）”仮想マシン名”の平均CPU使用率（5分毎）でアラートを作成する場合
Perf
| where Computer == “仮想マシン名” and ObjectName == “Processor”
| summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated,5m)
| sort by TimeGenerated desc