目次
取得したログを分析、必要なログを確認する
Loganaryticsワークスペースに格納したログはAzureポータル上から参照することが可能です。ポータル上で、各リソースに移動してメニューの「ログ」から参照用のページに移動します。ログの格納されたテーブルにマウスカーソルを合わせ表示されるアイコンからプレビューを表示し内容を確認します。
主に利用するリソースにおいてログの格納先テーブル
テーブル名 | 主なリソースの種類 | 代表的な格納情報 |
Perf | 仮想マシン | パフォーマンスログ |
Event | 仮想マシン | WindowsOS イベントログ |
Syslog | 仮想マシン | Linux OS Syslog |
AzureDiagnostics | NSG 仮想マシン 他 | 診断ログ |
AzureNetworkAnalytics_CL | NSG | NSGフローログ |
AzureActivity | サブスクリプション | アクティビティログ |
ログの内容をKQLで解析して表示する
格納されたログはクエリを作成することで解析した結果を表示させることが可能です。
Where | 抽出条件を指定 |
project | 表示項目を指定 |
summarize | 対象項目のサマライズ 例)平均、最大、最小を取得 |
limit | 表示件数を指定 |
sort | 昇順、降順を指定 |
KQL構文例
(1) 仮想マシン:5分あたりの平均CPU使用率を表示
Perf
| where ObjectName == “Processor”
| summarize avg(CounterValue) by bin(TimeGenerated,5m), Computer
(2) NSGフローログ:直近15分を降順で10件表示する
AzureNetworkAnalytics_CL
| where TimeGenerated > ago(15m)
| sort by TimeGenerated desc
| limit 10
(3) 仮想マシン:イベントログから状態がエラーのみ表示する
Event
| where EventLevelName == “Error”
カスタムログを利用したアラートを作成するにあたりの注意点
カスタムログでAzureMonitorのアラートを作成する場合において
アラートの対象となる値は「 AggregatedValue 」という変数に格納必要が
あります。
例)”仮想マシン名”の平均CPU使用率(5分毎)でアラートを作成する場合
Perf
| where Computer == “仮想マシン名” and ObjectName == “Processor”
| summarize AggregatedValue = avg(CounterValue) by bin(TimeGenerated,5m)
| sort by TimeGenerated desc