Azure Log Analytics: 基本とクイックチュートリアル

Azure Log Analyticsとは？

Azure Log Analytics は、クラウドおよびオンプレミスのリソースとアプリケーションを監視するサービスです。クラウド環境とオンプレミス環境のリソースから生成されたデータを収集し、分析することができます。

Azure Log Analytics を使用してデータを検索、分析、視覚化し、トレンドの特定、問題のトラブルシューティング、システムの監視を行うことができます。また、アラートを設定して、特定のイベントや問題が発生したときに通知することで、問題解決のためのアクションを実行できます。

推奨図書：SOARセキュリティ：3つのコンポーネント、利点、およびトップユースケース。

Azure Log Analyticsの仕組み

Azure Log Analyticsにアクセスするには、AzureアカウントでAzureポータルにサインインする必要があります。サインインしたら、ポータルのサービス一覧から Log Analytics を選択してアクセスできます。

Log Analyticsを使用するには、AzureサブスクリプションにLog Analyticsワークスペースを作成する必要があります。ワークスペースは、Log Analyticsによって収集および分析されるデータの論理コンテナです。複数のワークスペースを作成して、異なるソースからのデータを整理したり、異なるデータ保持ポリシーやアクセスポリシーを使用したりできます。

Azure Log Analyticsの主な機能には以下のようなものがある：

• 幅広いデータソース：ワークスペースを設定したら、リソースやアプリケーションからのデータ収集を開始できます。Log Analyticsは、Azureリソース、オンプレミスサーバー、アプリケーション、さまざまな種類のログやパフォーマンスデータなど、幅広いデータソースをサポートしています。Log Analytics エージェント、その他のデータコレクター、または API を使用して、ワークスペース、セキュリティ ログ リポジトリ、または SIEM にデータを送信できます。
• 強力なクエリ言語：Log Analyticsには、データのフィルタリング、グループ化、集計に使用できる強力なクエリ言語が用意されています。
• 事前定義されたクエリとソリューション:事前に作成されたクエリとソリューションを使用して、すぐに使い始めることができます。また、独自のカスタムクエリとソリューションを作成することもできます。
• モニタリングとアラート: Log Analyticsを使用して、特定のイベントや問題が発生したときにトリガーされるアラートを設定し、アラートがトリガーされたときに実行するアクションを指定できます。
• ダッシュボード：ダッシュボードを作成し、リソースやアプリケーションからのリアルタイムおよび履歴データを表示します。

クイックチュートリアルAzure Log Analyticsデモ環境の探索

このチュートリアルでは、Log Analyticsのデモ環境を使用します。このデモ環境には、このサービスの機能を調べたり、使用方法を学んだりするために使用できるサンプルデータが含まれています。

ログ解析を開く

Log Analyticsのデモ環境を使用してLog Analyticsを開くには、以下の手順に従います：

1. Log Analyticsdemo環境のウェブサイトにアクセスする。
2. ページ右上の「サインイン」ボタンをクリックしてください。
3. Eメールアドレスを入力し、次へをクリックします。
4. パスワードを入力し、サインインをクリックします。
5. サインイン後、Log Analyticsダッシュボードに移動します。ここから、検索、分析、可視化など、Log Analyticsのすべての機能にアクセスできます。

Log Analyticsを使い始めるには、定義済みのクエリやソリューションをいくつか実行してみるか、Log Analyticsのクエリ言語を使って独自のカスタムクエリやソリューションを作成することができます。また、アラートを設定してダッシュボードを作成し、リアルタイムでデータを監視することもできます。

Log Analyticsのデモ環境はシミュレートされた環境であり、実際のデータソースには接続されていないことに注意してください。デモと学習のみを目的としています。独自のデータでLog Analyticsを使用するには、AzureサブスクリプションでLog Analyticsワークスペースをセットアップする必要があります。

テーブル情報を見る

Log Analyticsのデモ環境を使用してAzure Log Analyticsのテーブル情報を表示するには、次の手順に従います：

1. トップメニューのDashboardボタンをクリックして、ログアナリティクスダッシュボードに移動します。
2. ダッシュボード・ページで、左メニューのTablestabをクリックする。デモ環境のすべてのテーブルのリストが表示されます。
3. 表の内容を表示するには、リストで表の名前をクリックする。テーブル・ビューアーが表示され、テーブルのデータを表示および分析できます。

テーブル・ビューアーには、データを検索、フィルタリング、視覚化するための多くの機能があります。テーブル・ビューアーの上部にある検索ボックスを使用して、クエリーを入力してデータをフィルタリングしたり、列フィルターを使用して特定の値でデータを絞り込むことができます。

テーブル・ビューアーを使って、データのチャートやその他のビジュアライゼーションを作成することもできます。これを行うには、上部メニューの "Visualize" ボタンをクリックし、作成したい可視化のタイプを選択します。その後、可視化エディタのオプションを使用して、必要に応じて可視化をカスタマイズできます。

クエリーを書く

Log Analyticsのデモ環境を使用してAzure Log Analyticsでクエリを作成するには、次の手順に従います：

1. トップメニューのDashboardボタンをクリックして、ログアナリティクスダッシュボードに移動します。
2. ダッシュボードページで、左メニューのLogstabをクリックする。
3. ページ上部の検索ボックスに、Log Analyticsのクエリ言語を使用してクエリを入力します。
4. ​Enterキーを押すか、Runボタンをクリックしてクエリを実行します。

Log Analyticsのクエリ言語は、Log Analyticsでデータを検索および分析するための強力で柔軟な方法です。データのフィルタリング、グループ化、集計に使用できるさまざまな演算子や関数が含まれています。

結果を分析する

クエリの結果を分析するには、テーブルまたは可視化のオプションを使用して、データをフィルタ、グループ化、および集約できます。たとえば、ログ・エントリのテーブルを返すクエリを実行した場合、結果を特定の列でグループ化したり、フィルタを適用して特定の行のみを表示したりすることができます。これを行うには、列フィルタとテーブル上部の検索ボックスを使用してデータを絞り込むことができます。

視覚化を返すクエリを実行した場合、視覚化エディタのオプションを使用して視覚化をカスタマイズできます。たとえば、表示するデータを変更したり、データにフィルタを適用したりすることができます。

チャートを使う

Azure Log Analyticsでチャートを操作するには、以下の手順に従います：

1. トップメニューのDashboardボタンをクリックして、ログアナリティクスダッシュボードに移動します。
2. ダッシュボードページで、左メニューのLogstabをクリックする。
3. チャートを作成するには、上部メニューのVisualizeボタンをクリックし、作成したいチャートの種類を選択します。
4. 可視化エディタで、検索ボックスにクエリを入力して、チャートに使用したいデータを選択します。
5. 可視化エディタのオプションを使用して、必要に応じてチャートをカスタマイズします。たとえば、軸ラベルを変更したり、データ・ラベルを追加したり、データ系列の色を変更したりできます。
6. チャートのカスタマイズが完了したら、Saveボタンをクリックしてチャートをダッシュボードに保存します。

保存したチャートを表示するには、左メニューのダッシュボード・タブをクリックし、チャートを含むダッシュボードを選択します。チャートはダッシュボード・ページに表示され、チャートのオプションを使って操作することができます。

Azure Log Analyticsのベストプラクティス

ログアナリティクスのワークスペースをできるだけ少なくする

一般的に、Log Analyticsのワークスペースはできるだけ少なくすることをお勧めします：

• コスト：各Log Analyticsワークスペースは、ワークスペースに取り込まれ保存されるデータ量に基づいて個別に課金されます。ワークスペースを少なくすることで、コストを削減できる可能性があります。
• シンプルさ：少ないワークスペースを使用することで、データやクエリの管理が容易になります。複数のワークスペースを切り替えて使用する代わりに、すべてのデータとクエリを1つのワークスペースで管理できます。
• データ保持:各ワークスペースには独自のデータ保持ポリシーがあり、ワークスペースでのデータ保持期間を決定します。ワークスペースを少なくすることで、データ保持ポリシーを簡素化できる可能性があります。
• データ・アクセス：各ワークスペースには、それぞれ独自のユーザー・セットとアクセス・コントロールがあります。ワークスペースを少なくすることで、アクセス制御を簡素化し、データへのユーザーアクセスを管理しやすくなる可能性があります。

しかし、複数のワークスペースを使用することに意味がある場合もあります。例えば、異なるチームが別々のプロジェクトに取り組んでいる場合や、データセットごとにデータの保持やアクセス要件が異なる場合は、別々のワークスペースを使用してデータを分けて管理した方がよいでしょう。

役割ベースのアクセス制御（RBAC）を使用する

RBACを使用すると、ユーザーとグループに割り当てた役割に基づいて、Log Analyticsワークスペースとそのワークスペースが使用するリソースへのアクセスを制御できます。RBACを使用することで、ユーザーの業務に必要な権限を確保すると同時に、不正アクセスからデータとリソースを保護できます。

Azureには、Log Analyticsリーダー ロールやLog Analyticsコントリビューター ロールなど、Log Analyticsへのアクセスを許可するために使用できるロールがいくつか組み込まれています。また、特定のニーズに合わせて、特定の権限を持つカスタム ロールを作成することもできます。

どのロールをユーザーに割り当てるかを慎重に検討し、必要に応じてロールを見直し、更新して、ユーザーの責任に適切であることを確認するのがよいでしょう。

テーブル・レベル」の保持を考える

デフォルトでは、Log Analyticsにはワークスペース内のすべてのデータに適用されるグローバル データ保持ポリシーがあります。ただし、ワークスペース内の個々のテーブルに対して特定の保持ポリシーを設定することもできます。これは「テーブル・レベル」保持と呼ばれます。

テーブル・レベルのリテンションは、いくつかのケースで役に立つ：

• 異なるデータ保持要件：データの種類によって、保持要件が異なる場合があります。テーブルごとに特定の保持ポリシーを設定することで、必要な期間だけデータを保持できるようになり、同時にワークスペースに保存されるデータ量を全体的に削減できます。
• データのコンプライアンス:コンプライアンス要件を満たすために、特定の期間データを保持する必要がある場合があります。テーブルレベルの保持ポリシーを設定することで、ワークスペースに不要なデータを残すことなく、これらの要件を確実に満たすことができます。
• コスト削減：Log Analyticsにデータを保存する場合、取り込んで保存するデータ量に応じてコストが発生します。テーブルごとに特定の保持ポリシーを設定することで、必要なデータのみを保持し、コストを削減できる可能性があります。

ARMテンプレートを使ってVMを自動デプロイする

Azure Resources Management（ARM）テンプレートは、Azureソリューションのインフラとリソースを定義するJSONファイルです。これにより、仮想マシン（VM）を含むリソースのデプロイと管理を自動化できます。

ARMテンプレートを使用してVMをデプロイすると、Log Analyticsを使用する際にいくつかのメリットがあります：

• 一貫性：ARMテンプレートを使用すると、オペレーティング システム、ハードウェア、ソフトウェアなど、VMの正確な構成を定義できます。これにより、環境全体でVMを一貫してデプロイできます。
• バージョン管理：ARMテンプレートはソース管理に保存されるため、テンプレートの変更を追跡し、必要に応じて以前のバージョンにロールバックできます。これは、VMの構成を長期にわたって管理するのに役立ちます。
• 自動化：ARMテンプレートは、ソフトウェア開発ライフサイクルの一環として、継続的インテグレーションおよび継続的デプロイメント（CI/CD）パイプラインで使用できます。
• 再利用性：ARMテンプレートは、他の環境やサブスクリプションに同様のVMをデプロイするために再利用できます。

Exabeamによるセキュリティ・ログ管理

クラウドセキュリティの管理は、特にデータ、リソース、サービスが大きくなるにつれて難しくなります。設定ミスや可視性の欠如は、データやシステムの侵害に頻繁に悪用されます。この2つの問題は、一元化されたツールがないと発生しやすくなります。

Azure Log Analyticsのダッシュボードとサービスは、特定の開発チームやDevOpsチームに基本的な可視性を提供するには十分かもしれない。しかし、ほとんどの組織では、より高度なセキュリティ対策が必要であり、特定のツールやAzureのようなIaaS/Paasではなく、セキュリティ全体を監視する特定のチームやグループが存在する。複数のインターフェースにログオンすることは、環境内のイベントを全体的に把握するための最も効果的で効率的な方法ではない。

そのため、ログ分析ソリューションは、SIEMやユーザー ・エンティティ行動分析（UEBA）ツールと組み合わされる。UEBAツールは、「正常な」アクティビティのベースラインを作成し、ベースラインから逸脱したアクティビティを特定して警告することができます。

Security Log Management SIEMまたはUEBA（あるいは、 のように両方を1つにしたもの）を介したクラウド管理は、以下のようなメリットがある：Exabeam Fusion

• 一元的な監視の提供 - システムが分散していると、サービスごとに個別のダッシュボードやポータルを用意する必要があるため、監視が困難になることがあります。Log Analyticsは、スタンドアロンのダッシュボードでは見逃してしまうような不審な動作やポリシー違反の動作を警告することができます。
• マルチクラウドやハイブリッドクラウドシステムにおける可視性の確保 - クラウド固有のサービスは、オンプレミスのリソースに拡張できない場合があり、その逆も同様です。Log Analyticsは、ポリシーと設定が環境間で一貫していることを確認するのに役立ちます。例えば、ハイブリッド・ストレージ・サービスにおけるデータの使用と転送を監視することができます。
• コンプライアンス基準の評価と証明に役立つ - Log Analyticsは、追跡可能な統一されたロギングと、実行されたアクションの証拠を提供できます。Log Analyticsのロギングとイベント追跡は、コンプライアンス監査や認証に使用できます。
• システムのニーズに合わせたスケーリング - Log Analyticsは、多くの場合、分散システムを監視するためにデーモンまたはエージェントを使用します。これらのエージェントを使用すると、環境のサイズに合わせてLog Analyticsを拡張できます。システム全体のツールのデータストリームを受け入れ、取り込むことで、使用するツールのスケーラビリティを活用できます。
• Azure Log Analyticsからのシグナルを、クラウドアクセスセキュリティブローカー（CASB）、データ損失防止（DLP）、Azureアクティブディレクトリフェデレーションサービス（AD FS）などの他のクラウドセキュリティツールやログとExabeamのような単一のプラットフォームで組み合わせることで、イベントの完全なタイムラインを構築し、クラウドからリモート、そしてオンプレミスのシステムへの横方向の移動を示す可能性のある他の関連するアラートやアクションを収集することができます。