Azure Monitor の Log Analytics ワークスペースは、Azure 環境のさまざまなソースからログとパフォーマンス データを収集、格納、分析するための一元化されたリポジトリです。 これらのワークスペースは、情報を監視するための主要なデータ シンクとして機能し、高度なクエリ、視覚化、アラート機能をサポートして、ワークロードの正常性とパフォーマンスに関する分析情報を得るのに役立ちます。
この記事では、アーキテクトとして、ワークロードの包括的な監視と可観測性の重要性を理解し、監視戦略の一部として Log Analytics ワークスペースを選択していることを前提としています。 この記事のガイダンスでは、Azure Well-Architected Framework の柱の原則にマップされたアーキテクチャに関する推奨事項を示します。
技術の範囲
このレビューでは、次の Azure リソースに関する相互に関連する決定に焦点を当てます。
- Log Analytics ワークスペース
信頼性
信頼性の柱の目的は、十分な回復性を構築 し、障害から迅速に回復する機能をして継続的な機能を提供することです。
信頼性設計の原則、個々のコンポーネント、システム フロー、およびシステム全体に適用される高度な設計戦略を提供します。
ワークロード設計チェックリスト
信頼性 の設計レビュー チェックリストに基づいて、設計戦略を開始します。 アプリケーションの性質とそのコンポーネントの重要度を念頭に置いて、ビジネス要件との関連性を判断します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
Log Analytics ワークスペースのサービス制限を確認します。サービスの制限に関するセクションでは、データ収集、データ保持、およびサービスのその他の側面に関する制限について説明します。 これらの制限は、効果的なワークロード監視戦略を設計するのに役立ちます。 クエリなどの多くの関数が Log Analytics ワークスペースと連携して動作するため、 Azure Monitor サービスの制限 を確認してください。
ワークスペースの回復性と回復を計画します。 Log Analytics ワークスペースはリージョンであり、リージョン間の冗長性やレプリケーションのサポートが組み込まれていない。 可用性ゾーンの冗長性オプションは制限されています。 これらの制限により、ワークスペースの信頼性要件を決定し、それらの目標を満たすように戦略を立ててください。
要件では、ワークスペースがデータセンターの障害やリージョンの障害に対する回復性を持つ必要があることを規定している場合があります。 または、フェールオーバー リージョン内の新しいワークスペースにデータを回復できる必要があることを規定している場合もあります。
これらの各シナリオでは、追加のリソースとプロセスを成功させる必要があるため、信頼性の目標とコストと複雑さのバランスを取る方法を慎重に検討してください。
信頼性の要件を満たす適切なデプロイ リージョンを選択します 。運用データを出力するワークロード コンポーネントと併置された Log Analytics ワークスペースとデータ収集エンドポイント (DCE) をデプロイします。 ワークロードをデプロイする場所は、ワークスペースと DCEs をデプロイする適切なリージョンの選択を通知する必要があります。
特定の Log Analytics 機能 (専用クラスターなど) のリージョンごとの可用性を、ワークロードの信頼性、コスト、パフォーマンスの要件の中心となるその他の要因と比較することが必要になる場合があります。
クリティカル パスの依存関係からワークスペースを除外します。 Log Analytics ワークスペースは監視システムの重要なコンポーネントとして機能しますが、 ワークロードのクリティカル パスに含めることはできません。 これらのワークスペースは、監視とトラブルシューティングに不可欠な運用データを収集して格納します。 ただし、ワークロードのコア機能は、ワークスペースの可用性に依存しない必要があります。 このアーキテクチャの分離により、監視システムの停止がワークロード ランタイムの障害に連鎖しないようにします。
監視システムが正常であることを確認します。 ワークロードの他のコンポーネントと同様に、監視システムとログ システムが正常に機能していることを確認します。 信頼性の高い可観測性を実現するには、運用チームに正常性データ信号を送信する機能を有効にします。 Log Analytics ワークスペースおよび関連リソースに固有の正常性データ シグナルを設定します。
構成に関する推奨事項
| 勧告 | メリット |
|---|---|
| ワークスペース データの高い持続性をサポートするには、データの回復性をサポートする リージョン に Log Analytics ワークスペースをデプロイします。 | データの回復性により、ログ データのレプリカが可用性ゾーンに分散され、データセンターの停止に対する保護が提供されます。 |
| ワークスペースを同じリージョン内の 専用クラスター にリンクすることを検討してください。 | 専用クラスターを正当化するのに十分なデータを今すぐ収集していない場合でも、この先制的なリージョンの選択は、将来の成長をサポートするのに役立ちます。 |
| ワークロードのインスタンスと同じリージョンにワークスペースをデプロイします。 Log Analytics ワークスペースと同じリージョンの DCEs を 使用します。 ワークロードがアクティブ/アクティブな設計でデプロイされている場合は、ワークロードがデプロイされているリージョン全体に分散した複数のワークスペースと DCEs を使用することを検討してください。 |
ワークスペースと DCE をワークロードと同じリージョンに置くことで、他のリージョンでの停止による影響のリスクが軽減されます。 複数のリージョンにワークスペースをデプロイすると、環境が複雑になりますが、地理的に分散されたワークロードの可用性が向上します。 |
| リージョン障害時のワークスペースの可用性が必要な場合に、異なるリージョン間で複数のワークスペースに 重要なデータを送信 するようにログ マルチキャストを構成します。 データ 収集規則 (DCR) と 診断設定を設定 して、重要なログ ストリームをバックアップ ワークスペースに複製します。 Azure Resource Manager テンプレート (ARM テンプレート) を格納して、代替ワークスペース構成を使用してリソースにアラートを送信し、迅速なフェールオーバーを可能にします。 |
ログ マルチキャストを使用すると、リージョンの障害時のトラブルシューティングとインシデント対応のために、重要な運用データに継続的にアクセスできます。 このアクセスにより、プライマリ監視インフラストラクチャが使用できない場合でも、ワークロードの正常性を把握できます。 トレードオフ: この構成では、インジェストとリテンション期間の料金が重複するため、重要なデータにのみ使用します。 |
| データセンターまたはリージョンの障害でデータを保護する必要がある場合は、別の場所にデータを保存するようにワークスペースからのデータ エクスポート を構成します。 このデータをさらに他のリージョンにレプリケートするには、geo 冗長ストレージ (GRS) や geo ゾーン冗長ストレージ (GZRS) などの Azure Storage 冗長オプションを使用します。 データエクスポートでは、リージョンインジェスト パイプラインに影響を与えるインシデントに対する回復性は提供されません。 データエクスポートでサポートされていないテーブルのエクスポートが必要な場合は、Azure Logic Apps を含む他のデータエクスポート方法を使用してデータを保護できます。 |
履歴の操作ログ データは、エクスポートされた状態では簡単にクエリできない場合があります。 ただし、データが長期にわたる地域的な停止から生き残り、長期間にわたってアクセスして保持できることを保証します。 |
| ミッション クリティカルなワークロードの場合は、リージョンで障害が発生した場合に、複数のワークスペースを使用して高可用性を提供するフェデレーション ワークスペース モデルの実装を検討してください。 このアプローチを実装するには、Azure で信頼性の高いアプリケーションを設計する方法について、 Azure でのミッション クリティカルなワークロードの正常性モデリングと可観測性に 関するページで説明されているガイダンスに従ってください。 |
設計手法には、複数の Log Analytics ワークスペースを含むフェデレーション ワークスペース モデルが含まれています。Azure リージョンの障害など、複数の障害が発生した場合に高可用性を実現します。 この戦略により、リージョン間のエグレス コストが排除され、リージョンの障害時にワークロードは引き続き運用できます。 |
|
データ収集規則の作成と管理に関するベスト プラクティスで説明されているように、DCR ルールをシンプルに保ち、DCR の変換を最小限に抑えるための 1 つの責任の原則を持つ DCR を設計します。 ルール割り当ての構成を使用して、論理ターゲットの望ましい監視スコープを実現します。 |
狭い焦点を絞った DCR を使用すると、ルールの構成ミスのリスクが最小限に抑えられます。 また、DCR が構築されたスコープのみに効果が制限されます。 変換は強力で必要なシナリオもありますが、キーワード クエリ言語 (KQL) の動作をテストしてトラブルシューティングするのは困難な場合があります。 |
| 重要な運用データの収集を継続しながら、暴走を防ぐために 日次上限 の設定を構成します。 重要なデータ収集が停止する前に調査する容量に近づくと、通常の 1 日のインジェスト 量を上回る上限を設定し、アラートを作成します。 トラブルシューティングとインシデント対応の要件に合った データ保持ポリシー を確立します。 この方法では、根本原因分析をサポートするのに十分な期間、重要なログの種類が保持されます。 |
日単位の上限は、迅速なインシデント対応に必要な重要なログ収集が誤って中断されるのを防ぐことで、障害やインシデントの発生時に重要なトラブルシューティング データを継続的に利用できるようにするのに役立ちます。 適切な保持ポリシーでは、信頼性の高いワークロード操作と平均復旧時間の短縮をサポートする、効果的な根本原因分析、傾向識別、パターン認識に必要な履歴運用データへのアクセスが維持されます。 |
|
Log Analytics Workspace Insights を使用して、取り込み量、取り込まれたデータとデータの上限、応答しないログ ソース、失敗したクエリなどを追跡します。 データセンターまたは地域の障害が原因でワークスペースが使用できなくなった場合に事前に通知する 正常性状態アラート を作成します。 |
ワークスペースの分析情報を使用すると、ワークスペースの正常性を正常に監視し、ワークロードの正常性が低下するリスクがある場合に事前に対処できます。 ワークロードの他のすべてのコンポーネントと同様に、正常性メトリックを認識し、傾向を特定して、時間の経過と共に信頼性を向上させることができることが重要です。 |
セキュリティ
セキュリティの柱の目的は、ワークロードに対する機密性、整合性、可用性の 保証を提供することです。
セキュリティ設計原則は、監視およびログ ソリューションに関する技術的な設計にアプローチを適用することで、これらの目標を達成するための高度な設計戦略を提供します。
ワークロード設計チェックリスト
セキュリティ の 設計レビュー チェックリストに基づいて設計戦略を開始し、セキュリティ体制を改善するための脆弱性と制御を特定します。
セキュリティのベスト プラクティスを確認します。 セキュリティのベスト プラクティスについては、 Azure Monitor のセキュリティ ベースライン と Log Analytics ワークスペースへのアクセスの管理に 関する記事を参照してください。
セグメント化を基本原則としてワークスペースをデプロイします 。ネットワーク、データ、アクセス レベルでセグメント化を実装します。 セグメント化は、ワークスペースが適切な程度に分離されるようにするのに役立ちます。 また、信頼性、コストの最適化、オペレーショナル エクセレンス、パフォーマンス効率に関するビジネス要件を満たしながら、可能な限り高いレベルの不正アクセスからワークスペースを保護するのにも役立ちます。
ワークスペースの読み取りと書き込みのアクティビティと関連する ID を監査できることを確認します 。攻撃者は、操作ログを表示することでメリットを得ることができます。 ID が侵害されると、ログインジェクション攻撃につながる可能性があります。 Azure portal から、または API の操作と関連付けられているユーザーを介して実行される操作の監査を有効にします。
ワークスペースを監査するように設定されていない場合は、組織がコンプライアンス要件に違反するリスクにさらされる可能性があります。
堅牢なネットワーク制御を実装します。 ネットワークの分離とファイアウォール機能を使用して、ワークスペースとログへのネットワーク アクセスをセキュリティで保護します。 ネットワーク制御が不十分に構成されると、承認されていないアクセスや悪意のあるアクセスのリスクが高まります。
不変性または長期保有が必要なデータの種類を決定します 。ログ データは、運用システム内のワークロード データと同じ厳密で扱う必要があります。 データ分類プラクティスにログ データを含め、コンプライアンス要件に従って機密ログ データを正常に格納できるようにします。
暗号化を使用して保存中のログ データを保護する: セグメント化だけでは、ログ データの機密性は完全には保護されません。 未承認の生アクセスが発生した場合、保存中のログ データを暗号化すると、不適切なアクターがワークスペースの外部でそのデータを使用するのを防ぐことができます。
難読化によって機密ログ データを保護する: 運用システムに存在するワークロード データと同様に、運用ログに意図的または意図せずに存在する可能性のある機密情報に対して機密性が保持されるように、追加の対策を講える必要があります。 難読化方法を使用すると、機密性の高いログ データを未承認のアクセスから隠すのに役立ちます。
構成に関する推奨事項
| 勧告 | メリット |
|---|---|
| 暗号化キーを制御する必要がある場合は、 カスタマー マネージド キー を使用して、ワークスペース内のデータと保存されたクエリを保護します。 カスタマー マネージド キーには、コスト効率に優れた十分なデータ ボリュームを持つ 専用クラスター が必要です。 暗号化キーを Azure Key Vault に格納し、そのサービスを使用する場合は、特定の Microsoft Sentinel 要件 を考慮してください。 |
カスタマー マネージド キーは、キーのライフ サイクルを制御し、規制または組織の要件で顧客が制御する暗号化が要求されている場合に、データへのアクセスを取り消す機能を提供します。 |
|
ログ クエリ監査を構成して、クエリを実行しているユーザーを追跡します。
Log Analytics Workspace Insights を使用して、このデータを定期的に確認します。 承認されていないユーザーがクエリを実行しようとしたときに事前に通知するように、ログ クエリ アラート ルールを作成することを検討してください。 |
クエリ監査は、ワークスペースで実行される各クエリの詳細を記録し、未承認のアクセスが発生した場合にすぐにキャッチされるようにすることで、セキュリティ体制を強化します。 |
| プライベート リンク機能を使用して、ログ ソースとワークスペース間の通信をプライベート ネットワークに制限します。 | プライベート リンクを使用すると、ネットワークが分離され、特定のワークスペースにアクセスできる仮想ネットワークを制御できます。 このアプローチにより、セグメント化によってセキュリティがさらに強化されます。 |
| 使用可能な場合は、ワークスペース API アクセスに API キーの代わりに Microsoft Entra ID を使用します。 プログラムによるアクセスには、十分な範囲の Microsoft Entra ID ベースのアクセスを使用します。 | Microsoft Entra ID 認証は、クエリ API への API キーベースのアクセスとは異なり、プログラムによるアクセスのためのクライアントごとの監査証跡を提供します。 |
| ワークスペースの アクセス制御モード を [ リソースまたはワークスペースのアクセス許可を使用する] に設定します。 このアクセス制御により、リソース所有者は リソース コンテキストを 使用して、ワークスペースへの明示的なアクセスを許可されずにデータにアクセスできます。 複数のリソースにまたがる一連のテーブルへのアクセスを必要とするユーザーには、 テーブル レベルのロールベースのアクセス制御 (RBAC) を使用します。 適切な 組み込みロール を割り当てて、責任の範囲に応じて、サブスクリプション、リソース グループ、またはワークスペース レベルで管理者にワークスペースのアクセス許可を付与します。 ワークスペース内のデータへのアクセスを許可するためのさまざまなオプションの詳細については、「 Log Analytics ワークスペース へのアクセスの管理」を参照してください。 |
適切なアクセス制御モードの構成により、ワークスペースの構成が簡略化され、ユーザーがアクセスすべきではない操作データにアクセスできなくなります。 テーブルのアクセス許可を持つユーザーは、リソースのアクセス許可に関係なく、テーブル内のすべてのデータにアクセスできます。 |
|
データのエクスポートを使用して、不変ポリシーを使用して Azure Storage アカウントにデータを送信し、データの改ざんから保護します。 コンプライアンス、監査、またはセキュリティの要件に基づいてエクスポートする必要がある特定のデータ型を決定し、必要に応じてデータを 消去 します。 |
不変ポリシーを使用したデータ エクスポートは、監査データの長期的な保持に関するコンプライアンス要件を満たしています。 Log Analytics ワークスペース内のデータは変更できませんが、消去することはできます。 |
| 特定のデータ ソースの構成を使用して収集すべきではないレコードをフィルター処理します。 データ内の特定の列のみを削除または難読化する必要がある場合は、 変換 を使用します。 元のデータを変更しない必要がある標準がある場合は、KQL クエリで 'h' リテラル を使用して、ブックに表示されるクエリ結果を難読化できます。 |
データのフィルター処理と変換は、機密情報の機密性を維持し、要件に積極的に準拠するのに役立ちます。 |
コストの最適化
コストの最適化では、支出パターンの検出 、重要な領域への投資の優先順位付け、ビジネス要件を満たしながら組織の予算を満たすために他の での最適化に重点を置いています。
コスト最適化設計原則は、これらのビジネス目標を達成するための高度な設計戦略を提供します。 また、監視およびログ ソリューションに関連する技術的な設計において、必要に応じてトレードオフを行うのに役立ちます。
ワークロード設計チェックリスト
投資のコスト最適化 の 設計レビュー チェックリストに基づいて、設計戦略を開始します。 ワークロードがワークロードに割り当てられている予算に合わせて設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過と同時に最適化する機会を見つける必要があります。
コスト モデリングの演習を実行します。 これらの演習は、現在のワークスペース のコストを理解し、ワークスペースの増加に対するコストを予測するのに役立ちます。 ワークロードの成長傾向を分析し、ワークロードの拡張計画を理解して、将来の運用ログコストを適切に予測できるようにします。
適切な課金モデルを選択します。 コスト モデルを使用して、シナリオに最適な 課金モデル を決定します。 ワークスペースの現在の使用方法と、ワークロードの進化に合わせてワークスペースを使用する方法によって、従量課金制またはコミットメントレベル モデルがシナリオに最適かどうかが決まります。
ワークスペースごとに異なる課金モデルを選択できることに注意してください。 特定のケースでワークスペース のコストを組み合わせることもできます。そのため、分析と意思決定を細かく行うことができます。
適切な量のログ データを収集します。 不要なログ データを収集しないように、リソース、データ収集規則の構成、カスタム アプリケーション コードのログ記録に関する診断設定の定期的なスケジュールされた分析を実行します。
非運用環境を運用環境とは異なる方法で処理します 。非運用環境を確認して、診断設定とアイテム保持ポリシーが適切に構成されていることを確認します。 これらの設定とポリシーは、多くの場合、運用環境 (特に開発/テスト環境またはサンドボックス環境の場合) よりも大幅に堅牢度が低い場合があります。
構成に関する推奨事項
| 勧告 | メリット |
|---|---|
| 各 Log Analytics ワークスペースが通常収集するデータ量の価格レベルを構成します。 十分なデータを収集する場合は、 コミットメントレベル を使用して、より低いレートと引き換えに収集された毎日の最小データにコミットします。 コミットメント レベルの詳細と、適切な使用レベルを決定する方法に関するガイダンスについては、「 Azure Monitor ログのコストの計算とオプション」を参照してください。 さまざまな価格レベルでの使用量の推定コストを表示するには、「 使用量と推定コスト」を参照してください。 |
コミットメント レベルでは、最小限のコミットメントしきい値を満たすのに十分な日次データ ボリュームを収集する場合、従量課金制の価格と比較して、コストが大幅に削減されます。 |
| 1 つのリージョン内のワークスペース間で十分なデータを収集する場合は、 専用クラスター にリンクし、 クラスターの価格を使用して収集されたボリュームを結合します。 コスト効率の高い価格レベルを実現するために、複数のワークスペースからのインジェスト ボリュームを集計するようにクラスターを構成します。 |
クラスターの価格が設定された専用クラスターでは、同じリージョンに複数のワークスペースがある場合に大幅なコスト削減が実現されます。 このセットアップにより、データ ボリュームを組み合わせて、より高いコミットメント レベルに達し、ギガバイト単位のインジェスト コストを削減できます。 |
|
データ保持とアーカイブを構成します。 ログ クエリでデータをすぐに使用できるようにするための特定の要件を検討してください。 アーカイブされたログを構成して、最大 7 年間データを保持し、検索ジョブまたは一連のデータをワークスペースに復元することで、そのログにアクセスすることがあります。 |
データ保持とアーカイブの構成により、必要に応じて履歴データへのアクセスを維持しながら、既定の期間を超えた長期データ保有のコストが大幅に削減されます。 |
| 大量のデータ ストリームの概要ルールを使用して、ストレージ コストを最適化します。 概要ルール を使用すると、Analytics、Basic、または補助プラン全体のインジェスト率の高いストリームを集計し、集計されたデータに対する堅牢な分析、ダッシュボード、および長期的なレポート エクスペリエンスを提供できます。 概要ルールを使用すると、集計されたデータセットを使用して分析分析情報を維持しながら、大量のログ データのストレージ コストを大幅に削減する自動化されたデータ要約機能が有効になります。 |
サマリー ルールでは、ストレージの最適化のために頻度の高い生データを集計する階層化されたデータ アーキテクチャを作成することで、コスト効率の高い長期的なデータリテンション期間が提供されます。 組織は、集計されたデータセットを通じて詳細な分析情報を維持しながら、長期的なデータ保持費を最適化することで、コスト効率と分析要件のバランスを取ることができます。 |
| Microsoft Sentinel を使用してセキュリティ ログを分析する場合は、別のワークスペースを使用してログを格納することを検討してください。 Microsoft Sentinel の価格を確認して、コストへの影響を理解します。 | 個別のワークスペースを使用すると、Microsoft Sentinel の価格の対象となるセキュリティ ログと、標準の Log Analytics 価格で課金される運用ログを分離することで、コストを制御できます。 |
| デバッグ、トラブルシューティング、および監査に使用されるテーブルを 基本ログとして構成します。 | 基本的なログ構成では、クエリを実行する頻度の低いテーブルのインジェスト コストが低くなります。この場合、インジェスト コストの削減によってクエリ料金を相殺できます。 |
|
診断設定と DCR を構成して、重要な運用データのみを収集することで、適切な量のデータをキャプチャします。 各リソースのデータ ソースを確認して、不要なデータを回避しながら監視値を提供するデータを確実に収集します。 構成ガイダンスについては、 Azure Monitor でのコストの最適化 に関するページを参照してください。 |
適切な量のデータをキャプチャすると、ノイズを排除しながら、運用上重要なデータに焦点を当てることでコストが削減されます。 このアプローチにより、監視目標に寄与しないデータに対して支払うことなく、重要なメトリックを確実にキャプチャできます。 |
| ワークスペースの使用状況データを定期的に分析して、傾向や異常を特定します。
Log Analytics Workspace Insights を使用して、ワークスペースで収集されたデータの量を定期的に確認します。 Log Analytics ワークスペースの [使用状況の分析] の方法を使用してデータ収集をさらに分析し、他の構成で使用量をさらに減らすことができるかどうかを判断します。 |
定期的な使用状況分析を使用すると、さまざまなソース間のデータ収集を理解し、過剰なコストにつながる可能性のある異常や上昇傾向を特定し、新しいデータ ソースを導入するときに事前に経費を管理できます。 |
| 収集したデータの量が多い場合のアラートを作成します。 過剰な使用に対するプロアクティブ通知を設定します。 | 高いデータ収集アラートを使用すると、請求期間が終了する前に発生する可能性のある異常に対処できます。これにより、予期しない請求を回避できます。 |
|
「日次上限を使用するタイミング」の説明に従って、構成ミスや不正使用による暴走の取り込みを防ぐために、日次上限を構成します。 上限に達したとき、およびパーセンテージに達したときに通知するアラートを作成します (容量の 90% など)。 |
日次上限の構成では、予期しない予算超過に対する保護が提供され、重要なデータ収集が停止する前にデータの増加の原因を調査して対処する機会が得られます。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスは主に、開発プラクティス、可観測性、リリース管理の手順に重点を置いています。
オペレーショナル エクセレンス設計原則、ワークロードの運用要件に対してこれらの目標を達成するための高度な設計戦略を提供します。
ワークロード設計チェックリスト
Log Analytics ワークスペースに関連する監視、テスト、デプロイのプロセスを定義するための オペレーショナル エクセレンスの設計レビュー チェックリスト に基づいて、設計戦略を開始します。
ワークロードの Log Analytics ワークスペースに関連するすべての関数に対して、コードとしてのインフラストラクチャ (IaC) を使用します 。ログ収集、インジェスト、ストレージ、および保存されたクエリやクエリ パックを含むクエリ関数を手動で管理および操作することによって発生する可能性がある人為的エラーのリスクを最小限に抑えます。これには、コードを使用してできるだけ多くの関数が自動化されます。
また、正常性状態の変化を報告するアラートと、IaC コードでワークスペースにログを送信するリソースの診断設定の構成を含めます。 ワークスペースの管理のために安全なデプロイ プラクティスが維持されるように、他のワークロード関連のコードと共にコードを含めます。
ワークスペースが正常であり、問題が発生したときに通知を受け取っていることを確認します 。ワークロードの他のコンポーネントと同様に、ワークスペースで問題が発生する可能性があります。 これらの問題は、診断と修正に貴重な時間とリソースを消費する可能性があり、運用ワークロードの状態がチームに認識されなくなることがあります。 ワークスペースの予防的な監視と早期の問題の軽減により、運用チームはトラブルシューティングと修復に費やす時間を短縮できます。
運用環境と非運用環境のワークロードを分離します 。運用環境用に異なるワークスペースを使用することで、運用チームに余分な作業を引き起こす可能性のある不要な複雑さを回避します。これは、非運用環境で使用されるワークスペースとは異なります。 また、テスト アクティビティは運用環境のイベントと見なされる可能性があるため、今後のデータは混乱を招く可能性があります。
Microsoft 以外のソリューションよりも組み込みのツールと関数を優先します。 組み込みのツールを使用して、監視およびログ システムの機能を拡張します。 Log Analytics ワークスペースではすぐに使用できない回復可能性やデータ主権などの要件をサポートするために、追加の構成を用意する必要がある場合があります。 このような場合、実用的な場合は、ネイティブの Azure または Microsoft ツールを使用して、組織でサポートする必要があるツールの数を最小限に抑えます。
一時的なコンポーネントではなく、ワークスペースを静的として扱います。 他の種類のデータ ストアと同様に、ワークスペースはワークロードの一時的なコンポーネントの中で考慮しないでください。 Well-Architected Framework では、一般に、不変のインフラストラクチャと、デプロイの一部としてワークロード内のリソースをすばやく簡単に置き換える機能が優先されます。 ただし、ワークスペース データの損失は致命的で元に戻せない可能性があります。
このため、更新中にインフラストラクチャを置き換える展開パッケージからワークスペースを除外し、ワークスペースに対してインプレース アップグレードのみを実行します。
運用スタッフが Kusto クエリ言語でトレーニングされていることを確認 します。必要に応じて、スタッフをトレーニングしてクエリを作成または変更します。 演算子がクエリを記述または変更できない場合、重要なトラブルシューティングやその他の関数が遅くなる可能性があります。これは、オペレーターが他のチームに依存して作業を行う必要があるためです。
構成に関する推奨事項
| 勧告 | メリット |
|---|---|
| 作成するワークスペースの数や配置場所など、ビジネス要件を満たすように Log Analytics ワークスペース アーキテクチャ を設計します。 ワークロードで一元化されたプラットフォーム チーム オファリングを使用している場合は、必要なすべての運用アクセスを設定してください。 |
適切に設計されたワークスペース戦略では、運用データとセキュリティ データの分散を制限し、潜在的な問題の可視性を高め、パターンを識別しやすくし、メンテナンス要件を最小限に抑えることで、ワークロードの運用効率を最大化します。 |
|
ARM テンプレート、Bicep、Terraform などの IaC テンプレートを使用して Log Analytics ワークスペースをデプロイします。 バージョン管理されたテンプレートでワークスペース構成と保存されたクエリを定義します。 標準化されたベースライン構成を維持しながら、環境固有の設定のテンプレートをパラメーター化します。 |
IaC テンプレートを使用すると、環境間の構成のずれが解消され、一貫性のある反復可能なプロセスによってデプロイ エラーが削減されます。 バージョン管理により、変更の追跡が可能になり、コンプライアンス要件の監査証跡が容易になります。 |
|
Azure Pipelines または GitHub Actions を使用して Log Analytics ワークスペースのデプロイを自動化する継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインを実装します。 運用デプロイの前に、自動テストを統合してワークスペース構成を検証します。 一貫した 安全なデプロイ プラクティスを適用するために、ワークスペース インフラストラクチャ コードをアプリケーション コード リポジトリに併置します。 |
自動化された CI/CD パイプラインは、検証によって一貫した品質を維持しながら、デプロイ時間を短縮します。 安全なデプロイプラクティスにより、人為的エラーのリスクを最小限に抑え、更新中に問題が発生したときにロールバック機能を提供します。 |
| Log Analytics ワークスペースの組み込み ポリシーで Azure Policy を使用して、ワークスペース構成標準を適用します。 必須の診断設定や名前付け規則など、組織固有の要件のカスタム ポリシーを作成します。 適切なスコープでポリシー割り当てを実装して、新しいワークスペースにガバナンス ルールを自動的に適用し、構成の誤差を検出します。 |
ポリシーの適用により、手動による監視なしですべてのワークスペースで一貫したガバナンスが確保され、運用上のオーバーヘッドが軽減されます。 自動コンプライアンス チェックでは、構成の誤差を検出することで、セキュリティと運用上の問題を防ぐことができます。 ポリシーを使用して標準化された構成では、スケーラブルなワークスペース管理がサポートされ、一貫した監査体制が可能になります。 |
|
Log Analytics ワークスペースの分析情報を使用して、Log Analytics ワークスペースの正常性とパフォーマンスを追跡します。 Log Analytics Workspace Insights が定期的に提供する情報を確認して、各ワークスペースの正常性と操作を追跡します。 操作テーブルに基づいてアラート ルールを作成し、運用上の問題が発生したときに事前に通知されるようにします。 ワークスペースに推奨されるアラートを使用して、最も重要なアラート ルールの作成方法を簡略化します。 |
Log Analytics Workspace Insights では、すべてのワークスペースの使用状況、パフォーマンス、正常性、エージェント、クエリ、変更ログの統合ビューが提供されます。 Log Analytics Workspace Insights を使用すると、運用チームや利害関係者がワークスペースの正常性を追跡するために使用できるダッシュボードやレポートなどの簡単に理解できる視覚化を作成できます。 |
| リソース、DCR、アプリケーション ログの詳細度に関する Azure 診断設定を頻繁に見直して、継続的な改善を実践します。 リソース設定を頻繁に確認して、ログ収集戦略を最適化してください。 運用上の観点から、リソースの正常性状態に関する有用な情報を提供するログに焦点を当てることで、ログのノイズを減らすようにします。 |
継続的な改善プラクティスは、オペレーターが問題を調査してトラブルシューティングし、発生したルーチン、即興、または緊急時のタスクを処理するのに役立ちます。 これらのプラクティスでは、運用チームが追跡するために最も重要なアクティビティに焦点を当てることで、ログの量も削減されます。 |
パフォーマンス効率
パフォーマンス効率とは、容量の管理により、負荷が増加してもユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。
パフォーマンス効率設計の原則、予想される使用に対してこれらの容量目標を達成するための高度な設計戦略を提供します。
ワークロード設計チェックリスト
パフォーマンス効率 の設計レビュー チェックリストに基づいて、設計戦略を開始します。 Log Analytics ワークスペースの主要業績評価指標に基づくベースラインを定義します。
Azure Monitor でのログ データ インジェスト待機時間の基礎について理解します。ワークスペースにログを取り込む際の待機時間には、いくつかの要因があります。 これらの要因の多くは、Azure Monitor プラットフォームに固有です。
要因と通常の待機時間の動作を理解することは、ワークロード運用チーム内で適切な期待値を設定するのに役立ちます。
非運用ワークロードと運用ワークロードを分離します 。運用固有のワークスペースは、非運用システムによって生じる可能性のあるオーバーヘッドを軽減します。 分離により、ログ データ処理を処理するために必要なリソースが少なくなり、ワークスペースの全体的なフットプリントが削減されます。
パフォーマンス要件を満たす適切なデプロイ リージョンを選択します 。Log Analytics ワークスペースと DCEs をワークロードの近くにデプロイします。 ワークロードをデプロイする場所は、ワークスペースと DCEs をデプロイする適切なリージョンの選択を通知する必要があります。
ログ データの要件をサポートできないリージョンにワークロードを既にデプロイしている場合は、ワークロードと同じリージョンにワークスペースと DCEs をデプロイすることのパフォーマンス上の利点を、信頼性の要件と比較することが必要になる場合があります。
構成に関する推奨事項
| 勧告 | メリット |
|---|---|
|
ログ クエリ監査を構成し、Log Analytics Workspace Insights を使用して低速で非効率的なクエリを識別します。 低速ログ クエリのパフォーマンスを向上させる方法については、 Azure Monitor の ログ クエリの最適化に関するページを参照してください。 |
最適化されたクエリでは、結果が高速に返され、バックエンドで使用されるリソースが少なくなります。これにより、それらのクエリに依存するプロセスの効率も向上します。 |
| 大規模なデータセットと長期保有データに対する複雑な分析クエリには、検索ジョブを使用します。 検索ジョブ は、長期保有期間のデータを含め、Log Analytics ワークスペース内の任意のデータに対して実行される非同期クエリです。 検索ジョブでは、ワークスペース内に新しい Analytics テーブルが作成され、結果を追加のクエリで使用できるようになります。 この機能により、運用監視から分析ワークロードを分離し、包括的なデータ アクセスを維持しながらシステム パフォーマンスを向上させることができます。 |
検索ジョブは、リアルタイムの監視パフォーマンスに影響を与えることなく、複雑な履歴データ分析をサポートします。 これにより、リソースの競合を最小限に抑えて専用の分析処理が可能になり、セキュリティ チームとアナリストは、運用監視の応答性を維持しながら、アーカイブされたデータに対して集中的なクエリを実行できます。 |
|
Azure Monitor サービスの制限と Log Analytics ワークスペースの制限を確認して、パフォーマンスとワークスペースの設計に影響する可能性がある制限を理解します。 サービスの制限を軽減するように適切に設計します。1 つのワークスペースに関連付けられている制限に達しないように、複数のワークスペースを使用する必要がある場合があります。 |
ワークスペースのパフォーマンスに影響を与える可能性がある制限を理解することは、ワークスペースを軽減し、設計上の決定を他の柱の要件とターゲットとのバランスを取るために適切に設計するのに役立ちます。 |
| 1 つ以上の定義済みの監視スコープ内に、データ ソースの種類に固有の DCR を 作成します。 パフォーマンスとイベント用に個別の DCR を作成して、バックエンド処理のコンピューティング使用量を最適化します。 |
パフォーマンスとイベント用に個別の DCR を使用すると、バックエンド リソースの枯渇を軽減し、Azure Monitor エージェントが応答しなくなる可能性のある過剰なコンピューティング リソースの消費を防ぐことができます。 |
Azure ポリシー
Azure には、Log Analytics とその依存関係に関連する広範な組み込みポリシー セットが用意されています。 上記の推奨事項の一部は、Azure Policy を使用して監査できます。 たとえば、次のコントロールが配置されているかどうかを確認できます。
Log Analytics クラスターは、カスタマー マネージド キーを使用して暗号化されます。
保存されたクエリは、暗号化のために顧客のストレージ アカウントに格納されます。
Log Analytics ワークスペースは、Microsoft Entra ID ベース以外のインジェストをブロックします。
Log Analytics ワークスペースは、パブリック ネットワークからのログ インジェストとクエリをブロックします。
プライベート リンク構成は、セキュリティで保護されたアクセスのために適切に実装されています。
包括的なガバナンスについては、 Log Analytics の Azure Policy 組み込み定義 と、監視およびログ 記録インフラストラクチャのセキュリティに影響する可能性があるその他のポリシーを確認します。
Azure Advisor の推奨事項
Azure Advisor は、Azure デプロイを最適化するためのベスト プラクティスに従うのに役立つ、パーソナライズされたクラウド コンサルタントです。
詳細については、 Advisor を参照してください。