Service Map は自動的に Windows および Linux のシステム上のアプリケーション コンポーネントを検出し、サービス間の通信をマップします。 Service Map を使用すると、サーバーを、重要なサービスを提供する相互接続されたシステムとして表示できます。 サービス マップには、サーバー間の接続、プロセス、受信接続と送信接続の待機時間、TCP 接続アーキテクチャ全体のポートが表示されます。 エージェントのインストール以外の構成は必要ありません。
重要
サービス マップは、2025 年 9 月 30 日に廃止されます。 TCP 接続アーキテクチャ全体のサーバー、プロセス、受信および送信接続の待機時間、ポート間の接続を監視するには、この日付より前 に必ず Azure Monitor VM 分析情報に移行 してください。
この記事では、Service Map をデプロイして使用する方法について説明します。 ソリューションの前提条件は次のとおりです。
- サポートされているリージョンの Log Analytics ワークスペース。
- ソリューションを有効にしたのと同じワークスペースに接続されている Windows コンピューターまたは Linux サーバーにインストールされている Log Analytics エージェント 。
- Windows コンピューターまたは Linux サーバーにインストールされている 依存関係エージェント 。
注
サービス マップを既にデプロイしている場合は、VM の正常性とパフォーマンスを監視するためのその他の機能を含む VM 分析情報でマップを表示できるようになりました。 詳細については、 VM 分析情報の概要を参照してください。 サービス マップ ソリューションと VM 分析情報マップ機能の違いについては、 この FAQ を参照してください。
Azure にサインインする
Azure portal にサインインします。
サービス マップを有効にする
Azure Marketplace から Service Map ソリューションを有効にします。 または、「 ソリューション ギャラリーからの監視ソリューションの追加」で説明されているプロセスを使用します。
Windows に Dependency Agent を インストールするか、データを取得する各コンピューター に Dependency Agent を Linux にインストール します。 Dependency Agent は、近隣ノードへの接続を監視できるため、すべてのコンピューターにエージェントが必要ない場合があります。
Log Analytics ワークスペースから Azure portal のサービス マップにアクセスします。 左側のウィンドウから [ 従来のソリューション ] オプションを選択します。
![ワークスペースの [ソリューション] オプションの選択を示すスクリーンショット](media/service-map/select-solution-from-workspace.png)
。ソリューションの一覧から ServiceMap(workspaceName) を選択します。 [サービス マップ ソリューションの概要] ページで、[サービス マップの概要] タイルを選択します。
![[サービス マップの概要] タイルを示すスクリーンショット](media/service-map/service-map-summary-tile.png)
。.
ユース ケース: IT プロセスの依存関係を認識させる
発見
Service Map は、サーバー、プロセス、およびサード パーティのサービス全体の依存関係の共通参照マップを自動的に構築します。 すべての TCP 依存関係を検出してマップします。 これは、突然の接続、依存しているリモートのサードパーティ システム、Active Directory などのネットワークの従来の暗い領域への依存関係を識別します。 Service Map は、マネージド システムが行おうとしている失敗したネットワーク接続を検出します。 この情報は、サーバーの構成ミス、サービスの停止、ネットワークの問題の可能性を特定するのに役立ちます。
インシデント管理
サービス マップは、システムがどのように接続され、相互に影響するかを示すことで、問題の分離の推測を排除するのに役立ちます。 失敗した接続の特定に加えて、正しく構成されていないロード バランサー、重要なサービスに対する驚くべき負荷または過剰な負荷、および運用システムと通信する開発者マシンなどの不正なクライアントを特定するのに役立ちます。 Change Tracking と統合ワークフローを使用すると、バックエンド コンピューターまたはサービスの変更イベントがインシデントの根本原因を説明しているかどうかを確認することもできます。
移行の保証
Service Map を使用すると、Azure の移行を効果的に計画、高速化、検証して、何も取り残されておらず、突然の停止が発生しないようにすることができます。 次のようにすることができます。
- 一緒に移行する必要がある相互依存システムをすべて検出します。
- システム構成と容量を評価します。
- 実行中のシステムがまだユーザーにサービスを提供しているか、移行ではなく使用停止の候補であるかを特定します。
移動が完了したら、クライアントの負荷と ID を確認して、テスト システムと顧客が接続していることを確認できます。 サブネット計画とファイアウォール定義に問題がある場合、Service Map のマップで接続に失敗すると、接続が必要なシステムが示されます。
ビジネス継続性
Azure Site Recovery を使用していて、アプリケーション環境の復旧シーケンスの定義に関するヘルプが必要な場合、Service Map はシステムが相互に依存する方法を自動的に示すことができます。 この情報は、復旧計画の信頼性を確保するのに役立ちます。
重要なサーバーまたはグループを選択してそのクライアントを表示することで、サーバーが復元されて使用可能になった後に回復するフロントエンド システムを特定できます。 逆に、重要なサーバーのバックエンドの依存関係を調べることで、フォーカス システムが復元される前に回復するシステムを特定できます。
パッチ管理
Service Map では、サービスに依存している他のチームやサーバーを表示することで、システム更新評価の使用が強化されます。 これにより、修正プログラムを適用するためにシステムを停止する前に、事前に通知することができます。 Service Map では、修正プログラムの適用と再起動後にサービスが使用可能で適切に接続されているかどうかを示すことで、パッチ管理も強化されます。
マッピングの概要
サービス マップ エージェントは、インストールされているサーバー上のすべての TCP 接続プロセスに関する情報を収集します。 また、各プロセスの受信接続と送信接続に関する詳細も収集します。
左側のウィンドウの一覧から、サービス マップ エージェントを持つマシンまたはグループを選択して、指定した時間範囲の依存関係を視覚化できます。 マシンの依存関係マップは、特定のコンピューターに焦点を当てます。 これらのコンピューターには、そのマシンの直接 TCP クライアントまたはサーバーであるすべてのマシンが表示されます。 マシン グループ マップには、サーバーのセットとその依存関係が表示されます。
マップ内でマシンを展開して、選択した時間範囲で実行中のプロセス グループとアクティブなネットワーク接続を持つプロセスを表示できます。 サービス マップ エージェントを持つリモート コンピューターが展開されてプロセスの詳細が表示されると、フォーカス マシンと通信するプロセスのみが表示されます。
フォーカス マシンに接続するエージェントレス フロントエンド マシンの数は、接続先のプロセスの左側に示されます。 フォーカス マシンがエージェントを持たないバックエンド コンピューターに接続している場合、バックエンド サーバーはサーバー ポート グループに含まれます。 このグループには、同じポート番号への他の接続も含まれます。
既定では、Service Map のマップには、過去 30 分間の依存関係情報が表示されます。 左上にある時間コントロールを使用して、最大 1 時間の履歴時間範囲のマップに対してクエリを実行し、過去の依存関係を確認できます。 たとえば、インシデント中や変更が発生する前に、それらの外観を確認できます。 サービス マップ データは、有料ワークスペースでは 30 日間、無料ワークスペースでは 7 日間保存されます。
ステータス バッジと境界線の色分け
マップ内の各サーバーの下部に、サーバーに関する状態情報を伝えるステータス バッジの一覧が表示される場合があります。 バッジは、ソリューション統合のいずれかからのサーバーに関連する情報があることを示します。
バッジを選択すると、右側のウィンドウの状態の詳細が直接表示されます。 現在使用可能な状態バッジには、 アラート、 サービス デスク、 変更、 セキュリティ、 更新プログラムが含まれます。
状態バッジの重大度に応じて、マシン ノードの境界線は赤 (重大)、黄色 (警告)、または青 (情報) に色付けできます。 色は、いずれかのステータス バッジの最も重大な状態を表します。 灰色の境界線は、ステータス インジケーターがないノードを示します。
プロセスグループ
プロセス グループは、共通の製品またはサービスに関連付けられているプロセスをプロセス グループに結合します。 マシン ノードが展開されると、プロセス グループと共にスタンドアロン プロセスが表示されます。 プロセス グループ内のプロセスへの受信または送信接続が失敗した場合、接続はプロセス グループ全体で失敗として表示されます。
機械群
マシン グループを使用すると、1 つだけでなく、一連のサーバーを中心としたマップを表示できます。 この方法では、多層アプリケーションまたはサーバー クラスターのすべてのメンバーを 1 つのマップで確認できます。
ユーザーは、グループに属するサーバーを選択し、グループの名前を選択します。 その後、すべてのプロセスと接続を含むグループを表示できます。 また、グループの他のメンバーに直接関連するプロセスと接続のみを使用して表示することもできます。
コンピューター グループを作成する
グループを作成するには:
[マシン ] ボックスの 一覧で目的のマシンを選択し、[ グループに追加] を選択します。
[ 新規作成] を 選択し、グループに名前を付けます。
注
マシン グループは 10 台のサーバーに制限されています。
グループを表示する
いくつかのグループを作成したら、それらを表示できます。
[ グループ ] タブを選択します。
![[グループ] タブを示すスクリーンショット。](media/service-map/machine-groups-tab.png)
グループ名を選択すると、そのマシン グループのマップが表示されます。
グループに属するマシンは、マップ内で白で囲まれます。
グループを展開して、マシン グループを構成するマシンを一覧表示します。
プロセスによるフィルター処理
マップ ビューを切り替えて、グループ内のすべてのプロセスと接続、またはマシン グループに直接関連するプロセスと接続のみを表示できます。 既定のビューには、すべてのプロセスが表示されます。
マップの上にあるフィルター アイコンを選択して、ビューを変更します。
[すべてのプロセス] を選択すると、グループ内の各マシン上のすべてのプロセスと接続を含むマップが表示されます。
![マシン グループの [すべてのプロセス] オプションを示すスクリーンショット。](media/service-map/machine-groups-all.png)
簡略化されたビューを作成するには、 グループに接続されたプロセスのみを表示するようにビューを変更します。 マップが絞り込まれると、グループ内の他のマシンに直接接続されているプロセスと接続のみが表示されます。
マシンをグループに追加する
既存のグループにマシンを追加するには、目的のマシンの横にあるチェックボックスをオンにし、[ グループに追加] を選択します。 次に、マシンを追加するグループを選択します。
グループからマシンを削除する
[ グループ ] リストで、グループ名を展開して、マシン グループ内のマシンを一覧表示します。 削除するコンピューターの横にある省略記号メニューを選択し、[削除] を選択 します。
グループを削除または名前変更する
[ グループ ] リストのグループ名の横にある省略記号メニューを選択します。
ロールアイコン
特定のプロセスは、Web サーバー、アプリケーション サーバー、データベースなどのマシンで特定の役割を果たします。 サービス マップは、プロセスとマシン ボックスにロール アイコンを付けて注釈を付け、プロセスまたはサーバーが果たす役割をひとめで確認できるようにします。
| ロールアイコン | 説明 |
|---|---|
|
Web サーバー |
|
アプリケーション サーバー |
|
データベース サーバー |
|
LDAP サーバー |
|
SMB サーバー |
失敗した接続
サービス マップでは、失敗した接続がプロセスとコンピューターのマップに表示されます。 赤い破線は、クライアント システムがプロセスまたはポートに到達できなかったことを示します。
失敗した接続が、そのシステムが失敗した接続を試行している場合は、デプロイされた Service Map エージェントを持つ任意のシステムから報告されます。 サービス マップは、接続の確立に失敗した TCP ソケットを監視することで、このプロセスを測定します。 このエラーは、ファイアウォール、クライアントまたはサーバーの構成の誤り、またはリモート サービスが使用できないことが原因で発生する可能性があります。
失敗した接続を理解することは、トラブルシューティング、移行検証、セキュリティ分析、全体的なアーキテクチャの理解に役立ちます。 失敗した接続は無害な場合もありますが、多くの場合、問題を直接示します。 フェールオーバー環境が突然到達不能になったり、クラウド移行後に 2 つのアプリケーション層が通信できなくなる可能性があります。
クライアント グループ
クライアント グループは、依存関係エージェントを持たないクライアント コンピューターを表すマップ上のボックスです。 1 つのクライアント グループは、個々のプロセスまたはマシンのクライアントを表します。
クライアント グループ内のサーバーの IP アドレスを表示するには、グループを選択します。 グループの内容は、[ クライアント グループのプロパティ ] ウィンドウに一覧表示されます。
サーバー ポート グループ
サーバー ポート グループは、依存関係エージェントがないサーバー上のサーバー ポートを表すボックスです。 ボックスには、サーバー ポートと、そのポートへの接続を持つサーバーの数が含まれています。 ボックスを展開して、個々のサーバーと接続を表示します。 ボックスにサーバーが 1 つしかない場合は、名前または IP アドレスが一覧表示されます。
コンテキスト メニュー
任意のサーバーの右上にある省略記号 (...) を選択して、そのサーバーのコンテキスト メニューを表示します。
![サービス マップ内のサーバーの [サーバー マップの読み込み] オプションと [Self-Links の表示] オプションを示すスクリーンショット。](media/service-map/context-menu.png)
サーバー マップの読み込み
[ サーバー マップの読み込み ] を選択すると、選択したサーバーが新しいフォーカス マシンとして新しいマップに移動します。
自己リンクを表示する
[ 自己リンクの表示 ] を選択して、サーバー内のプロセスで開始および終了する TCP 接続である自己リンクを含め、サーバー ノードを再描画します。 自己リンクが表示されている場合は、メニュー コマンドが [ 自己リンクを非表示] に変わり、オフにすることができます。
コンピューターの概要
[マシンの概要] ウィンドウには、サーバーのオペレーティング システム、依存関係の数、および他のソリューションのデータの概要が表示されます。 このようなデータには、パフォーマンス メトリック、サービス デスク チケット、変更追跡、セキュリティ、更新プログラムが含まれます。
![[マシンの概要] ウィンドウを示すスクリーンショット。](media/service-map/machine-summary.png)
コンピューターとプロセスのプロパティ
サービス マップ内でマップ内を移動すると、マシンとプロセスを選択して、そのプロパティに関するより多くのコンテキストを取得できます。 マシンは、DNS 名、IPv4 アドレス、CPU とメモリの容量、VM の種類、オペレーティング システムとバージョン、最後の再起動時刻、および OMS およびサービス マップ エージェントの ID に関する情報を提供します。
![[マシンのプロパティ] ウィンドウを示すスクリーンショット。](media/service-map/machine-properties.png)
実行中のプロセスに関するオペレーティング システム メタデータからプロセスの詳細を収集できます。 詳細には、プロセス名、プロセスの説明、ユーザー名とドメイン (Windows 上)、会社名、製品名、製品バージョン、作業ディレクトリ、コマンド ライン、およびプロセス開始時刻が含まれます。
![[プロセスのプロパティ] ウィンドウを示すスクリーンショット。](media/service-map/process-properties.png)
[プロセスの概要] ウィンドウには、バインドされたポート、受信接続と送信接続、失敗した接続など、プロセスの接続に関する詳細情報が表示されます。
![[プロセスの概要] ウィンドウを示すスクリーンショット。](media/service-map/process-summary.png)
アラートの統合
Service Map は Azure Alerts と統合され、選択した時間範囲内の選択したサーバーに対して発生したアラートが表示されます。 サーバーには、現在のアラートがある場合はアイコンが表示され、[ マシン アラート] ウィンドウにアラートが一覧表示されます。
![[マシン アラート] ウィンドウを示すスクリーンショット。](media/service-map/machine-alerts.png)
Service Map で関連するアラートを表示できるようにするには、特定のコンピューターに対して発生するアラート ルールを作成します。 適切なアラートを作成するには:
- コンピューターごとにグループ化するための句を含めます。 たとえば、 コンピューターの間隔は 1 分です。
- メトリック測定に基づいてアラートを生成することを選択します。
ログ イベントの統合
Service Map は、ログ検索と統合され、選択した時間範囲内の選択したサーバーで使用可能なすべてのログ イベントの数が表示されます。 イベント数の一覧で任意の行を選択して、ログ検索に移動し、個々のログ イベントを表示できます。
![[マシン ログ イベント] ウィンドウを示すスクリーンショット。](media/service-map/log-events.png)
Service Desk の統合
Service Map と IT Service Management Connector の統合は、両方のソリューションが有効になっており、Log Analytics ワークスペースで構成されている場合に自動的に行われます。 Service Map の統合には、"Service Desk" というラベルが付いています。詳細については、「 IT Service Management Connector を使用して ITSM 作業項目を一元管理する」を参照してください。
[Machine Service Desk] ウィンドウには、選択した時間範囲内の選択したサーバーのすべての IT サービス管理イベントが一覧表示されます。 現在の項目があり、[Machine Service Desk] ウィンドウにアイコンが一覧表示されている場合は、サーバーにアイコンが表示されます。
接続されている ITSM ソリューションで項目を開くには、[ 作業項目の表示] を選択します。
ログ検索で項目の詳細を表示するには、[ログ検索 で表示] を選択します。 接続メトリックは、Log Analytics の 2 つの新しいテーブルに書き込まれます。
チェンジトラッキングの統合
Service Map と Change Tracking の統合は、両方のソリューションが有効になっており、Log Analytics ワークスペースで構成されている場合に自動的に行われます。
[Machine Change Tracking]\(マシンの変更追跡\) ウィンドウには、最新の変更と、ログ検索にドリルダウンして詳細を表示するためのリンクが一覧表示されます。
![[マシン変更の追跡] ウィンドウを示すスクリーンショット。](media/service-map/change-tracking.png){kind=tracking}
次の図は、Log Analytics で [表示] を選択した後に表示される ConfigurationChange イベントの詳細なビューです。
パフォーマンスの統合
[ マシン パフォーマンス ] ウィンドウには、選択したサーバーの標準パフォーマンス メトリックが表示されます。 メトリックには、CPU 使用率、メモリ使用率、送受信されたネットワーク バイト数、および送受信されたネットワーク バイト別の上位プロセスの一覧が含まれます。
![[マシンのパフォーマンス] ウィンドウを示すスクリーンショット。](media/service-map/machine-performance.png)
パフォーマンス データを表示するには、 適切な Log Analytics パフォーマンス カウンターを有効にする必要がある場合があります。 有効化したいカウンター:
ウィンドウズ:
- プロセッサー(*)\% プロセッサー時間
- メモリ\% コミット済みバイトの使用状況
- ネットワーク アダプター(*)\秒あたりのバイト送信量
- ネットワーク アダプター(*)\受信バイト数/秒
Linux:
- プロセッサ(*)\% プロセッサ時間
- メモリ(*)\% 使用メモリ
- ネットワーク アダプター(*)\送信バイト数/秒
- ネットワーク アダプター(*)\受信バイト数/秒
セキュリティ統合
Service Map と Security and Audit の統合は、両方のソリューションが有効になっており、Log Analytics ワークスペースで構成されている場合に自動的に行われます。
[コンピューターのセキュリティ] ウィンドウには、選択したサーバーのセキュリティと監査ソリューションのデータが表示されます。 ウィンドウには、選択した時間範囲におけるサーバーの未解決のセキュリティの問題の概要が一覧表示されます。 セキュリティの問題のいずれかを選択すると、ログ検索にドリルダウンされ、詳細が表示されます。
![[コンピューターのセキュリティ] ウィンドウを示すスクリーンショット。](media/service-map/machine-security.png)
統合アップデート
Service Map と Update Management の統合は、両方のソリューションが有効になっており、Log Analytics ワークスペースで構成されている場合に自動的に行われます。
[ マシンの更新] ウィンドウには、選択したサーバーの更新管理ソリューションのデータが表示されます。 ウィンドウには、選択した時間範囲内にサーバーに不足している更新プログラムの概要が一覧表示されます。
![[マシンの更新] ウィンドウを示すスクリーンショット。](media/service-map/machine-updates.png)
ログアナリティクスのレコード
Log Analytics では、サービス マップ コンピューターとプロセス インベントリ データを 検索 できます。 このデータは、移行計画、容量の分析、探索、必要に応じたパフォーマンスのトラブルシューティングといったシナリオに適用できます。
プロセスまたはコンピューターの起動時またはサービス マップへのオンボード時に生成されるレコードに加えて、一意のコンピューターとプロセスごとに 1 時間あたり 1 つのレコードが生成されます。 これらのレコードには、次の表のプロパティがあります。
ServiceMapComputer_CL イベントのフィールドと値は、ServiceMap Azure Resource Manager API のマシン リソースのフィールドにマップされます。 ServiceMapProcess_CL イベントのフィールドと値は、ServiceMap Azure Resource Manager API のプロセス リソースのフィールドにマップされます。 ResourceName_s フィールドは、対応する Resource Manager リソースの名前フィールドと一致します。
注
サービス マップ 機能が拡大するにつれて、これらのフィールドは変更される可能性があります。
内部で生成されたプロパティを使用して、一意のプロセスとコンピューターを識別できます。
- コンピューター: ResourceId または ResourceName_s を使用して、Log Analytics ワークスペース内のコンピューターを一意に識別します。
- プロセス: ResourceId を 使用して、Log Analytics ワークスペース内のプロセスを一意に識別します。 ResourceName_s は、プロセス がMachineResourceName_s実行されているコンピューターのコンテキスト内で一意です。
指定の時間範囲にある指定のプロセスとコンピューターについては、複数のレコードが存在できるため、クエリは、同じコンピューターまたはプロセスに対して複数のレコードを返すことがあります。 最新のレコードのみが返されるようにするには、"| dedup ResourceId" をクエリに追加します。
接続
接続メトリックは、 VMConnection という名前の Log Analytics の新しいテーブルに書き込まれます。 次の表は、マシンの受信接続と送信接続に関する情報を示しています。 接続メトリックは、時間枠内に特定のメトリックを取得する手段を提供する API でも公開されます。
リッスン ソケットでの受け入れによって生じる TCP 接続はインバウンドです。 特定の IP とポートに接続することによって作成された接続は送信されます。 接続の方向は、inboundまたはoutboundに設定できるDirection プロパティによって表されます。
これらのテーブル内のレコードは、Dependency Agent によって報告されたデータから生成されます。 すべてのレコードは、1 分間の観測値を表します。
TimeGenerated プロパティは、時間間隔の開始を示します。 各レコードには、それぞれのエンティティ、つまり接続またはポート、およびそのエンティティに関連付けられているメトリックを識別するための情報が含まれています。 現時点では、IPv4 経由の TCP を使用して発生したネットワーク アクティビティのみが報告されます。
コストと複雑さを管理するため、接続レコードは個々の物理ネットワーク接続を表すものではありません。 複数の物理ネットワーク接続は、論理接続にグループ化され、その後それぞれのテーブルに反映されます。 そのため、 VMConnection テーブル内のレコードは、観察される個々の物理接続ではなく、論理的なグループ化を表します。
指定された 1 分間に次の属性に対して同じ値を共有する物理ネットワーク接続は、 VMConnection 内の 1 つの論理レコードに集約されます。
| プロパティ | 説明 |
|---|---|
Direction |
接続の方向。 値は 受信 または 送信です。 |
Machine |
コンピューターの FQDN。 |
Process |
接続の開始または受諾するプロセスまたはプロセスのグループの ID です。 |
SourceIp |
送信元の IP アドレス。 |
DestinationIp |
送信先の IP アドレス。 |
DestinationPort |
送信先のポート番号。 |
Protocol |
接続に使用されるプロトコル。 値は tcp です。 |
グループ化の影響を考慮するために、グループ化された物理接続の数に関する情報は、レコードの次のプロパティで提供されます。
| プロパティ | 説明 |
|---|---|
LinksEstablished |
レポート時間枠中に確立された物理ネットワーク接続の数。 |
LinksTerminated |
レポート時間枠中に終了された物理ネットワーク接続の数。 |
LinksFailed |
報告時間枠の間に失敗した物理ネットワーク接続の数。 現在のところ、この情報は送信接続に対してのみ使用できます。 |
LinksLive |
レポート時間枠の最後に開いていた物理ネットワーク接続の数。 |
メトリック
接続数メトリックに加えて、特定の論理接続またはネットワーク ポートで送受信されるデータの量に関する情報も、レコードの次のプロパティに含まれます。
| プロパティ | 説明 |
|---|---|
BytesSent |
報告時間枠の間に送信された合計バイト数。 |
BytesReceived |
報告時間枠の間に受信された合計バイト数。 |
Responses |
報告時間枠の間に観測された応答の数。 |
ResponseTimeMax |
レポート時間枠中に観察された最大応答時間 (ミリ秒単位)。 値がない場合、プロパティは空白です。 |
ResponseTimeMin |
レポート時間枠中に観察された最小応答時間 (ミリ秒単位)。 値がない場合、プロパティは空白です。 |
ResponseTimeSum |
レポート時間枠中に観察されたすべての応答時間の合計 (ミリ秒単位)。 値がない場合、プロパティは空白です |
報告される 3 番目の種類のデータは応答時間です。 呼び出し元は、接続経由で送信された要求が処理され、リモート エンドポイントによって応答されるのを待機するのにどのくらいの時間を費やしますか?
報告される応答時間は、内在するアプリケーション プロトコルの実際の応答時間の推定値です。 これは、物理ネットワーク接続のソースと宛先の間のデータ フローの観察に基づいてヒューリスティックを使用して計算されます。
概念的には、応答時間とは、要求の最後のバイトが送信者から出発する時刻と、応答の最後のバイトが送信者に到着する時刻の差です。 これら 2 つのタイムスタンプは、特定の物理接続での要求イベントと応答イベントを示すために使用されます。 これらの差は、1 つの要求の応答時間を表します。
この機能のこの最初のリリースでは、アルゴリズムは、特定のネットワーク接続に使用される実際のアプリケーション プロトコルに応じて、さまざまな程度の成功で動作する可能性がある近似値です。 たとえば、現在のアプローチは、HTTP/HTTPS などの要求応答ベースのプロトコルに適しています。 ただし、この方法は、一方向またはメッセージキューベースのプロトコルでは機能しません。
考慮すべき重要な点は次のとおりです。
- プロセスが同じ IP アドレスでも複数のネットワーク インターフェイスで接続を受け入れる場合、インターフェイスごとに別のレコードが報告されます。
- ワイルドカード IP 付きレコードにはアクティビティはありません。 これらは、マシン上のポートが受信トラフィックにオープンであるという事実を表すために加えられています。
- 冗長性とデータ量を減らすために、ワイルドカード IP 付きレコードは、特定の IP アドレスと一致するレコード (同じプロセス、ポート、プロトコル) がある場合は省略されます。 ワイルドカード IP レコードを省略すると、特定の IP アドレスを持つ
IsWildcardBindレコード プロパティがTrue.に設定されます。この設定は、ポートがレポート マシンのすべてのインターフェイスで公開されていることを示します。 - 特定のインターフェイスでのみバインドされているポートは、
IsWildcardBindFalseに設定されます。
名前付けと分類
便宜上、接続のリモート終了の IP アドレスは、 RemoteIp プロパティに含まれています。 受信接続の場合、 RemoteIp は SourceIpと同じですが、送信接続の場合は DestinationIpと同じです。
RemoteDnsCanonicalNames プロパティは、RemoteIpのコンピューターによって報告される DNS 正規名を表します。
RemoteDnsQuestionsプロパティとRemoteClassification プロパティは、将来使用するために予約されています。
地理位置情報
VMConnection には、レコードの次のプロパティに、各接続レコードのリモートエンドの位置情報情報も含まれています。
| プロパティ | 説明 |
|---|---|
RemoteCountry |
RemoteIpをホストする国/地域の名前。 たとえば、 米国です。 |
RemoteLatitude |
地理位置の緯度。 たとえば 、47.68 です。 |
RemoteLongitude |
地理的位置情報の経度。 たとえば、 -122.12 です。 |
悪意のある IP
VMConnection テーブル内のすべてのRemoteIpプロパティは、既知の悪意のあるアクティビティを持つ IP のセットに対してチェックされます。
RemoteIpが悪意があると識別された場合、レコードの次のプロパティに次のプロパティが設定されます (IP が悪意があると見なされない場合は空になります)。
| プロパティ | 説明 |
|---|---|
MaliciousIp |
RemoteIp アドレス。 |
IndicatorThreadType |
検出された脅威インジケーターは、 Botnet、 C2、 CryptoMining、 Darknet、 DDos、 MaliciousUrl、 Malware、 Phishing、 Proxy、 PUA、 Watchlist のいずれかの値です。 |
Description |
観察対象の脅威の説明。 |
TLPLevel |
トラフィック ライト プロトコル (TLP) レベルは、定義された値の 1 つです。 白、 緑、 オレンジ、 赤。 |
Confidence |
値は "0 から 100" です。 |
Severity |
値は 0 ~ 5 で、 5 は最も重大で、 0 は重大ではありません。 既定値は 3 です。 |
FirstReportedDateTime |
プロバイダーが初めてインジケーターをレポートした時間。 |
LastReportedDateTime |
Interflow によってインジケーターが最後に表示された時間。 |
IsActive |
インジケーターが True または False の値で非アクティブ化されていることを示します。 |
ReportReferenceLink |
特定の観測可能な脅威に関連するレポートにリンクします。 |
AdditionalInformation |
監視対象の脅威に関する詳細情報 (該当する場合) を提供します。 |
ServiceMapComputer_CLのレコード
ServiceMapComputer_CLの種類のレコードには、Service Map エージェントを使用するサーバーのインベントリ データがあります。 これらのレコードには、次の表のプロパティがあります。
| プロパティ | 説明 |
|---|---|
Type |
ServiceMapComputer_CL |
SourceSystem |
OpsManager |
ResourceId |
ワークスペース内のマシンに対する一意の識別子 |
ResourceName_s |
ワークスペース内のマシンの一意識別子 |
ComputerName_s |
コンピューターの FQDN |
Ipv4Addresses_s |
サーバーの IPv4 アドレスの一覧 |
Ipv6Addresses_s |
サーバーの IPv6 アドレスの一覧 |
DnsNames_s |
DNS 名の配列 |
OperatingSystemFamily_s |
Windows または Linux |
OperatingSystemFullName_s |
オペレーティング システムのフル ネーム |
Bitness_s |
マシンのビット数 (32 ビットまたは 64 ビット) |
PhysicalMemory_d |
物理メモリ (MB) |
Cpus_d |
CPU の数 |
CpuSpeed_d |
CPU 速度 (MHz) |
VirtualizationState_s |
不明, 物理, 仮想, ハイパーバイザー |
VirtualMachineType_s |
hyperv、 vmware など |
VirtualMachineNativeMachineId_g |
ハイパーバイザーによって割り当てられた VM ID |
VirtualMachineName_s |
VM の名前 |
BootTime_t |
起動時間 |
ServiceMapProcess_CL 型レコード
ServiceMapProcess_CLの種類のレコードには、Service Map エージェントを使用するサーバー上の TCP 接続プロセスのインベントリ データがあります。 これらのレコードには、次の表のプロパティがあります。
| プロパティ | 説明 |
|---|---|
Type |
ServiceMapProcess_CL |
SourceSystem |
OpsManager |
ResourceId |
ワークスペース内のプロセスにおける一意の識別子 |
ResourceName_s |
実行中のマシン内のプロセスの一意識別子 |
MachineResourceName_s |
マシンのリソース名 |
ExecutableName_s |
プロセスの実行可能ファイルの名前 |
StartTime_t |
プロセス プールの開始時刻 |
FirstPid_d |
プロセス プール内の最初の PID |
Description_s |
プロセスの説明 |
CompanyName_s |
会社名 |
InternalName_s |
内部名 |
ProductName_s |
製品の名前 |
ProductVersion_s |
製品バージョン |
FileVersion_s |
ファイル バージョン |
CommandLine_s |
コマンド ライン |
ExecutablePath _s |
実行可能ファイルのパス |
WorkingDirectory_s |
作業ディレクトリ |
UserName |
プロセスが実行されているアカウント |
UserDomain |
プロセスが実行されているドメイン |
ログ検索のサンプル
このセクションでは、ログ検索のサンプルを一覧表示します。
既知のすべてのマシンを一覧表示する
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId
すべての管理対象コンピューターの物理メモリ容量を一覧表示する
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project PhysicalMemory_d, ComputerName_s
コンピューター名、DNS、IP、OS を一覧表示する
ServiceMapComputer_CL | summarize arg_max(TimeGenerated, *) by ResourceId | project ComputerName_s, OperatingSystemFullName_s, DnsNames_s, Ipv4Addresses_s
コマンド ラインに "sql" が含まれるすべてのプロセスを検索する
ServiceMapProcess_CL | where CommandLine_s contains_cs "sql" | summarize arg_max(TimeGenerated, *) by ResourceId
特定のマシン (最新のレコード) をリソース名から検索する
search in (ServiceMapComputer_CL) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by ResourceId
特定のマシン (最新のレコード) を IP アドレスから検索する
search in (ServiceMapComputer_CL) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by ResourceId
指定したマシン上の既知のプロセスをすべて一覧表示する
ServiceMapProcess_CL | where MachineResourceName_s == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by ResourceId
SQL を実行しているすべてのコンピューターを一覧表示する
ServiceMapComputer_CL | where ResourceName_s in ((search in (ServiceMapProcess_CL) "\*sql\*" | distinct MachineResourceName_s)) | distinct ComputerName_s
データセンター内にあるすべての製品バージョンの curl を一覧表示
ServiceMapProcess_CL | where ExecutableName_s == "curl" | distinct ProductVersion_s
CentOS を実行しているすべてのコンピューターのコンピューター グループを作成
ServiceMapComputer_CL | where OperatingSystemFullName_s contains_cs "CentOS" | distinct ComputerName_s
マシンのグループからの送信接続を要約します
// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(ServiceMapComputer_CL
| summarize ips=makeset(todynamic(Ipv4Addresses_s)) by MonitoredMachine=ResourceName_s
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort
| where Machine in (remoteMachines)
| summarize arg_max(TimeGenerated, *) by PortId
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
REST API
Service Map のすべてのサーバー、プロセス、および依存関係データは、 Service Map REST API を介して使用できます。
診断と使用状況データ
Microsoft は、サービス マップを使用して使用状況とパフォーマンス データを自動的に収集します。 Microsoft はこのデータを使用して、Service Map の品質、セキュリティ、整合性を提供および向上させます。
正確で効率的なトラブルシューティング機能を提供するために、データにはソフトウェアの構成に関する情報が含まれます。 この情報には、オペレーティング システムとバージョン、IP アドレス、DNS 名、ワークステーション名を指定できます。 名前や住所などの連絡先情報は収集されません。
データの収集と使用の詳細については、「Microsoft オンライン サービスのプライバシーに関する声明」を参照してください。
次のステップ
Service Map によって収集されたデータを取得するための Log Analytics の ログ検索 の詳細について説明します。
トラブルシューティング
Service Map のインストールまたは実行に問題がある場合は、このセクションが役立ちます。 それでも問題を解決できない場合は、Microsoft サポートにお問い合わせください。
依存関係エージェントのインストールに関する問題
このセクションでは、Dependency Agent のインストールに関する問題について説明します。
インストーラーが再起動を要求する
依存関係エージェントは 通常 、インストール時または削除時に再起動する必要はありません。 まれに、Windows Server でインストールを続行するために再起動が必要になる場合があります。 この問題は、依存関係 (通常は Microsoft Visual C++ 再頒布可能ライブラリ) で、ファイルがロックされているために再起動が必要な場合に発生します。
"Dependency Agent をインストールできません: Visual Studio ランタイム ライブラリが (code = [code_number]) をインストールできませんでした" というメッセージが表示される
Microsoft Dependency Agent は、Microsoft Visual Studio ランタイム ライブラリ上にビルドされます。 ライブラリのインストール中に問題が発生した場合は、メッセージが表示されます。
ランタイム ライブラリのインストーラーは、%LOCALAPPDATA%\temp フォルダー内にログを作成します。 ファイルは dd_vcredist_arch_yyyymmddhhmmss.logで、 arch が x86 または amd64 で、 yyyymmddhhmmss はログが作成された日時 (24 時間時計に基づく) です。 ログには、インストールをブロックしている問題に関する詳細が表示されます。
最初に最新のランタイム ライブラリをインストールしておくことをお勧めします。
次の表に、コード番号と推奨される解決策を示します。
| コード | 説明 | 解決策 |
|---|---|---|
| 0x17 | ライブラリのインストーラーは、まだインストールされていない Windows Update を要求しています。 | 最新のライブラリ インストーラー ログを確認してください。Windows8.1-KB2999226-x64.msuへの参照の後にError 0x80240017: Failed to execute MSU package,という行が続く場合、KB2999226をインストールするための前提条件を満たしていません。
Windows のユニバーサル C ランタイムに関する記事の前提条件セクションの手順に従います。 前提条件をインストールするには、Windows Update を実行して複数回再起動する必要がある場合があります。Microsoft Dependency Agent インストーラーをもう一度実行します。 |
インストール後の問題
このセクションでは、インストール後の問題について説明します。
サービス マップにサーバーが表示されない
Dependency Agent のインストールが成功したが、サービス マップ ソリューションにマシンが表示されない場合:
Dependency Agent は正しくインストールされているのでしょうか? サービスがインストールされているか、実行中かを確認します。
- Windows: Microsoft Dependency Agent という名前のサービスを探します。
- Linux: 実行中のプロセス microsoft-dependency-agent を探します。
Log Analytics の Free レベルを使用していますか? Free プランでは、一意の Service Map マシンを最大 5 台まで使用できます。 それ以降のマシンは、前の 5 台でデータを送信していない場合でも、サービス マップに表示されません。
サーバーがログとパフォーマンス データを Azure Monitor ログに送信していますか? Azure Monitor\Logs に移動し、お使いのコンピューターに対して次のクエリを実行します。
Usage | where Computer == "admdemo-appsvr" | summarize sum(Quantity), any(QuantityUnit) by DataType
結果にはさまざまなイベントが含まれますか? そのデータは最近のものですか? そうである場合は、Log Analytics エージェントは正しく動作しており、ワークスペースと通信しています。 そうでない場合は、コンピュータでエージェントを確認します。 Windows のトラブルシューティング用 Log Analytics エージェントまたは Linux 用 Log Analytics エージェントのトラブルシューティングに関するページを参照してください。
サービス マップにサーバーが表示されますが、プロセスがありません
サービス マップにマシンが表示されますが、プロセスまたは接続データがありません。 この動作は、Dependency Agent がインストールされ、実行されているが、カーネル ドライバーが読み込まれていないことを示します。
Windows の場合は C:\Program Files\Microsoft Dependency Agent\logs\wrapper.log file 、Linux の場合は /var/opt/microsoft/dependency-agent/log/service.log file を確認してください。 ファイルの最後の行に、カーネルがロードされなかった原因が示されています。 たとえば、カーネルを更新した場合にそのカーネルが Linux でサポートされないことがあります。
推奨事項
Service Map またはこのドキュメントに関するフィードバックはありますか? 機能を提案したり、既存の提案に投票したりできる ユーザー音声ページ をご覧ください。