<p><!--META { "title": "Azure MonitorとKQLを活用した統合監視とアラート戦略", "primary_category": "クラウド>Azure", "secondary_categories": ["監視","セキュリティ","DevOps"], "tags": ["Azure Monitor","Kusto Query Language","KQL","Log Analytics","Azure CLI","RBAC","Azure Entra ID","Defender for Cloud"], "summary": "Azure MonitorとKQLを核とした統合監視・アラート戦略を解説。アーキテクチャから設定、運用、セキュリティ、コスト最適化まで網羅。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Azure MonitorとKQLで実現する統合監視とアラート戦略の全貌。アーキテクチャ、設定、セキュリティ、コスト最適化まで網羅的に解説しています。#Azure #AzureMonitor #KQL","hashtags":["#Azure","#AzureMonitor","#KQL"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/azure/azure-monitor/overview","https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/get-started-queries"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure MonitorとKQLを活用した統合監視とアラート戦略</h1> <p>クラウド環境の健全性を維持し、サービスの信頼性を確保するためには、堅牢な監視システムが不可欠です。Azure MonitorとKusto Query Language（KQL）は、Azureリソース、オンプレミス、そしてハイブリッド環境全体にわたる統合的な可観測性とアラートを実現するための強力なプラットフォームを提供します。クラウドアーキテクトとして、本稿ではその戦略的なアプローチについて解説します。</p> <h2 class="wp-block-heading">1. アーキテクチャ</h2> <p>Azure Monitorは、さまざまなデータソースからテレメトリデータを収集し、一元的に分析・可視化・アラート設定を行うためのAzureサービス群です。その核となるのは、膨大なログデータを格納し、KQLで高度な分析を可能にするLog Analytics Workspaceです。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD subgraph Data Sources A["Azure VM"] -->|Diagnostic Settings| C B["Azure Web App"] -->|Application Insights SDK| C D["Azure SQL Database"] -->|Diagnostic Settings| C E["Azure Activity Log"] -->|Export to| C F["On-Premises Server"] -->|Log Analytics Agent| C G["Custom Application"] -->|API/SDK| C end C["Log Analytics Workspace"] C -->|KQL Query & Analysis| H["Azure Monitor Alerts"] H -->|Trigger| I["Action Groups"] I -->|Email/SMS/Webhook/ITSM| J["Operations Team / Notification Systems"] C -->|Visualization| K["Azure Workbooks / Dashboards / Grafana"] C -->|Security Analysis| L["Azure Defender for Cloud"] </pre></div> <p><strong>主要コンポーネント:</strong></p> <ul class="wp-block-list"> <li><p><strong>Log Analytics Workspace</strong>: 収集されたすべてのログデータ（メトリック、イベント、カスタムログなど）が格納される中央リポジトリです。KQLを使用して、このデータに対する複雑なクエリを実行し、問題の特定、トレンド分析、予測を行います。SKUには「PerGB2018（従量課金）」や「Commitment Tier（コミットメント階層）」があり、データ量に応じて選択します。</p></li> <li><p><strong>Application Insights</strong>: WebアプリケーションやAPIのパフォーマンス、可用性、利用状況を監視するためのAPM (Application Performance Monitoring) サービスです。バックエンドはLog Analytics Workspaceに統合され、アプリケーション固有のテレメトリデータを提供します。</p></li> <li><p><strong>データコレクター</strong>:</p> <ul> <li><p><strong>Azure Diagnostic Settings</strong>: Azureリソース（VM、SQL DB、Web Appなど）のプラットフォームログやメトリックをLog Analytics Workspaceへ転送します。</p></li> <li><p><strong>Log Analyticsエージェント</strong>: Azure VMやオンプレミスサーバーからOSレベルのパフォーマンスデータ、イベントログ、カスタムログを収集します。</p></li> <li><p><strong>Azure Activity Log</strong>: Azureサブスクリプションの管理イベント（リソースの作成、更新、削除など）を収集します。</p></li> <li><p><strong>Custom Collectors</strong>: Logic Apps、Azure Functions、Data Collector APIなどを利用してカスタムログやメトリックを取り込むことが可能です。</p></li> </ul></li> <li><p><strong>Azure Monitor Alerts</strong>: 定義されたKQLクエリまたはメトリック閾値に基づいて、特定の状態が検出された場合にアラートを発報します。</p></li> <li><p><strong>Action Groups</strong>: アラート発生時に実行される通知やアクション（メール、SMS、プッシュ通知、音声通話、Webhook、Logic Apps、ITSM連携など）を定義します。</p></li> </ul> <h2 class="wp-block-heading">2. 設定手順</h2> <p>ここでは、主要なAzureリソースからLog Analytics Workspaceへのデータ収集と、簡単なアラートルールの設定例をAzure CLI (bash) で示します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. リソースグループとLog Analytics Workspaceの作成 RESOURCE_GROUP="my-integrated-monitoring-rg" LOCATION="japaneast" WORKSPACE_NAME="prod-la-workspace-001" echo "リソースグループ ${RESOURCE_GROUP} を作成します..." az group create --name $RESOURCE_GROUP --location $LOCATION --output none echo "Log Analytics Workspace ${WORKSPACE_NAME} を作成します..." az monitor log-analytics workspace create \ --resource-group $RESOURCE_GROUP \ --workspace-name $WORKSPACE_NAME \ --location $LOCATION \ --sku PerGB2018 # または CommitmentTier_100GB_2018 など、要件に応じて選択 --output none WORKSPACE_ID=$(az monitor log-analytics workspace show --resource-group $RESOURCE_GROUP --workspace-name $WORKSPACE_NAME --query id -o tsv) echo "Log Analytics Workspace ID: ${WORKSPACE_ID}" # 2. Azure VMの診断設定を構成 (VMが存在する場合の例) # この例では、Linux VMにLog Analytics Agentをインストールします。 # 既にVMが存在し、そのリソースグループとVM名がわかっているものとします。 VM_NAME="my-linux-app-vm" # 監視対象VMの名前 VM_RESOURCE_GROUP="my-application-vm-rg" # 監視対象VMのリソースグループ echo "VM ${VM_NAME} にLog Analytics Agentをデプロイします..." az vm extension set \ --resource-group $VM_RESOURCE_GROUP \ --vm-name $VM_NAME \ --name "Microsoft.EnterpriseCloud.Monitoring.OmsAgentForLinux" \ --publisher "Microsoft.EnterpriseCloud.Monitoring" \ --version "1.13" \ --protected-settings "{\"workspaceId\":\"${WORKSPACE_ID}\"}" \ --settings "{\"workspaceId\":\"${WORKSPACE_ID}\"}" \ --output none # 3. Application Insightsの作成とLog Analyticsへの接続 (新規作成の例) APP_INSIGHTS_NAME="my-web-app-ai-prod" echo "Application Insights ${APP_INSIGHTS_NAME} を作成し、Log Analyticsに接続します..." az monitor app-insights component create \ --app $APP_INSIGHTS_NAME \ --location $LOCATION \ --resource-group $RESOURCE_GROUP \ --kind web \ --application-type web \ --workspace $WORKSPACE_ID \ --output none # 4. アクショングループの作成 (アラート通知先) ACTION_GROUP_NAME="critical-ops-alert-group" EMAIL_RECEIVER="your-email@example.com" echo "アクショングループ ${ACTION_GROUP_NAME} を作成します..." az monitor action-group create \ --resource-group $RESOURCE_GROUP \ --name $ACTION_GROUP_NAME \ --actions email $EMAIL_RECEIVER name "OpsTeamEmail" \ --output none ACTION_GROUP_ID=$(az monitor action-group show --name $ACTION_GROUP_NAME --resource-group $RESOURCE_GROUP --query id -o tsv) echo "Action Group ID: ${ACTION_GROUP_ID}" # 5. アラートルールの作成 (例: Application InsightsでHTTP 5xxエラーが5分間に10回以上発生した場合) ALERT_RULE_NAME="HighHttp5xxErrorAlert" KQL_QUERY="AppRequests | where ResultCode startswith '5' | summarize AggregatedValue = count() by bin(TimeGenerated, 5m)" echo "アラートルール ${ALERT_RULE_NAME} を作成します..." az monitor scheduled-query create \ --name $ALERT_RULE_NAME \ --resource-group $RESOURCE_GROUP \ --location $LOCATION \ --evaluation-frequency 5m \ --query "$KQL_QUERY" \ --query-type ResultCount \ --condition "gt 10" \ --description "Application InsightsでHTTP 5xxエラーが5分間に10回以上発生" \ --severity 2 \ --window-size 5m \ --actions $ACTION_GROUP_ID \ --workspace $WORKSPACE_ID \ --output none echo "設定が完了しました。" </pre> </div> <p><strong>注</strong>: 上記のKQLクエリはApplication Insightsからの<code>AppRequests</code>テーブルを前提としています。Log Analyticsのテーブルスキーマは収集元によって異なりますので、実際の環境に合わせて調整が必要です。</p> <h2 class="wp-block-heading">3. 運用監視</h2> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: Log AnalyticsのKQLを活用し、Azure Workbooks、Azure Dashboards、またはGrafanaなどのツールで統合的な監視ダッシュボードを構築します。これにより、システムの健全性、パフォーマンス、セキュリティの状態を一目で把握できます。Application Insightsも同様に、アプリケーションのパフォーマンスと利用状況を可視化します。</p></li> <li><p><strong>ログ分析</strong>: KQLは、数テラバイト規模のログデータから特定のイベントやパターンを高速に検出するための強力なツールです。継続的なログ分析により、潜在的な問題を早期に発見し、傾向分析から将来のキャパシティプランニングに役立てます。</p></li> <li><p><strong>SLA/バックアップ/DR</strong>:</p> <ul> <li><p><strong>SLA</strong>: Azure Monitor自体は高い可用性を持つサービスですが、監視対象リソースのSLA達成度を監視するためには、SLA関連のメトリックとカスタムログ（例: 応答時間、エラー率）を収集し、アラートを設定することが不可欠です。</p></li> <li><p><strong>バックアップ</strong>: Log Analytics Workspaceのログデータは、設定されたデータ保持期間（31日～730日）が経過すると自動的に削除されます。長期的な監査や分析のためにデータを保持する必要がある場合は、Log AnalyticsからAzure Storage Accountへのデータエクスポート機能を活用します。</p></li> <li><p><strong>DR (Disaster Recovery)</strong>: Log Analytics Workspaceは、特定のリージョンで可用性ゾーンに対応しており、有効化することでデータプレーンの冗長性を高めることができます。地理的なDR戦略としては、複数のリージョンにLog Analytics Workspaceをデプロイし、Azure Site Recoveryなどと連携して監視データを多重化する構成が考えられます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">4. セキュリティ</h2> <p>監視システムは、システム全体の状況を把握できるため、セキュリティの観点から非常に重要です。</p> <ul class="wp-block-list"> <li><p><strong>アイデンティティと権限境界</strong>:</p> <ul> <li><p><strong>Azure Entra ID (旧 Azure Active Directory)</strong>: 監視システムへのアクセスを制御するすべてのユーザー、グループ、サービスプリンシパルのアイデンティティ管理基盤となります。</p></li> <li><p><strong>Azure RBAC (Role-Based Access Control)</strong>: 最小特権の原則に基づき、監視リソースへのアクセス権限を厳密に管理します。</p> <ul> <li><p><code>Log Analytics Contributor</code>: Log Analytics Workspaceへのデータ送信およびクエリ実行を許可。</p></li> <li><p><code>Log Analytics Reader</code>: Log Analytics Workspaceのデータ読み取りのみ。</p></li> <li><p><code>Monitoring Contributor</code>: 監視ソリューションのデプロイ、アラートルールの作成・管理を許可。</p></li> <li><p><code>Monitoring Reader</code>: 監視データの読み取り、アラートの表示のみ。</p></li> <li><p>特定のチームや個人の職務に応じたカスタムロールの作成も検討します。</p></li> </ul></li> <li><p><strong>条件付きアクセス (CA)</strong>: 監視担当者や自動化アカウントに対して、多要素認証 (MFA) の強制、信頼できる場所からのアクセス限定など、より高度なアクセス制御ポリシーを適用し、監視リソースへの不正アクセスリスクを軽減します。</p></li> </ul></li> <li><p><strong>Azure Defender for Cloud (旧 Azure Security Center)</strong>: Log Analytics Workspaceと統合し、収集されたセキュリティログ（OSログ、ネットワークフローログ、Azure Activity Logなど）を分析します。これにより、脅威検出、脆弱性評価、セキュリティ推奨事項の提供、高度な攻撃検知を実現します。KQLを用いてDefender for Cloudが生成するセキュリティイベントに対し、カスタムクエリを実行することで、独自のセキュリティインシデント検出ルールを構築することも可能です。</p></li> </ul> <h2 class="wp-block-heading">5. コスト最適化</h2> <p>監視コストは大規模環境では無視できないため、計画的な最適化が必要です。</p> <ul class="wp-block-list"> <li><p><strong>Log Analytics Workspace</strong>:</p> <ul> <li><p><strong>データ保持期間の最適化</strong>: 必要な期間のみログデータを保持します。デフォルトの31日、または監査要件やトラブルシューティング期間に応じた最短期間に設定し、不要な長期保持を避けます。</p></li> <li><p><strong>データ取り込み量の監視と削減</strong>: Log AnalyticsのUsage and estimated costsレポートを使用して、データ取り込み量の傾向を把握します。不必要なログ（例: デバッグレベルの詳細すぎるログ、定期的に発生するが監視不要なログ）の収集を停止し、取り込み量を削減します。特にAzure VMの診断設定では、イベントログやパフォーマンスカウンターの収集対象を厳選します。</p></li> <li><p><strong>SKUの適切な選択</strong>: データ取り込み量が安定しており、かつ一定量を超える場合は、従量課金（PerGB2018）よりもコミットメント階層（Commitment Tier）を選択することで、GBあたりの単価が大幅に安くなる可能性があります。</p></li> </ul></li> <li><p><strong>アラートルール</strong>: 不要なアラートルールは削除し、評価頻度を業務要件に応じて調整します。過度な頻度での評価はコストを増加させます。</p></li> <li><p><strong>Application Insights</strong>:</p> <ul> <li><p><strong>サンプリング</strong>: 大量のテレメトリデータが発生するアプリケーションでは、サンプリング機能を利用して収集するデータ量を削減します。これにより、監視の精度を損なうことなくコストを抑制できます。</p></li> <li><p><strong>プロファイラーの利用</strong>: 必要な場合にのみAzure Application Insights Profilerを有効化し、常時稼働を避けることでコストを最適化します。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">6. 落とし穴</h2> <p>統合監視の導入には、いくつかの注意すべき点があります。</p> <ul class="wp-block-list"> <li><p><strong>KQLスキルの不足</strong>: KQLは非常に強力ですが、その学習と習熟には時間がかかります。複雑なログ分析やアラートルールを作成するには、KQLの深い理解と実践的な経験が不可欠です。</p></li> <li><p><strong>ログ収集の過剰/不足</strong>:</p> <ul> <li><p><strong>過剰なログ収集</strong>: コストの増大、Log Analytics Workspaceのパフォーマンス低下、そして「ログの海」から必要な情報を見つける困難さにつながります。</p></li> <li><p><strong>ログ収集の不足</strong>: 重要なイベントやパフォーマンスデータが収集されず、問題発生時の原因特定やトラブルシューティングが困難になります。</p></li> </ul></li> <li><p><strong>アラート疲労 (Alert Fatigue)</strong>: 過剰なアラート設定や不適切な閾値は、担当者に「アラート疲れ」を引き起こし、本当に重要なアラートを見落とすリスクを高めます。適切な閾値設定、アラートのグルーピング、緊急度に応じた通知先の振り分けが重要です。</p></li> <li><p><strong>権限管理の複雑化</strong>: 監視対象リソースの多様性、複数の監視ツール、および担当者の役割に応じたアクセス要件により、RBACの設計と管理が複雑になりがちです。最小権限の原則に基づき、定期的なレビューが必要です。</p></li> <li><p><strong>オンプレミス監視の統合の複雑さ</strong>: オンプレミス環境からのログ収集には、Log Analyticsエージェントのデプロイ、ネットワーク接続（VPN/ExpressRoute）、ファイアウォール設定など、Azure環境に加えて考慮すべき事項が多く、計画とテストが重要です。</p></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Azure MonitorとKQLは、Azureおよびハイブリッド環境における統合監視とアラートを実現するための、非常に強力で柔軟なプラットフォームです。適切なアーキテクチャ設計、具体的な設定手順、KQLを最大限に活用した運用、そして厳格なセキュリティと継続的なコスト最適化を組み合わせることで、システムの安定稼働とビジネス継続性を強力にサポートします。これらの戦略を組織のニーズに合わせて適用し、クラウド環境の可観測性を高めることが、現代のクラウドアーキテクトに求められる重要な役割です。</p>

flowchart TD
    subgraph Data Sources
        A["Azure VM"] -->|Diagnostic Settings| C
        B["Azure Web App"] -->|Application Insights SDK| C
        D["Azure SQL Database"] -->|Diagnostic Settings| C
        E["Azure Activity Log"] -->|Export to| C
        F["On-Premises Server"] -->|Log Analytics Agent| C
        G["Custom Application"] -->|API/SDK| C
    end

    C["Log Analytics Workspace"]
    C -->|KQL Query & Analysis| H["Azure Monitor Alerts"]
    H -->|Trigger| I["Action Groups"]
    I -->|Email/SMS/Webhook/ITSM| J["Operations Team / Notification Systems"]
    C -->|Visualization| K["Azure Workbooks / Dashboards / Grafana"]
    C -->|Security Analysis| L["Azure Defender for Cloud"]

# 1. リソースグループとLog Analytics Workspaceの作成

RESOURCE_GROUP="my-integrated-monitoring-rg"
LOCATION="japaneast"
WORKSPACE_NAME="prod-la-workspace-001"

echo "リソースグループ ${RESOURCE_GROUP} を作成します..."
az group create --name $RESOURCE_GROUP --location $LOCATION --output none

echo "Log Analytics Workspace ${WORKSPACE_NAME} を作成します..."
az monitor log-analytics workspace create \
  --resource-group $RESOURCE_GROUP \
  --workspace-name $WORKSPACE_NAME \
  --location $LOCATION \
  --sku PerGB2018 # または CommitmentTier_100GB_2018 など、要件に応じて選択
  --output none

WORKSPACE_ID=$(az monitor log-analytics workspace show --resource-group $RESOURCE_GROUP --workspace-name $WORKSPACE_NAME --query id -o tsv)
echo "Log Analytics Workspace ID: ${WORKSPACE_ID}"

# 2. Azure VMの診断設定を構成 (VMが存在する場合の例)


# この例では、Linux VMにLog Analytics Agentをインストールします。


# 既にVMが存在し、そのリソースグループとVM名がわかっているものとします。

VM_NAME="my-linux-app-vm" # 監視対象VMの名前
VM_RESOURCE_GROUP="my-application-vm-rg" # 監視対象VMのリソースグループ

echo "VM ${VM_NAME} にLog Analytics Agentをデプロイします..."
az vm extension set \
  --resource-group $VM_RESOURCE_GROUP \
  --vm-name $VM_NAME \
  --name "Microsoft.EnterpriseCloud.Monitoring.OmsAgentForLinux" \
  --publisher "Microsoft.EnterpriseCloud.Monitoring" \
  --version "1.13" \
  --protected-settings "{\"workspaceId\":\"${WORKSPACE_ID}\"}" \
  --settings "{\"workspaceId\":\"${WORKSPACE_ID}\"}" \
  --output none

# 3. Application Insightsの作成とLog Analyticsへの接続 (新規作成の例)

APP_INSIGHTS_NAME="my-web-app-ai-prod"

echo "Application Insights ${APP_INSIGHTS_NAME} を作成し、Log Analyticsに接続します..."
az monitor app-insights component create \
  --app $APP_INSIGHTS_NAME \
  --location $LOCATION \
  --resource-group $RESOURCE_GROUP \
  --kind web \
  --application-type web \
  --workspace $WORKSPACE_ID \
  --output none

# 4. アクショングループの作成 (アラート通知先)

ACTION_GROUP_NAME="critical-ops-alert-group"
EMAIL_RECEIVER="your-email@example.com"

echo "アクショングループ ${ACTION_GROUP_NAME} を作成します..."
az monitor action-group create \
  --resource-group $RESOURCE_GROUP \
  --name $ACTION_GROUP_NAME \
  --actions email $EMAIL_RECEIVER name "OpsTeamEmail" \
  --output none

ACTION_GROUP_ID=$(az monitor action-group show --name $ACTION_GROUP_NAME --resource-group $RESOURCE_GROUP --query id -o tsv)
echo "Action Group ID: ${ACTION_GROUP_ID}"

# 5. アラートルールの作成 (例: Application InsightsでHTTP 5xxエラーが5分間に10回以上発生した場合)

ALERT_RULE_NAME="HighHttp5xxErrorAlert"
KQL_QUERY="AppRequests | where ResultCode startswith '5' | summarize AggregatedValue = count() by bin(TimeGenerated, 5m)"

echo "アラートルール ${ALERT_RULE_NAME} を作成します..."
az monitor scheduled-query create \
  --name $ALERT_RULE_NAME \
  --resource-group $RESOURCE_GROUP \
  --location $LOCATION \
  --evaluation-frequency 5m \
  --query "$KQL_QUERY" \
  --query-type ResultCount \
  --condition "gt 10" \
  --description "Application InsightsでHTTP 5xxエラーが5分間に10回以上発生" \
  --severity 2 \
  --window-size 5m \
  --actions $ACTION_GROUP_ID \
  --workspace $WORKSPACE_ID \
  --output none

echo "設定が完了しました。"