Azure Monitor for VMsを使って監視する

Azure Monitor for VMsを試してみました。

Azureのリリソースの情報や外部との通信情報等が取得出来ます。

Azure Monitor for VMs(マイクロソフト様)

実際に取得される情報はこういうイメージで確認が可能です。

Azure Monitor for VMsでの取得情報を元に、Azure Monitorでの監視設定まで試してみました。

- - Azure Monitor for VMsを設定する
  - Log AnalyticsワークスペースでAzure Monitor for VMsで取得値を確認する
  - Azure Monitorを使って悪意のあるIPへの通信を監視する

1.Azure Monitor for VMsの設定を行う

まず、最初にAzure Monitor for VMsの設定を行います。なおAzure Monitor for VMsではLog Analyticsワークスペースが必要になりますので、転送先がない場合は事前に作成しておきます。

※設定段階でLog Analyticsワークスペースを一緒に新規作成することも可能です。

１)仮想マシン(Virtual Machine)のメニューで分析情報(Insights)を選択すると下記画面が表示されますので、有効をクリックします。

２) Insightsのオンボード設定が表示されますので、Log Analyticsワークスペースを指定して有効をクリックします。(Log AnalyticsワークスペースとAzure VMは同じロケーションを指定が推奨です。)

これでAzure Monitor for VMsの設定は完了です。

先ほど設定した、Log Analyticsワークスペースのメニューでログを選択します。Azure Monitor for VMsの項目が出来ている事が確認出来ました。

実際にクエリをいくつか実行してみます。まずディスク使用率を確認してみます。

#Cドライブのディスク使用率を確認する。

実際にクエリを実行すると以下のような結果が得られます。

Log Analyticsのクエリで確認可能という事は、Azure Monitorを使った監視が可能です。名前がAzure Monitor For VMsなので当たり前なのですが。。。

Azure Monitor For VMsで得られたデータをもとに不正アクセス監視を行ってみます。

Azure Monitor For VMsで悪意あるIPとの通信データが取得出来るそうです。

Azure Monitorで悪意あるIPとの通信があった場合にアラート通知するように設定してみました。

１)Log Analyticsワークスペースのメニューで警告を選択すると下記画面が表示されますので、新しいアラートルールをクリックします。

２)アラートルールの作成画面が表示されますので、条件の選択をクリックします。

３)シグナルロジックの構成画面が表示されますので、シグナル名でCustom log searchを選択します。

４)シグナルロジックの構成の画面で以下の通り設定します。今回は15分間隔での監視設定にしています。

実際の設定はこのような感じになります。

設定が終わったら完了をクリックします。

後は、アクションルールやアラート名の設定等を行えば、Azure Monitorの設定は完了です。

※今回は実際に試験できなかったのですが、経過観察して試してみたい所です。