こんにちは、サイオステクノロジー 亀田です。
今回は、Log Analytics を利用してLinux及びWindowsのカスタムログを収集してみたので、
設定例をご紹介したいと思います。
■Linux
(1)Azure Portal で該当の[Log Analytics]のワークスペースを開き、[詳細設定] をクリックします。
(2)[Data]⇒[カスタムログ]をクリックします。
(3)今回 Linux エージェント側で手動で設定しないので、[以下の構成を Linux コンピューターに適用します]のチェックボックスをチェックし、[追加+]をクリックします。
(4)[ファイルを選択]をクリックし、サンプルログをアップロードし、[次へ]をクリックします。
(5)レコードの区切り文字を選択します。
今回は、[改行]を選択します。
なお、レコードの区切り文字の詳細を以下に記載します。
・改行
1 行につき 1 レコードとして収集
・タイムスタンプ
日付と時刻で行が始まる場合に指定可能で、1 行以上のレコードとして収集
※タイムスタンプの場合、ログの先頭に以下のいずれかの形式に一致する
タイムスタンプを使用する必要があります。
YYYY-MM-DD HH:MM:SS
M/D/YYYY HH:MM:SS AM/PM
Mon DD, YYYY HH:MM:SS
yyMMdd HH:mm:ss
ddMMyy HH:mm:ss
MMM d hh:mm:ss
dd/MMM/yyyy:HH:mm:ss zzz
yyyy-MM-ddTHH:mm:ssK
(6)ログ収集パスを追加します。
[Linux]を選択し、該当のログファイルを指定します。
指定後、[+]をクリックし追加し、[次へ]をクリックします。
(7)カスタムログの名前と説明を設定し、[完了]をクリックします。
※カスタムログの名前の最後に自動的に _CL が追加されます。
(8)カスタムログが収集されていることを確認します。
Log Analytics のワークスペースの[Logs]をクリックし、
(7)で作成したカスタムログ名で検索します。
実行例
search * | where ( Type == “Linux_test_CL”)
(9)ログが収集できていることを確認
Linux環境のカスタムログの収集方法については、以上となります。
■Windows
(1)(2)(3)(4)(5)は Linux 手順と同じです。
(6)ログ収集パスを追加します。
[Windows]を選択し、該当のログファイルを指定します。
指定後、[+]をクリックし追加し、[次へ]をクリックします。
(7)は Linux 手順と同じです。
(8)カスタムログが収集されていることを確認します。
Linux 手順と同様に Log Analytics のワークスペースの[Logs]をクリックし、
(7)で作成したカスタムログ名で検索します。
実行例
search * | where ( Type == “Windows_test_CL”)
(9)ログが収集できていることを確認
Linux環境のカスタムログの収集方法については、以上となります。
まとめ
レコードの区切り文字の設定で、ログの先頭がタイムスタンプではない、あるいは該当のタイムスタンプ形式ではないログの場合は、ログ自体のフォーマットを変更して頂くか、改行で収集する方法しかないようです。
機能として Azure 環境及びオンプレ環境の Linux,Windows のログをLog Analytics 上に収集することで監視しやすくなると考えていますので、機会があれば利用して頂ければと思います。
