メインコンテンツまでスキップ
Sumo Logic Japanese

イベント ハブからの Azure Audit アプリケーションのログの収集

Azure Activity ログを Event Hub から収集するには、Hosted Collector で HTTP Source を設定し、Azure Resource Manager (ARM) テンプレートを使用して必要な Azure リソースを作成し、必要な環境変数を作成し、フェイルオーバー データ用の Blob コンテナを作成し、アクティビティ ログを Event Hub にエクスポートします。

このページでは、Azure Audit ログを Azure Monitor から Event Hub に、Azure 関数に、そして最終的に Sumo Logic の Hosted Collector 上にある HTTP Source に転送するためのパイプラインを設定する手順を紹介します。

ソリューションの適合性は次のとおりです。

  • Azure Monitor はほとんどの Microsoft Azure サービス (Azure Audit を含む) のログを収集し、データを Azure Event Hub にストリーミングします。 
  • Azure Event Hubs はデータ ストリーミング プラットフォームおよびイベント取り込みサービスです。このパイプラインでは、Event Hub は Azure Monitor によって収集されたログを Azure 関数にストリーミングします。 
  • Azure 関数は、ログを Sumo HTTP Source に、関数ログを 1 つのストレージ アカウントに、フェイルオーバー データをもう 1 つのストレージ アカウントに送信するために Event Hub によってトリガされる小規模なコードです。

CollectLogsforAzureAudit.png

ステップ 1.HTTP Source を設定する

このステップでは、Azure 関数により送信される Azure Activity ログの送信先の HTTP Source を設定します。

  1. HTTP Source を設定する Hosted Collector を選択します。必要に応じて、「Hosted Collector を設定する」の説明に従って Hosted Collector を新規作成します。
  2. 「HTTP ログとメトリクス Source」の説明に従って HTTP Source を設定します。 

ステップ 2.ARM テンプレートを使用して Azure リソースを設定する

このステップでは、Sumo 提供の Azure Resource Manager (ARM) テンプレートを使用して、Event Hub、Azure 関数、2 つのストレージ アカウントを作成します。Azure 関数は Event Hub によってトリガされます。2 つのストレージ アカウントは、Azure 関数からのログ メッセージと Event Hub からのフェイルオーバー データを保存するために使用されます。

  1. azuredeploy_logs.json ARM テンプレートをダウンロードします。
  2. Azure ポータルの [Template deployment (テンプレートのデプロイ)] にアクセスします。after step2.3.png
  3. [Create (作成)] をクリックします。
  4. [Custom deployment (カスタム デプロイ)] ブレードで、[Build your own template in the editor (エディタで独自のテンプレートを作成)] をクリックします。
  5. azuredeploy_logs.json の内容をコピーして、エディタ ウィンドウに貼り付けます。after step2.6.png
  6. [Save (保存)] をクリックします。
  7. [Custom deployment (カスタム デプロイ)] ブレードに戻ります。
    1. リソース グループを新規作成する (推奨) か、既存のリソース グループを選択します。
    2. [Location (ロケーション)] を選択します。
    3. [Sumo Endpoint URL (Sumo エンドポイント URL)] フィールドで、ステップ 1 で設定した HTTP Source の URL を入力します。
    4. 利用規約に同意します。
    5. [Purchase (購入)] をクリックします。
      pipeline-custom-deployment.png
  8. Azure ポータルの右上にある [Notifications (通知)] でデプロイに成功したことを確認します。
    go-to-resource-group.png
  9. (省略可能) 同じウィンドウで、[Go to resource group (リソース グループに移動)] をクリックすれば、すべてのリソースが正常に作成されたことを確認できます。次のような画面が表示されます。
    step2.11.png
  10. [Storage accounts (ストレージ アカウント)] に移動して「sumofailmsg」を検索します[sumofailmsg<random-string>] をクリックします。
    step2.12.png
  11. [Blob Service] で、[Containers (コンテナ)] をクリックしてから [+ Container (+ コンテナ)] をクリックし、名前 azureaudit-failover を入力して、[Public Access Level (パブリック アクセス レベル)][Private (プライベート)] を選択します。[OK] をクリックします。
    step2.13.png

ステップ 3.イベント ハブにアクティビティをエクスポートする

  1. Azure コンソールの左側のペインで、[Activity log (アクティビティ ログ)] をクリックします。
    activitylobselected.png
  2. [Activity log (アクティビティ ログ)] ウィンドウで [Export (エクスポート)] をクリックします。
    activitylogexport.png
  3. [Export activity log (PREVIEW) (アクティビティ ログのエクスポート (PREVIEW))] ペインで、目的の [Subscriptions (サブスクリプション)] と [Regions (リージョン)] を選択し、[Export to an event hub (イベント ハブにエクスポート)] チェックボックスをオンにします。
    export-to-an event-hub.png
  4. [Select event hub namespace (イベント ハブ名前空間を選択)] ペインで、次の操作を実行します。
    1. [Subscription (サブスクリプション)] プルダウンでサブスクリプションを選択します。
    2. [Event Hub Namespace (イベント ハブ名前空間)] プルダウンで、ステップ 2 で作成した SumoAzureLogsNamespace<UniqueSuffix> 名前空間を選択します。
    3. [Event hub policy (イベント ハブ ポリシー)] で、デフォルトのポリシー RootManageSharedAccessKey をそのまま使用するか、必要に応じて別のポリシーを選択します。
    4. [OK] をクリックします。 

トラブルシューティング

ログが Sumo Logic に取り込まれない場合、「トラブルシューティング」を参照してください。 

  • この記事は役に立ちましたか?