blog

作成日 : 2024/08/07
更新日 : 2024/08/07

Log Analytics エージェントから Azure Monitor エージェントへの移行

1.はじめに

Log Analyticsエージェントが2024年8月31日に廃止のアナウンスがあり、公式サイトでも移行方法が公開されていますが、実際に公式通りにやってみたところいくつか上手くいかないところがあったのでトピック的なところをここで紹介します。

公式URL:https://learn.microsoft.com/ja-jp/azure/azure-monitor/agents/azure-monitor-agent-migration

ここでは、インターネット経由でLog AnalyticsワークスペースにオンプレミスのPC(Windows 11 23H2)からWindowsイベントログを収集しているLog AnalyticsエージェントをAzure Monitorエージェントに移行する方法を記載します。

2.移行手順概要

①Azure Monitorデータ収集ルールを作成する
※マイグレツールでも作成できますがここでは先に作成する手順で記載します

②Azure Monitorエージェントをインストールする
 この時点でAzure Monitorエージェント、 Log Analyticsエージェントの両方から同じログ収集が開始されます

 ※Heartbeat ログの Category 列の値 
  Azure Monitorエージェント:「Azure Monitor Agent」
  Log Analyticsエージェント:「Direct Agent」

③Microsoft Entra IDテナントにPCを参加させる

④Azure MonitorエージェントからのWindowsイベントログ収集を確認する
※Windowsイベントログ収集での注意点(赤枠部分が変わるので要注意)

⑤Log Analyticsエージェントをアンインストールする

①Azure Monitorデータ収集ルールを作成

Azure Monitor で各種データを取り込む際にはデータ収集ルール (DCR) を使います。Azure ポータルで設定できるルールは簡単な設定のみなので、複雑なルールを設定するにはCLI や ARM テンプレートを使用してカスタマイズが必要です。

ここではAzure ポータルでWindowsイベントログの収集ルールを紹介します。

Azureポータルにログインし「モニター」のリソースメニューから「データ収集ルール」を選択し作成します。

作成後、「データ収集ルール」のリソースメニューから「データソース」を選択してWindowsイベントログの収集ルールを設定します。

②Azure Monitorエージェントインストール

Azure Monitorエージェントとのインストールはダウンロードしてインストールですぐ終わります。
ただデータ収集ルールの割り当てが公式ドキュメントだとREST APIとPowerShellの2つの方法の記載がありますが、とってもわかりづらいです。

おすすめはPowerShellですが、そのままのスクリプトが上手く動きません。

公式URL:https://learn.microsoft.com/ja-jp/azure/azure-monitor/agents/azure-monitor-agent-windows-client

セキュリティが厳しくなっている!?のか公式のPowerShellだとうまくトークンが取得できません。そこで、Azure CLIを利用したスクリプトに修正して実行します。

③Microsoft Entra IDテナントにPCを参加

Azure MonitorエージェントをインストールしたオンプレミスのPC(Windows 11 23H2)を、データ収集ルールを作成したMicrosoft Entra IDに参加させます。

PCの設定>アカウントから「職場または学校アカウントを追加」からPCを参加させます。

「このデバイスをMicrosoft Entra IDに参加させる」をクリックしてAzureへの認証をすませれば完了です。

④ログの収集の確認

Log Analyticsワークスペースのログを確認します。

Heartbeatテーブルのクエリーを発行します。Categoryのカラムに「Azure Monitor Agent」と表示されていればAzure Monitorエージェントでの収集ができています。

ちなみに「Direct Agent」と表示されているところはLog Analyticsエージェントで収集したログになります。

⑤Log Analyticsエージェントをアンインストール

ログの確認でAzure Monitorエージェントのログの収集ができていることが確認できたら、Log Analyticsエージェントをアンインストールすれば移行完了です。