Azure Monitor での Linux 用 Log Analytics エージェントを使用したカスタム JSON データ ソースの収集

Note

現在進行中の Microsoft Operations Management Suite から Azure Monitor への移行の一環として、Windows 用または Linux 用の Operations Management Suite エージェントは、Windows 用 Log Analytics エージェントおよび Linux 用 Log Analytics エージェントと呼ばれるようになります。

カスタム JSON データ ソースは、Linux 用 Log Analytics エージェントを使用して Azure Monitor に収集できます。 これらのカスタム データ ソースは、curlFluentD の 300 を超えるプラグインのいずれかなどの、JSON を返す単純なスクリプトでかまいません。 この記事では、このデータ収集に必要な構成について説明します。

Note

カスタム JSON データには Linux 用 Log Analytics エージェント v1.1.0-217 以降が必要です

構成

入力プラグインを構成する

Azure Monitor で JSON データを収集するには、入力プラグイン内の FluentD タグの先頭に oms.api. を追加します。

たとえば、/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/ 内の個別の構成ファイル exec-json.conf を次に示します。 これは、FluentD プラグイン exec を使用して 30 秒ごとに curl コマンドを実行します。 このコマンドからの出力は、JSON 出力プラグインによって収集されます。

<source>
  type exec
  command 'curl localhost/json.output'
  format json
  tag oms.api.httpresponse
  run_interval 30s
</source>

<match oms.api.httpresponse>
  type out_oms_api
  log_level info

  buffer_chunk_limit 5m
  buffer_type file
  buffer_path /var/opt/microsoft/omsagent/<workspace id>/state/out_oms_api_httpresponse*.buffer
  buffer_queue_limit 10
  flush_interval 20s
  retry_limit 10
  retry_wait 30s
</match>

/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/ の下に追加された構成ファイルは、次のコマンドを使用して所有権を変更する必要があります。

sudo chown omsagent:omiusers /etc/opt/microsoft/omsagent/conf/omsagent.d/exec-json.conf

出力プラグインを構成する

次の出力プラグイン構成を /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.conf 内のメインの構成に追加するか、または /etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/ に配置された個別の構成ファイルとして追加します

<match oms.api.**>
  type out_oms_api
  log_level info

  buffer_chunk_limit 5m
  buffer_type file
  buffer_path /var/opt/microsoft/omsagent/<workspace id>/state/out_oms_api*.buffer
  buffer_queue_limit 10
  flush_interval 20s
  retry_limit 10
  retry_wait 30s
</match>

Linux 用 Log Analytics エージェントを再起動する

次のコマンドを使用して、Linux 用 Log Analytics エージェント サービスを再起動します。

sudo /opt/microsoft/omsagent/bin/service_control restart 

出力

データは、レコードの種類を <FLUENTD_TAG>_CL として、Azure Monitor に収集されます。

たとえば、カスタム タグ tag oms.api.tomcattomcat_CL のレコードの種類を使用して Azure Monitor で収集されます。 次のログ クエリを使用すると、この種類のすべてのレコードを取得できます。

Type=tomcat_CL

入れ子になった JSON データ ソースはサポートされますが、親フィールドに基づいてインデックスが作成されます。 たとえば、ログ クエリ tag_s : "[{ "a":"1", "b":"2" }] から次の JSON データが返されます。

{
    "tag": [{
      "a":"1",
      "b":"2"
    }]
}

次のステップ

  • ログ クエリについて学習し、データ ソースとソリューションから収集されたデータを分析します。