VM 用 Azure Monitor からログを照会する方法How to query logs from Azure Monitor for VMs

VM 用 Azure Monitor は、パフォーマンスと接続のメトリック、コンピューターとプロセスのインベントリ データ、および正常性状態の情報を収集し、Azure Monitor 内の Log Analytics ワークスペースにこれらを転送します。Azure Monitor for VMs collects performance and connection metrics, computer and process inventory data, and health state information and forwards it to the Log Analytics workspace in Azure Monitor. このデータは、Azure Monitor でクエリ用に使用できます。This data is available for query in Azure Monitor. このデータは、移行計画、容量の分析、探索、必要に応じたパフォーマンスのトラブルシューティングといったシナリオに適用できます。You can apply this data to scenarios that include migration planning, capacity analysis, discovery, and on-demand performance troubleshooting.

Map レコードMap records

プロセスまたはコンピューターが起動するとき、または VM 用 Azure Monitor の Map 機能に搭載されている場合に生成されるレコードのほかに、個々のコンピューターとプロセスごとに、1 時間に 1 つのレコードが生成されます。One record is generated per hour for each unique computer and process, in addition to the records that are generated when a process or computer starts or is on-boarded to Azure Monitor for VMs Map feature. これらのレコードは、次の表に示したプロパティを持ちます。These records have the properties in the following tables. ServiceMapComputer_CL イベントのフィールドと値は、ServiceMap Azure Resource Manager API のマシン リソースのフィールドにマップされます。The fields and values in the ServiceMapComputer_CL events map to fields of the Machine resource in the ServiceMap Azure Resource Manager API. ServiceMapProcess_CL イベントのフィールドと値は、ServiceMap Azure Resource Manager API のプロセス リソースのフィールドにマップされます。The fields and values in the ServiceMapProcess_CL events map to the fields of the Process resource in the ServiceMap Azure Resource Manager API. ResourceName_s フィールドは、対応する Resource Manager リソースの名前フィールドと一致します。The ResourceName_s field matches the name field in the corresponding Resource Manager resource.

個々のプロセスとコンピューターの識別に使用できる、内部生成されたプロパティがあります。There are internally generated properties you can use to identify unique processes and computers:

  • コンピューター:ResourceId または ResourceName_s を使用して、Log Analytics ワークスペース内のコンピューターを一意に識別します。Computer: Use ResourceId or ResourceName_s to uniquely identify a computer within a Log Analytics workspace.
  • プロセス:ResourceId を使用して、Log Analytics ワークスペース内のプロセスを一意に識別します。Process: Use ResourceId to uniquely identify a process within a Log Analytics workspace. ResourceName_s は、プロセスが実行中のマシンのコンテキスト内で一意です (MachineResourceName_s)ResourceName_s is unique within the context of the machine on which the process is running (MachineResourceName_s)

指定の時間範囲にある指定のプロセスとコンピューターについては、複数のレコードが存在できるため、クエリは、同じコンピューターまたはプロセスに対して複数のレコードを返すことがあります。Because multiple records can exist for a specified process and computer in a specified time range, queries can return more than one record for the same computer or process. 最新のレコードのみが返されるようにするには、| summarize arg_max(TimeGenerated, *) by ResourceId をクエリに追加します。To include only the most recent record, add | summarize arg_max(TimeGenerated, *) by ResourceId to the query.

接続とポートConnections and ports

接続メトリック機能により、Azure Monitor ログに 2 つの新しいテーブル (VMConnection と VMBoundPort) が導入されました。The Connection Metrics feature introduces two new tables in Azure Monitor logs - VMConnection and VMBoundPort. これらのテーブルは、マシンへの接続 (受信と送信) と、それらに対する開いているまたはアクティブなサーバー ポートに関する情報を提供します。These tables provide information about the connections for a machine (inbound and outbound), as well as the server ports that are open/active on them. 接続メトリックは、時間枠の間に特定のメトリックを取得する手段を提供する API を介して公開されています。ConnectionMetrics are also exposed via APIs that provide the means to obtain a specific metric during a time window. リスニング ソケットで 受諾 することで得られる TCP 接続は受信ですが、所定の IP とポートに 接続 することで作成される接続は送信です。TCP connections resulting from accepting on a listening socket are inbound, while those created by connecting to a given IP and port are outbound. 接続の方向は Direction プロパティで表され、受信 または 送信 のいずれかに設定できます。The direction of a connection is represented by the Direction property, which can be set to either inbound or outbound.

これらのテーブル内のレコードは、Dependency Agent によって報告されるデータから生成されます。Records in these tables are generated from data reported by the Dependency Agent. いずれの記録も、1 分の時間間隔での観測を表します。Every record represents an observation over a 1-minute time interval. TimeGenerated プロパティは、時間間隔の開始を示します。The TimeGenerated property indicates the start of the time interval. 各レコードには、エンティティに関連付けられたメトリックに加えて、接続またはポートなど、それぞれのエンティティを識別する情報が含まれています。Each record contains information to identify the respective entity, that is, connection or port, as well as metrics associated with that entity. 現在のところ、TCP over IPv4 を使用することで発生するネットワーク アクティビティのみが報告されます。Currently, only network activity that occurs using TCP over IPv4 is reported.

共通するフィールドと規則Common fields and conventions

次のフィールドと規則は、VMConnection と VMBoundPort の両方に適用されます。The following fields and conventions apply to both VMConnection and VMBoundPort:

  • コンピューター:レポート マシンの完全修飾ドメイン名Computer: Fully-qualified domain name of reporting machine
  • AgentId:Log Analytics エージェントがインストールされているマシンの一意識別子AgentId: The unique identifier for a machine with the Log Analytics agent
  • マシン:ServiceMap によって公開されているマシンの Azure Resource Manager リソースの名前。Machine: Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. これは m-{GUID} という形式です。この GUID は AgentId と同じ GUID です。It is of the form m-{GUID}, where GUID is the same GUID as AgentId
  • プロセス:ServiceMap によって公開されているプロセスの Azure Resource Manager リソースの名前。Process: Name of the Azure Resource Manager resource for the process exposed by ServiceMap. これは p-{hex string} という形式です。It is of the form p-{hex string}. プロセスはマシンのスコープ内で一意です。また、マシン全体で一意のプロセス ID を生成するには、Machine フィールドと Process フィールドを結合します。Process is unique within a machine scope and to generate a unique process ID across machines, combine Machine and Process fields.
  • ProcessName:レポート プロセスの実行可能ファイルの名前ProcessName: Executable name of the reporting process.
  • すべての IP アドレスは、IPv4 正規形式の文字列です (例: 13.107.3.160)。All IP addresses are strings in IPv4 canonical format, for example 13.107.3.160

コストと複雑さを管理するため、接続レコードは個々の物理ネットワーク接続を表すものではありません。To manage cost and complexity, connection records do not represent individual physical network connections. 複数の物理ネットワーク接続は、論理接続にグループ化され、その後それぞれのテーブルに反映されます。Multiple physical network connections are grouped into a logical connection, which is then reflected in the respective table. つまり、VMConnection テーブル内のレコードは、論理グルーピングを表しており、観察されている個々の物理接続を表していません。Meaning, records in VMConnection table represent a logical grouping and not the individual physical connections that are being observed. 所定の 1 分間隔で次の属性に同じ値を共有する物理ネットワーク接続は、VMConnection 内で 1 つの論理レコードに集約されます。Physical network connection sharing the same value for the following attributes during a given one-minute interval, are aggregated into a single logical record in VMConnection.

プロパティProperty 説明Description
DirectionDirection 接続の方向であり、値は 受信 または 送信 ですDirection of the connection, value is inbound or outbound
MachineMachine コンピューターの FQDNThe computer FQDN
ProcessProcess プロセスまたはプロセスのグループの ID、接続の開始/受諾Identity of process or groups of processes, initiating/accepting the connection
SourceIpSourceIp 送信元の IP アドレスIP address of the source
DestinationIpDestinationIp 送信先の IP アドレスIP address of the destination
DestinationPortDestinationPort 送信先のポート番号Port number of the destination
ProtocolProtocol 接続に使用されるプロトコル。Protocol used for the connection. 値は tcp です。Values is tcp.

グループ化の影響を考慮するため、グループ化された物理接続の数に関する情報は、レコードの次のプロパティに提示されます。To account for the impact of grouping, information about the number of grouped physical connections is provided in the following properties of the record:

プロパティProperty 説明Description
LinksEstablishedLinksEstablished 報告時間枠の間に確立された物理ネットワーク接続の数The number of physical network connections that have been established during the reporting time window
LinksTerminatedLinksTerminated 報告時間枠の間に切断された物理ネットワーク接続の数The number of physical network connections that have been terminated during the reporting time window
LinksFailedLinksFailed 報告時間枠の間に失敗した物理ネットワーク接続の数。The number of physical network connections that have failed during the reporting time window. 現在のところ、この情報は送信接続に対してのみ使用できます。This information is currently available only for outbound connections.
LinksLiveLinksLive 報告時間枠の終了時点で開いていた物理ネットワーク接続の数The number of physical network connections that were open at the end of the reporting time window

メトリックMetrics

接続数メトリックに加えて、所定の論理接続またはネット ワークポートで送受信されるデータ量に関する情報も、レコードの次のプロパティに加えられています。In addition to connection count metrics, information about the volume of data sent and received on a given logical connection or network port are also included in the following properties of the record:

プロパティProperty 説明Description
BytesSentBytesSent 報告時間枠の間に送信された合計バイト数Total number of bytes that have been sent during the reporting time window
BytesReceivedBytesReceived 報告時間枠の間に受信された合計バイト数Total number of bytes that have been received during the reporting time window
ResponsesResponses 報告時間枠の間に観測された応答の数。The number of responses observed during the reporting time window.
ResponseTimeMaxResponseTimeMax 報告時間枠の間に観測された最長応答時間 (ミリ秒)。The largest response time (milliseconds) observed during the reporting time window. 値がない場合、プロパティは空欄です。If no value, the property is blank.
ResponseTimeMinResponseTimeMin 報告時間枠の間に観測された最短応答時間 (ミリ秒)。The smallest response time (milliseconds) observed during the reporting time window. 値がない場合、プロパティは空欄です。If no value, the property is blank.
ResponseTimeSumResponseTimeSum 報告時間枠の間に観測された全応答時間の合計 (ミリ秒)。The sum of all response times (milliseconds) observed during the reporting time window. 値がない場合、プロパティは空欄です。If no value, the property is blank.

報告される第 3 のタイプのデータは応答時間です。これは、発信者が接続を介して送信した要求が処理されて、リモート エンドポイントによって応答されるのを待機する時間です。The third type of data being reported is response time - how long does a caller spend waiting for a request sent over a connection to be processed and responded to by the remote endpoint. 報告される応答時間は、内在するアプリケーション プロトコルの実際の応答時間の推定値です。The response time reported is an estimation of the true response time of the underlying application protocol. これは、物理ネットワーク接続の送信元と送信先の間のデータ フローの観察に基づき、経験則を使用して計算されます。It is computed using heuristics based on the observation of the flow of data between the source and destination end of a physical network connection. これは、概念上、要求の最後のバイトが送信者を離れる時間と、応答の最後のバイトが送信者に返される時間の差です。Conceptually, it is the difference between the time the last byte of a request leaves the sender, and the time when the last byte of the response arrives back to it. これらの 2 つのタイムスタンプは、所定の物理接続で要求イベントと応答イベントを明確化するために使用されます。These two timestamps are used to delineate request and response events on a given physical connection. これらの差は、1 つの要求の応答時間を表します。The difference between them represents the response time of a single request.

この機能の最初のリリースでは、当社のアルゴリズムは推定であり、所定のネットワーク接続に使用される実際のアプリケーション プロトコルに応じて、さまざまな成功の度合いで動作する可能性があります。In this first release of this feature, our algorithm is an approximation that may work with varying degree of success depending on the actual application protocol used for a given network connection. たとえば、現在のアプローチは、HTTP(S) のような要求応答ベースのプロトコルでは正しく動作しますが、一方向またはメッセージ キュー ベースのプロトコルでは動作しません。For example, the current approach works well for request-response based protocols such as HTTP(S), but does not work with one-way or message queue-based protocols.

考慮すべき重要な点は次のとおりです。Here are some important points to consider:

  1. プロセスが同じ IP アドレスでも複数のネットワーク インターフェイスで接続を受け入れる場合、インターフェイスごとに別のレコードが報告されます。If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  2. ワイルドカード IP 付きレコードにはアクティビティはありません。Records with wildcard IP will contain no activity. これらは、マシン上のポートが受信トラフィックにオープンであるという事実を表すために加えられています。They are included to represent the fact that a port on the machine is open to inbound traffic.
  3. 冗長性とデータ量を減らすために、ワイルドカード IP 付きレコードは、特定の IP アドレスと一致するレコード (同じプロセス、ポート、プロトコル) がある場合は省略されます。To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. ワイルドカード IP レコードが省略される場合、特定の IP アドレス付き IsWildcardBind レコード プロパティは、ポートが報告マシンのあらゆるインターフェイスで公開されていることを示すために、"True" に設定されます。When a wildcard IP record is omitted, the IsWildcardBind record property with the specific IP address, will be set to "True" to indicate that the port is exposed over every interface of the reporting machine.
  4. 特定のインターフェイスにのみバインドされているポートでは、IsWildcardBind は False に設定されます。Ports that are bound only on a specific interface have IsWildcardBind set to False.

命名と分類Naming and Classification

便宜上、接続のリモート側の IP アドレスは RemoteIp プロパティに加えられています。For convenience, the IP address of the remote end of a connection is included in the RemoteIp property. 受信接続の場合、RemoteIp は SourceIp と同じですが、送信接続の場合は DestinationIp と同じです。For inbound connections, RemoteIp is the same as SourceIp, while for outbound connections, it is the same as DestinationIp. RemoteDnsCanonicalNames プロパティは、RemoteIp 向けにマシンにより報告される DNS 正規名を表します。The RemoteDnsCanonicalNames property represents the DNS canonical names reported by the machine for RemoteIp. RemoteDnsQuestions プロパティと RemoteClassification プロパティは、将来の使用のために予約されています。The RemoteDnsQuestions and RemoteClassification properties are reserved for future use.

地理的位置情報Geolocation

VMConnection では、レコードの次のプロパティに、各接続レコードのリモート エンドの地理的位置情報も加えられています。VMConnection also includes geolocation information for the remote end of each connection record in the following properties of the record:

プロパティProperty 説明Description
RemoteCountryRemoteCountry RemoteIp をホストしている国や地域の名前。The name of the country/region hosting RemoteIp. 例: United StatesFor example, United States
RemoteLatitudeRemoteLatitude 地理的位置情報の緯度。The geolocation latitude. 例: 47.68For example, 47.68
RemoteLongitudeRemoteLongitude 地理的位置情報の経度。The geolocation longitude. 例: -122.12For example, -122.12

悪意のある IPMalicious IP

VMConnection テーブル内のすべての RemoteIp プロパティは、一連の IP に対して、知られている悪意のあるアクティビティがチェックされます。Every RemoteIp property in VMConnection table is checked against a set of IPs with known malicious activity. RemoteIp が悪意のあると識別される場合、レコードの以下のプロパティに設定されます (IP が悪意のあるとみなされない場合、これらは空です)。If the RemoteIp is identified as malicious the following properties will be populated (they are empty, when the IP is not considered malicious) in the following properties of the record:

プロパティProperty 説明Description
MaliciousIpMaliciousIp RemoteIp アドレスThe RemoteIp address
IndicatorThreadTypeIndicatorThreadType 検出される脅威のインジケーターは、BotnetC2CryptoMiningDarknetDDosMaliciousUrlMalwarePhishingProxyPUAWatchlist のいずれかの値です。Threat indicator detected is one of the following values, Botnet, C2, CryptoMining, Darknet, DDos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist.
説明Description 観察対象の脅威の説明。Description of the observed threat.
TLPLevelTLPLevel Traffic Light Protocol (TLP) レベルは、定義済みの値、WhiteGreenAmberRed のいずれかです。Traffic Light Protocol (TLP) Level is one of the defined values, White, Green, Amber, Red.
ConfidenceConfidence 値は "0 から 100" です。Values are 0 – 100.
重大度Severity 値は "0 から 5" です。ここで、5 は最も重大で、0 はまったく重大ではありません。Values are 0 – 5, where 5 is the most severe and 0 is not severe at all. 既定値は 3 です。Default value is 3.
FirstReportedDateTimeFirstReportedDateTime プロバイダーが初めてインジケーターをレポートした時間。The first time the provider reported the indicator.
LastReportedDateTimeLastReportedDateTime Interflow によってインジケーターが最後に表示された時間。The last time the indicator was seen by Interflow.
IsActiveIsActive インジケーターが True または False の値で非アクティブ化されていることを示します。Indicates indicators are deactivated with True or False value.
ReportReferenceLinkReportReferenceLink 特定の観測可能な脅威に関連するレポートにリンクします。Links to reports related to a given observable.
AdditionalInformationAdditionalInformation 該当する場合は、観察対象の脅威についての追加情報を提供します。Provides additional information, if applicable, about the observed threat.

PortPorts

受信トラフィックを積極的に受け入れるマシン、または潜在的にトラフィックを受け入れることができても報告期間中はアイドルであるマシン上のポートは、VMBoundPort テーブルに書き込まれます。Ports on a machine that actively accept incoming traffic or could potentially accept traffic, but are idle during the reporting time window, are written to the VMBoundPort table.

VMBoundPort のすべてのレコードは、以下のフィールドで識別されます。Every record in VMBoundPort is identified by the following fields:

プロパティProperty 説明Description
ProcessProcess ポートが関連付けられているプロセス (または複数プロセスのグループ) の ID。Identity of process (or groups of processes) with which the port is associated with.
IpIp ポートの IP アドレス (IP はワイルドカード 0.0.0.0 で指定できます)Port IP address (can be wildcard IP, 0.0.0.0)
PortPort ポート番号The Port number
ProtocolProtocol プロトコル。The protocol. たとえば、tcp または udp です (現在サポートされているのは tcp のみです)。Example, tcp or udp (only tcp is currently supported).

ポートの ID は上記の 5 つのフィールドから派生し、PortId プロパティに格納されます。The identity a port is derived from the above five fields and is stored in the PortId property. このプロパティを使用すると、時間の経過と共に特定のポートのレコードをすばやく見つけることができます。This property can be used to quickly find records for a specific port across time.

メトリックMetrics

ポート レコードには、それらに関連付けられている接続を表すメトリックが含まれています。Port records include metrics representing the connections associated with them. 現在、以下のメトリックが報告されています (各メトリックの詳細については前のセクションを参照してください)。Currently, the following metrics are reported (the details for each metric are described in the previous section):

  • BytesSent と BytesReceivedBytesSent and BytesReceived
  • LinksEstablished、LinksTerminated、LinksLiveLinksEstablished, LinksTerminated, LinksLive
  • ResposeTime、ResponseTimeMin、ResponseTimeMax、ResponseTimeSumResposeTime, ResponseTimeMin, ResponseTimeMax, ResponseTimeSum

考慮すべき重要な点は次のとおりです。Here are some important points to consider:

  • プロセスが同じ IP アドレスでも複数のネットワーク インターフェイスで接続を受け入れる場合、インターフェイスごとに別のレコードが報告されます。If a process accepts connections on the same IP address but over multiple network interfaces, a separate record for each interface will be reported.
  • ワイルドカード IP 付きレコードにはアクティビティはありません。Records with wildcard IP will contain no activity. これらは、マシン上のポートが受信トラフィックにオープンであるという事実を表すために加えられています。They are included to represent the fact that a port on the machine is open to inbound traffic.
  • 冗長性とデータ量を減らすために、ワイルドカード IP 付きレコードは、特定の IP アドレスと一致するレコード (同じプロセス、ポート、プロトコル) がある場合は省略されます。To reduce verbosity and data volume, records with wildcard IP will be omitted when there is a matching record (for the same process, port, and protocol) with a specific IP address. ワイルドカードの IP レコードが省略されると、特定の IP アドレスを持つレコードの IsWildcardBind プロパティは True に設定されます。When a wildcard IP record is omitted, the IsWildcardBind property for the record with the specific IP address, will be set to True. これは、ポートがレポート マシンのすべてのインターフェイスに公開されていることを示します。This indicates the port is exposed over every interface of the reporting machine.
  • 特定のインターフェイスにのみバインドされているポートでは、IsWildcardBind は False に設定されます。Ports that are bound only on a specific interface have IsWildcardBind set to False.

VMComputer レコードVMComputer records

VMComputer 型があるレコードには、Dependency エージェントを有するサーバー用のインベントリ データがあります。Records with a type of VMComputer have inventory data for servers with the Dependency agent. これらのレコードは、次の表に示したプロパティを持ちます。These records have the properties in the following table:

プロパティProperty 説明Description
TenantIdTenantId ワークスペースの一意識別子The unique identifier for the workspace
SourceSystemSourceSystem 分析情報Insights
TimeGeneratedTimeGenerated レコードのタイムスタンプ (UTC)Timestamp of the record (UTC)
ComputerComputer コンピューターの FQDNThe computer FQDN
AgentIdAgentId Log Analytics エージェントの一意の IDThe unique ID of the Log Analytics agent
MachineMachine ServiceMap によって公開されているマシンの Azure Resource Manager リソースの名前。Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. これは m-{GUID} という形式です。この GUID は AgentId と同じ GUID です。It is of the form m-{GUID}, where GUID is the same GUID as AgentId.
DisplayNameDisplayName Display nameDisplay name
FullDisplayNameFullDisplayName 完全表示名Full display name
HostNameHostName ドメイン名のないコンピューターの名前The name of machine without domain name
BootTimeBootTime コンピューターの起動時刻 (UTC)The machine boot time (UTC)
TimeZoneTimeZone 正規化されたタイム ゾーンThe normalized time zone
VirtualizationStateVirtualizationState 仮想ハイパーバイザー物理virtual, hypervisor, physical
Ipv4AddressesIpv4Addresses IPv4 アドレスの配列Array of IPv4 addresses
Ipv4SubnetMasksIpv4SubnetMasks IPv4 サブネット マスクの配列 (Ipv4Addresses と同じ順序)。Array of IPv4 subnet masks (in the same order as Ipv4Addresses).
Ipv4DefaultGatewaysIpv4DefaultGateways IPv4 ゲートウェイの配列Array of IPv4 gateways
Ipv6AddressesIpv6Addresses IPv6 アドレスの配列Array of IPv6 addresses
MacAddressesMacAddresses MAC アドレスの配列Array of MAC addresses
DnsNamesDnsNames コンピューターに関連付けられている DNS 名の配列。Array of DNS names associated with the machine.
DependencyAgentVersionDependencyAgentVersion コンピューター上で実行されている Dependency エージェントのバージョン。The version of the Dependency agent running on the machine.
OperatingSystemFamilyOperatingSystemFamily LinuxWindowsLinux, Windows
OperatingSystemFullNameOperatingSystemFullName オペレーティング システムのフル ネームThe full name of the operating system
PhysicalMemoryMBPhysicalMemoryMB 物理メモリ (メガバイト)The physical memory in megabytes
CpusCpus プロセッサの数The number of processors
CpuSpeedCpuSpeed CPU 速度 (MHz)The CPU speed in MHz
VirtualMachineTypeVirtualMachineType hypervvmwarexenhyperv, vmware, xen
VirtualMachineNativeIdVirtualMachineNativeId ハイパーバイザーによって割り当てられた VM IDThe VM ID as assigned by its hypervisor
VirtualMachineNativeNameVirtualMachineNativeName VM の名前The name of the VM
VirtualMachineHypervisorIdVirtualMachineHypervisorId VM をホストしているハイパーバイザーの一意識別子The unique identifier of the hypervisor hosting the VM
HypervisorTypeHypervisorType hypervhyperv
HypervisorIdHypervisorId ハイパーバイザーの一意の IDThe unique ID of the hypervisor
HostingProviderHostingProvider azureazure
_ResourceId_ResourceId Azure リソースの一意識別子The unique identifier for an Azure resource
AzureSubscriptionIdAzureSubscriptionId サブスクリプションを識別するグローバル一意識別子A globally unique identifier that identifies your subscription
AzureResourceGroupAzureResourceGroup コンピューターが属する Azure リソース グループの名前。The name of the Azure resource group the machine is a member of.
AzureResourceNameAzureResourceName Azure リソースの名前The name of the Azure resource
AzureLocationAzureLocation Azure リソースの場所The location of the Azure resource
AzureUpdateDomainAzureUpdateDomain Azure 更新ドメインの名前The name of the Azure update domain
AzureFaultDomainAzureFaultDomain Azure 障害ドメインの名前The name of the Azure fault domain
AzureVmIdAzureVmId Azure 仮想マシンの一意の IDThe unique identifier of the Azure virtual machine
AzureSizeAzureSize Azure VM のサイズThe size of the Azure VM
AzureImagePublisherAzureImagePublisher Azure VM 発行元の名前The name of the Azure VM publisher
AzureImageOfferingAzureImageOffering Azure VM オファーの種類の名前The name of the Azure VM offer type
AzureImageSkuAzureImageSku Azure VM イメージの SKUThe SKU of the Azure VM image
AzureImageVersionAzureImageVersion Azure VM イメージのバージョンThe version of the Azure VM image
AzureCloudServiceNameAzureCloudServiceName Azure クラウド サービスの名前The name of the Azure cloud service
AzureCloudServiceDeploymentAzureCloudServiceDeployment クラウド サービスのデプロイ IDDeployment ID for the Cloud Service
AzureCloudServiceRoleNameAzureCloudServiceRoleName クラウド サービス ロールの名前Cloud Service role name
AzureCloudServiceRoleTypeAzureCloudServiceRoleType クラウド サービス ロールの種類: worker または webCloud Service role type: worker or web
AzureCloudServiceInstanceIdAzureCloudServiceInstanceId クラウド サービス ロールのインスタンス IDCloud Service role instance ID
AzureVmScaleSetNameAzureVmScaleSetName 仮想マシン スケール セットの名前The name of the virtual machine scale set
AzureVmScaleSetDeploymentAzureVmScaleSetDeployment 仮想マシン スケール セットのデプロイ IDVirtual machine scale set deployment ID
AzureVmScaleSetResourceIdAzureVmScaleSetResourceId 仮想マシン スケール セットのリソースの一意の識別子。The unique identifier of the virtual machine scale set resource.
AzureVmScaleSetInstanceIdAzureVmScaleSetInstanceId 仮想マシン スケール セットの一意の識別子The unique identifier of the virtual machine scale set
AzureServiceFabricClusterIdAzureServiceFabricClusterId Azure Service Fabric クラスターの一意の識別子The unique identifer of the Azure Service Fabric cluster
AzureServiceFabricClusterNameAzureServiceFabricClusterName Azure Service Fabric クラスターの名前The name of the Azure Service Fabric cluster

VMProcess レコードVMProcess records

VMProcess 型があるレコードには、Dependency エージェントを有するサーバー上での TCP 接続プロセス用のインベントリ データがあります。Records with a type of VMProcess have inventory data for TCP-connected processes on servers with the Dependency agent. これらのレコードは、次の表に示したプロパティを持ちます。These records have the properties in the following table:

プロパティProperty 説明Description
TenantIdTenantId ワークスペースの一意識別子The unique identifier for the workspace
SourceSystemSourceSystem 分析情報Insights
TimeGeneratedTimeGenerated レコードのタイムスタンプ (UTC)Timestamp of the record (UTC)
ComputerComputer コンピューターの FQDNThe computer FQDN
AgentIdAgentId Log Analytics エージェントの一意の IDThe unique ID of the Log Analytics agent
MachineMachine ServiceMap によって公開されているマシンの Azure Resource Manager リソースの名前。Name of the Azure Resource Manager resource for the machine exposed by ServiceMap. これは m-{GUID} という形式です。この GUID は AgentId と同じ GUID です。It is of the form m-{GUID}, where GUID is the same GUID as AgentId.
ProcessProcess Service Map プロセスの一意の識別子。The unique identifier of the Service Map process. 形式は p-{GUID} です。It is in the form of p-{GUID}.
ExecutableNameExecutableName プロセスの実行可能ファイルの名前The name of the process executable
DisplayNameDisplayName プロセス表示名Process display name
RoleRole プロセス ロール: webserverappServerdatabaseServerldapServersmbServerProcess role: webserver, appServer, databaseServer, ldapServer, smbServer
グループGroup プロセス グループ名。Process group name. 同じグループのプロセスは論理的に関連しています。たとえば、同じ製品またはシステム コンポーネントに属しています。Processes in the same group are logically related, e.g., part of the same product or system component.
StartTimeStartTime プロセス プールの開始時刻The process pool start time
FirstPidFirstPid プロセス プール内の最初の PIDThe first PID in the process pool
説明Description プロセスの説明The process description
CompanyNameCompanyName 会社の名前The name of the company
InternalNameInternalName 内部名The internal name
ProductNameProductName 製品の名前The name of the product
ProductVersionProductVersion 製品のバージョンThe version of the product
FileVersionFileVersion ファイルのバージョンThe version of the file
ExecutablePathExecutablePath 実行可能ファイルのパスThe path of the executable
CommandLineCommandLine コマンド ラインThe command line
WorkingDirectoryWorkingDirectory 作業ディレクトリThe working directory
サービスServices プロセスが実行されているサービスの配列An array of services under which the process is executing
UserNameUserName プロセスが実行されているアカウントThe account under which the process is executing
UserDomainUserDomain プロセスが実行されているドメインThe domain under which the process is executing
_ResourceId_ResourceId ワークスペース内のプロセスに対する一意識別子The unique identifier for a process within the workspace

サンプルのマップのクエリSample map queries

既知のコンピューターを一覧表示List all known machines

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId

VM が最後にいつ再起動したかWhen was the VM last rebooted

let Today = now(); VMComputer | extend DaysSinceBoot = Today - BootTime | summarize by Computer, DaysSinceBoot, BootTime | sort by BootTime asc

イメージ、場所、および SKU 別の Azure VM の概要Summary of Azure VMs by image, location, and SKU

VMComputer | where AzureLocation != "" | summarize by Computer, AzureImageOffering, AzureLocation, AzureImageSku

すべてのマネージド コンピューターの物理メモリ容量を一覧表示List the physical memory capacity of all managed computers

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project PhysicalMemoryMB, Computer

コンピューター名、DNS、IP、OS を一覧表示List computer name, DNS, IP, and OS

VMComputer | summarize arg_max(TimeGenerated, *) by _ResourceId | project Computer, OperatingSystemFullName, DnsNames, Ipv4Addresses

"sql" でコマンドラインのすべてのプロセスを検索Find all processes with "sql" in the command line

VMProcess | where CommandLine contains_cs "sql" | summarize arg_max(TimeGenerated, *) by _ResourceId

リソース名でコンピューター (最新のレコード) を検索Find a machine (most recent record) by resource name

search in (VMComputer) "m-4b9c93f9-bc37-46df-b43c-899ba829e07b" | summarize arg_max(TimeGenerated, *) by _ResourceId

IP アドレスでマシン (最新のレコード) を検索Find a machine (most recent record) by IP address

search in (VMComputer) "10.229.243.232" | summarize arg_max(TimeGenerated, *) by _ResourceId

指定のマシンにある既知のプロセスすべてを一覧表示List all known processes on a specified machine

VMProcess | where Machine == "m-559dbcd8-3130-454d-8d1d-f624e57961bc" | summarize arg_max(TimeGenerated, *) by _ResourceId

SQL Server を実行しているすべてのコンピューターを一覧表示List all computers running SQL Server

VMComputer | where AzureResourceName in ((search in (VMProcess) "*sql*" | distinct Machine)) | distinct Computer

データセンター内にあるすべての製品バージョンの curl を一覧表示List all unique product versions of curl in my datacenter

VMProcess | where ExecutableName == "curl" | distinct ProductVersion

CentOS を実行しているすべてのコンピューターのコンピューター グループを作成Create a computer group of all computers running CentOS

VMComputer | where OperatingSystemFullName contains_cs "CentOS" | distinct Computer
VMConnection | summarize sum(BytesSent), sum(BytesReceived) by bin(TimeGenerated,1hr), Computer | order by Computer desc | render timechart

どの Azure VM が最大バイト数を送信しているかWhich Azure VMs are transmitting the most bytes

VMConnection | join kind=fullouter(VMComputer) on $left.Computer == $right.Computer | summarize count(BytesSent) by Computer, AzureVMSize | sort by count_BytesSent desc
VMConnection | where TimeGenerated >= ago(24hr) | where Computer == "acme-demo" | summarize dcount(LinksEstablished), dcount(LinksLive), dcount(LinksFailed), dcount(LinksTerminated) by bin(TimeGenerated, 1h) | render timechart

接続エラーのトレンドConnection failures trend

VMConnection | where Computer == "acme-demo" | extend bythehour = datetime_part("hour", TimeGenerated) | project bythehour, LinksFailed | summarize failCount = count() by bythehour | sort by bythehour asc | render timechart

バインドされているポートBound Ports

VMBoundPort
| where TimeGenerated >= ago(24hr)
| where Computer == 'admdemo-appsvr'
| distinct Port, ProcessName

マシン全体の開かれているポート数Number of open ports across machines

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by Computer, Machine, Port, Protocol
| summarize OpenPorts=count() by Computer, Machine
| order by OpenPorts desc

開いているポートの数でワークスペース内のプロセスにスコアを付けるScore processes in your workspace by the number of ports they have open

VMBoundPort
| where Ip != "127.0.0.1"
| summarize by ProcessName, Port, Protocol
| summarize OpenPorts=count() by ProcessName
| order by OpenPorts desc

各ポートの集計動作Aggregate behavior for each port

このクエリは、アクティビティごとにポートにスコアを付けるために使用できます。たとえば、最も送受信トラフィックが多いポート、最も接続が多いポートなどです。This query can then be used to score ports by activity, e.g., ports with most inbound/outbound traffic, ports with most connections

// 
VMBoundPort
| where Ip != "127.0.0.1"
| summarize BytesSent=sum(BytesSent), BytesReceived=sum(BytesReceived), LinksEstablished=sum(LinksEstablished), LinksTerminated=sum(LinksTerminated), arg_max(TimeGenerated, LinksLive) by Machine, Computer, ProcessName, Ip, Port, IsWildcardBind
| project-away TimeGenerated
| order by Machine, Computer, Port, Ip, ProcessName

マシンのグループからの送信接続を要約しますSummarize the outbound connections from a group of machines

// the machines of interest
let machines = datatable(m: string) ["m-82412a7a-6a32-45a9-a8d6-538354224a25"];
// map of ip to monitored machine in the environment
let ips=materialize(VMComputer
| summarize ips=makeset(todynamic(Ipv4Addresses)) by MonitoredMachine=AzureResourceName
| mvexpand ips to typeof(string));
// all connections to/from the machines of interest
let out=materialize(VMConnection
| where Machine in (machines)
| summarize arg_max(TimeGenerated, *) by ConnectionId);
// connections to localhost augmented with RemoteMachine
let local=out
| where RemoteIp startswith "127."
| project ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=Machine;
// connections not to localhost augmented with RemoteMachine
let remote=materialize(out
| where RemoteIp !startswith "127."
| join kind=leftouter (ips) on $left.RemoteIp == $right.ips
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine=MonitoredMachine);
// the remote machines to/from which we have connections
let remoteMachines = remote | summarize by RemoteMachine;
// all augmented connections
(local)
| union (remote)
//Take all outbound records but only inbound records that come from either //unmonitored machines or monitored machines not in the set for which we are computing dependencies.
| where Direction == 'outbound' or (Direction == 'inbound' and RemoteMachine !in (machines))
| summarize by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol, RemoteIp, RemoteMachine
// identify the remote port
| extend RemotePort=iff(Direction == 'outbound', DestinationPort, 0)
// construct the join key we'll use to find a matching port
| extend JoinKey=strcat_delim(':', RemoteMachine, RemoteIp, RemotePort, Protocol)
// find a matching port
| join kind=leftouter (VMBoundPort 
| where Machine in (remoteMachines) 
| summarize arg_max(TimeGenerated, *) by PortId 
| extend JoinKey=strcat_delim(':', Machine, Ip, Port, Protocol)) on JoinKey
// aggregate the remote information
| summarize Remote=makeset(iff(isempty(RemoteMachine), todynamic('{}'), pack('Machine', RemoteMachine, 'Process', Process1, 'ProcessName', ProcessName1))) by ConnectionId, Direction, Machine, Process, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol

パフォーマンス レコードPerformance records

InsightsMetrics 型のレコードには、仮想マシンのゲスト オペレーティング システムのパフォーマンス データが含まれています。Records with a type of InsightsMetrics have performance data from the guest operating system of the virtual machine. これらのレコードは、次の表に示したプロパティを持ちます。These records have the properties in the following table:

プロパティProperty 説明Description
TenantIdTenantId ワークスペースの一意識別子Unique identifier for the workspace
SourceSystemSourceSystem 分析情報Insights
TimeGeneratedTimeGenerated 値が収集された時刻 (UTC)Time the value was collected (UTC)
ComputerComputer コンピューターの FQDNThe computer FQDN
出発地Origin vm.azm.msvm.azm.ms
名前空間Namespace パフォーマンス カウンターのカテゴリCategory of the performance counter
名前Name パフォーマンス カウンターの名前Name of the performance counter
ValVal 収集される値Collected value
TagsTags レコードに関する関連の詳細。Related details about the record. さまざまなレコードの種類で使用されるタグについては、次の表を参照してください。See the table below for tags used with different record types.
AgentIdAgentId コンピューターのエージェントごとの一意の識別子Unique identifier for each computer's agent
TypeType InsightsMetricsInsightsMetrics
ResourceIdResourceId 仮想マシンのリソース IDResource ID of the virtual machine

現在 InsightsMetrics テーブルに収集されているパフォーマンス カウンターを次の表に示します。The performance counters currently collected into the InsightsMetrics table are listed in the following table:

名前空間Namespace 名前Name 説明Description ユニットUnit TagsTags
ComputerComputer HeartbeatHeartbeat コンピューターのハートビートComputer Heartbeat
メモリMemory AvailableMBAvailableMB 使用可能なメモリ (バイト)Memory Available Bytes メガバイトMegabytes memorySizeMB - 合計メモリ サイズmemorySizeMB - Total memory size
ネットワークNetwork WriteBytesPerSecondWriteBytesPerSecond ネットワーク書き込みバイト/秒Network Write Bytes Per Second BytesPerSecondBytesPerSecond NetworkDeviceId - デバイスの IDNetworkDeviceId - Id of the device
bytes - 合計送信バイト数bytes - Total sent bytes
ネットワークNetwork ReadBytesPerSecondReadBytesPerSecond ネットワーク読み取りバイト/秒Network Read Bytes Per Second BytesPerSecondBytesPerSecond networkDeviceId - デバイスの IDnetworkDeviceId - Id of the device
bytes - 合計受信バイト数bytes - Total received bytes
プロセッサProcessor UtilizationPercentageUtilizationPercentage プロセッサ使用率Processor Utilization Percentage PercentPercent totalCpus-CPU 合計totalCpus - Total CPUs
LogicalDiskLogicalDisk WritesPerSecondWritesPerSecond 論理ディスクの書き込み秒数Logical Disk Writes Per Second CountPerSecondCountPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk WriteLatencyMsWriteLatencyMs 論理ディスクの書き込み遅延 (ミリ秒)Logical Disk Write Latency Millisecond MilliSecondsMilliSeconds mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk WriteBytesPerSecondWriteBytesPerSecond 1 秒あたりの論理ディスク書き込みバイト数Logical Disk Write Bytes Per Second BytesPerSecondBytesPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk TransfersPerSecondTransfersPerSecond 論理ディスクの転送秒数Logical Disk Transfers Per Second CountPerSecondCountPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk TransferLatencyMsTransferLatencyMs 論理ディスクの転送遅延 (ミリ秒)Logical Disk Transfer Latency Millisecond MilliSecondsMilliSeconds mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk ReadsPerSecondReadsPerSecond 論理ディスクの 1 秒あたりの読み取り回数Logical Disk Reads Per Second CountPerSecondCountPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk ReadLatencyMsReadLatencyMs 論理ディスクの読み取り遅延 (ミリ秒)Logical Disk Read Latency Millisecond MilliSecondsMilliSeconds mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk ReadBytesPerSecondReadBytesPerSecond 1 秒あたりの論理ディスク読み取りバイト数Logical Disk Read Bytes Per Second BytesPerSecondBytesPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk FreeSpacePercentageFreeSpacePercentage 論理ディスクの空き領域比率Logical Disk Free Space Percentage PercentPercent mountId - デバイスのマウント IDmountId - Mount ID of the device
LogicalDiskLogicalDisk FreeSpaceMBFreeSpaceMB 論理ディスクの空き領域 (バイト)Logical Disk Free Space Bytes メガバイトMegabytes mountId - デバイスのマウント IDmountId - Mount ID of the device
diskSizeMB - 合計ディスク サイズdiskSizeMB - Total disk size
LogicalDiskLogicalDisk BytesPerSecondBytesPerSecond 1 秒間の論理ディスクのバイト数Logical Disk Bytes Per Second BytesPerSecondBytesPerSecond mountId - デバイスのマウント IDmountId - Mount ID of the device

次のステップNext steps