Azure Backup 用の Azure Monitor ベースのアラートに切り替える

この記事では、Azure Backup 用の Azure Monitor ベースのアラートに切り替える方法について説明します。

Azure Backup で、Azure Monitor の新しいアラート機能と改良された機能が提供されるようになりました。 Recovery Services コンテナーに対して従来のクラシック アラート ソリューションを使用している場合は、Azure Monitor アラートに移行することをお勧めします。

Azure Monitor アラートの主な利点

• さまざまな通知チャネルへの通知の構成: Azure Monitor では、メール、ITSM、Webhook、ロジック アプリなど、さまざまな通知チャネルがサポートされています。 カスタム統合の作成に多くの時間を費やすことなく、これらのいずれかのチャネルへのバックアップ アラート通知を構成できます。

• 通知を有効にするシナリオの選択: Azure Monitor アラートでは、通知を受け取るシナリオを選択できます。 テスト サブスクリプションで通知を有効にすることもできます。

• バックアップ センター経由の大規模なアラートの監視: Azure Monitor ダッシュボードからのアラート管理に加えて、Azure Backup では、バックアップ センター経由のバックアップに合わせたアラート管理機能も提供されます。 これにより、ワークロードの種類、コンテナーの場所など、バックアップ固有のプロパティでアラートをフィルター処理し、注意を必要とするアクティブなバックアップ セキュリティ アラートをすばやく把握できます。

• プログラムによるアラートと通知の管理: Azure Monitor の REST API を使用して、ポータル以外のクライアントからもアラートと通知を管理できます。

• バックアップを含む複数の Azure サービスに対する一貫したアラート管理: Azure Monitor は、Azure 全体のリソースを監視するためのネイティブ サービスです。 Azure Backup と Azure Monitor の統合により、他の Azure サービスのアラートと同じ方法でバックアップ アラートを管理できます。新しい知識は必要ありません。

サポートされているアラート ソリューション

Azure Backup で、さまざまな種類の Azure Monitor ベースのアラート ソリューションがサポートされるようになりました。 特定の要件に基づいて、これらを自由に組み合わせて使用できます。

次の表には、これらのソリューションの一部が一覧表示されています。

Alert	説明
組み込みの Azure Monitor アラート	Azure Backup では、バックアップ データの削除、論理的な削除の無効化、バックアップ失敗、復元失敗などの特定の既定のシナリオに対して、組み込みのアラートを自動生成します。 これらのアラートは、バックアップ センターからすぐに確認できます。 これらのアラートの通知を構成 (メールなど) したい場合は、Azure Monitor の [アラート処理ルール] と [アクション グループ] を使用することで、多様な通知チャネルにアラートをルーティングできます。
メトリック アラート	Azure Monitor メトリックを使用して、さまざまな KPI にわたってバックアップ項目の正常性を監視するカスタム アラート ルールを作成できます。
ログ アラート	カスタム ロジックに基づいてアラートを生成する必要があるシナリオの場合、Log Analytics ベースのアラートを使用できます。このようなシナリオでは、診断データを Log Analytics (LA) ワークスペースに送信するようにコンテナーが構成されていることが条件となります。

Azure Backup でサポートされている監視ソリューションを確認してください。

クラシック アラートから組み込みの Azure Monitor アラートに移行する

さまざまな Azure Monitor ベースのアラート ソリューションのうち、組み込みの Azure Monitor アラートは、ユーザー エクスペリエンスと機能の面でクラシック アラートに最も近いものです。 したがって、クラシック アラートから Azure Monitor にすばやく切り替えるために、組み込みの Azure Monitor アラートを使用できます。

次の表は、クラシック バックアップ アラートと、バックアップに関する組み込みの Azure Monitor アラートの違いを一覧にしたものです。

アクション	クラシック アラート	組み込みの Azure Monitor アラート
通知を設定する	- Recovery Services コンテナーごとに、通知を構成する機能を有効にし、通知の送信先にするメール ID も指定する必要があります。 - 特定の破壊的操作に関しては、コンテナーの通知設定に関係なく、サブスクリプションの所有者、管理者、共同管理者にメール通知が送信されます。	- 通知は、アラート処理ルールを作成することによって構成されます。 - アラートは既定で生成され、破壊的操作に対して無効化できないのに対し、通知はユーザーの制御下にあり、アラートの送信先メール アドレス (またはその他の通知エンドポイント) のセットを明確に指定できます。
データベース バックアップ シナリオでの通知の抑制	同じデータベースに対して、同じエラー コードが原因で複数の失敗が発生した場合、生成されるアラートは 1 つであり (発生カウントは失敗の種類ごとに更新されます)、元のアラートが非アクティブにならない限り新しいアラートは生成されません。	現在は、この動作は異なります。 ここでは、バックアップ失敗ごとに個別のアラートが生成されます。 メンテナンス期間中など、既知の特定の項目に対してバックアップが失敗する期間がある場合、指定の期間中は当該バックアップ項目のメール ノイズを抑制するための抑制ルールを作成できます。
料金	このソリューションには追加料金はかかりません。	重要な操作/障害のアラートが既定で生成され (Azure portal またはポータル以外のインターフェイスで表示できます)、追加料金は発生しません。 ただし、これらのアラートを通知チャネル (メールなど) にルーティングする場合、Free レベル (1 か月あたり 1,000 メール) を超える通知に対しては少額の料金が発生します。 Azure Monitor の価格を確認する。

Note

• 従来のアラート データに書き込まれた既存のカスタム Azure Resource Graph (ARG) クエリがある場合は、これらのクエリを更新して Azure Monitor ベースのアラートから情報を取り込む必要があります。 ARG の AlertsManagementResources テーブルを使用して、Azure Monitor アラート データを問い合わせることができます。
• 診断設定を介して Log Analytics ワークスペース/ストレージ アカウント/Event Hub にクラシック アラートを送信する場合は、これらの自動化も更新する必要があります。 発生した Azure Monitor ベースのアラートを任意の宛先に送信するには、アラート処理ルールとアクション グループを作成して、これらのアラートをロジック アプリ、Webhook、または Runbook にルーティングし、次にこれらのアラートを必要な宛先に送信します。

Azure Backup で、バックアップ センターからのガイド付きエクスペリエンスが提供されるようになりました。これにより、数回の選択だけで組み込みの Azure Monitor アラートおよび通知に切り替えることができます。 このアクションを実行するには、サブスクリプションの "バックアップ共同作成者" および "監視共同作成者" Azure ロールベースのアクセス制御 (Azure RBAC) ロールへのアクセス権が必要です。

次の手順に従います。

1. Azure portal で、[バックアップ センター] ->[概要] に移動します。

   

2. [アラート] タイルに、クラシック アラートがまだ有効であるコンテナーの数が表示されます。

   リンクを選択して、必要なアクションを実行します。

   

   次の画面には、推奨される 2 つのアクションがあります。

   • ルールの作成: このアクションは、Azure Monitor アラートの通知を受信できるように、アクション グループにアタッチされたアラート処理ルールを作成します。 選択後、テンプレートのデプロイを行います。

     

     このテンプレートを使用して、次の 2 つのリソースをデプロイできます。

   • アラート処理ルール: 各通知チャネルにルーティングされるアラートの種類を指定するルール。 このテンプレートは、ルールが作成されたサブスクリプション内のすべての Recovery Services コンテナーに、Azure Monitor ベースのすべてのアラートに適用されるアラート処理ルールをデプロイします。

   • アクション グループ: アラートの送信先にする通知チャネル。 このテンプレートは、テンプレートのデプロイ中に指定したメール ID にアラートがルーティングされるように、メール アクション グループをデプロイします。

   アラート処理ルールのスコープや通知チャネルの選択など、これらのパラメーターのいずれかを変更するには、作成後にこれらのリソースを編集するか、Azure portal を使用してアラート処理ルールとアクション グループを最初から作成することができます。

3. アラート処理ルールとアクション グループを作成するサブスクリプション、リソース グループ、リージョンを入力します。 通知の送信先にするメール ID も指定します。 その他のパラメーターには既定値が設定されており、リソースの作成時に使用される名前と説明をカスタマイズする場合にのみ編集する必要があります。

   

4. [確認および作成] を選択してデプロイを開始します。

   デプロイされると、Azure Monitor ベースのアラートの通知が有効になります。 複数のサブスクリプションがある場合は、上記の手順を繰り返して、サブスクリプションごとにアラート処理ルールを作成します。

   

5. 次に、2 つのソリューションから重複したアラートを受信しないように、クラシック アラートをオプトアウトする必要があります。

   [アラートの管理] を選択して、クラシック アラートが現在有効になっているコンテナーを表示します。

   

6. [更新] ->[Azure Monitor アラートのみを使用] チェック ボックスを選択します。

   これにより、Azure Monitor 経由でのみバックアップ アラートを受信することに同意し、古い (クラシック アラート) ソリューションからのアラートの受信を停止します。

   

7. ページ上で複数のコンテナーを選択し、これらのコンテナーの設定を 1 回のアクションで更新するには、上部のメニューから [更新] を選択します。

   

計画メンテナンス期間中の通知を抑制する

一部のシナリオでは、バックアップの失敗が予想される特定の期間中の通知を抑制することができます。 データベース バックアップでは、最短 15 分間隔でログ バックアップが実行される可能性があり、15 分おきの失敗のたびに個別の通知を受信するのは煩わしいため、これは特に重要です。 このようなシナリオでは、通知の送信に使用されるメインのアラート処理ルールと共存する 2 番目のアラート処理ルールを作成できます。 2 つ目のアラート処理ルールは、アクション グループにリンクされませんが、抑制すべき種類の通知の時間を指定するために使用されます。

既定では、抑制アラート処理ルールは、他のアラート処理ルールよりも優先されます。 1 回発生したアラートが、両方の種類の異なるアラート処理ルールの影響を受ける場合、そのアラートのアクション グループは抑制されます。

抑制アラート処理ルールを作成するには、次の手順に従います。

1. バックアップ センター>[アラート] に移動し、[アラート処理ルール] を選択します。

   

2. ［作成］ を選択します

   

3. アラート処理ルールが適用される [スコープ] (サブスクリプションやリソース グループなど) を選択します。

   より詳細なフィルターを選択して、特定のバックアップ項目に関する通知のみを抑制することもできます。 たとえば、仮想マシン VM1 内の testdb1 データベースに関する通知を非表示にしたい場合、"where Alert Context (payload) contains /subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/testRG/providers/Microsoft.Compute/virtualMachines/VM1/providers/Microsoft.RecoveryServices/backupProtectedItem/SQLDataBase;MSSQLSERVER;testdb1" というフィルターを指定できます。

   対象のバックアップ項目の必要なフォーマットについては、[アラートの詳細] ページの SourceId フィールドを参照してください。

   

4. [ルールの設定] で、[通知を表示しない] を選択します。

   

5. [スケジュール] で、アラート処理ルールが適用される期間を選択します。

   

6. [詳細] で、アラート処理ルールを作成する対象のサブスクリプションとリソース グループを指定し、作成するルールの名前も指定します。

   

7. [確認および作成] を選択します。

   抑制期間が 1 回限りで繰り返しがない場合、不要になったらアラート処理ルールを [無効] にすることができます。 将来、新しいメンテナンス期間がある場合に、再び有効にすることができます。

プログラムによるオプション

クラシック アラートのオプトアウトや Azure Monitor 通知の管理は、プログラムによる方法を使用して行うこともできます。

クラシック バックアップ アラートのオプトアウト

以降のセクションでは、サポートされているクライアントを使用してクラシック バックアップ アラート ソリューションをオプトアウトする方法について説明します。

Azure Resource Manager (ARM)/Bicep/REST API/Azure Policy の使用

monitoringSettings コンテナー プロパティで、クラシック アラートを無効にするかどうかを指定できます。 カスタムの ARM/Bicep テンプレートまたは Azure Policy を作成して、コンテナーのこの設定を変更できます。

次のコンテナー設定プロパティの例は、クラシック アラートが無効になっており、組み込みの Azure Monitor アラートがすべてのジョブの失敗に対して有効になっていることを示しています。

{
   "monitoringSettings": {
      "classicAlertsForCriticalOperations": "Disabled",
      "azureMonitorAlertSettings": {
         "alertsForAllJobFailures": "Enabled"
      }
   }
}

Azure PowerShell の使用

コンテナーのアラート設定を変更するには、Update-AzRecoveryServicesVault コマンドを使用します。

次の例は、ジョブの失敗に対して組み込みの Azure Monitor アラートを有効にし、クラシック アラートを無効にする場合に役立ちます。

Update-AzRecoveryServicesVault -ResourceGroupName testRG -Name testVault -DisableClassicAlerts $true -DisableAzureMonitorAlertsForJobFailure $false

Azure CLI の使用

コンテナーのアラート設定を変更するには、az backup vault backup-properties set コマンドを使用します。

次の例は、ジョブの失敗に対して組み込みの Azure Monitor アラートを有効にし、クラシック アラートを無効にする場合に役立ちます。

az backup vault backup-properties set \
	--name testVault \
	--resource-group testRG \
    --clasic-alerts  Disable \
    --alerts-for-job-failures Enable

Azure Monitor アラートの通知の設定

Azure Monitor でサポートされている次の標準プログラム インターフェイスを使用して、アクション グループとアラート処理ルールを管理できます。

• Azure Monitor REST API リファレンス
• Azure Monitor PowerShell リファレンス
• Azure Monitor CLI リファレンス

Azure Resource Manager (ARM)/Bicep/REST API の使用

これらのサンプル ARM および Bicep テンプレートを使用して、選択したサブスクリプション内のすべての Recovery Services コンテナーに関連付けられたアラート処理ルールとアクション グループを作成できます。

Azure PowerShell の使用

前のセクションで説明したように、コンテナーの通知を構成するには、アクション グループ (通知チャネル) とアラート処理ルール (通知ルール) が必要です。

通知を構成するには、次のコマンドレットを実行します。

1. New-AzActionGroupReceiver コマンドレットと Set-AzActionGroup コマンドレットを使用して、メールの ID に関連付けられたアクション グループを作成します。

   $email1 = New-AzActionGroupReceiver -Name 'user1' -EmailReceiver -EmailAddress 'user1@contoso.com'
   Set-AzActionGroup -Name "testActionGroup" -ResourceGroupName "testRG" -ShortName "testAG" -Receiver $email1
   

2. Set-AzAlertProcessingRule コマンドレットを使用して、上記のアクション グループにリンクされているアラート処理ルールを作成します。

   Set-AzAlertProcessingRule -ResourceGroupName "testRG" -Name "AddActionGroupToSubscription" -Scope "/subscriptions/xxxx-xxx-xxxx" -FilterTargetResourceType "Equals:Microsoft.RecoveryServices/vaults" -Description "Add ActionGroup1 to alerts on all RS vaults in subscription" -Enabled "True" -AlertProcessingRuleType "AddActionGroups" -ActionGroupId "/subscriptions/xxxx-xxx-xxxx/resourcegroups/testRG/providers/microsoft.insights/actiongroups/testActionGroup"
   

Azure CLI の使用

前のセクションで説明したように、コンテナーの通知を構成するには、アクション グループ (通知チャネル) とアラート処理ルール (通知ルール) が必要です。

同じように構成するには、次のコマンドを実行します。

1. az monitor action-group create コマンドを使用して、メールの ID に関連付けられているアクション グループを作成します。

   az monitor action-group create --name testag1 --resource-group testRG --short-name testag1 --action email user1 user1@contoso.com --subscription "Backup PM Subscription"
   

2. az monitor alert-processing-rule create コマンドを使用して、上記のアクション グループにリンクされているアラート処理ルールを作成します。

   az monitor alert-processing-rule create \
   --name 'AddActionGroupToSubscription' \
   --rule-type AddActionGroups \
   --scopes "/subscriptions/xxxx-xxx-xxxx" \
   --filter-resource-type Equals "Microsoft.RecoveryServices/vaults"
   --action-groups "/subscriptions/xxxx-xxx-xxxx/resourcegroups/testRG/providers/microsoft.insights/actiongroups/testag1" \
   --enabled true \
   --resource-group testRG \
   --description "Add ActionGroup1 to all RS vault alerts in subscription"
   

次のステップ

Azure Backup の監視とレポートについて学びます。