Zenn
Microsoft (有志)Publicationへの投稿
🗄️

Sentinel のワークスペースをリージョン間でレプリケーションする新機能を試してみる。

Nobufumi Murata
2024/06/16に公開
Azure
Microsoft
Microsoft Sentinel
tech

Workspace Replication

今まで Microsoft Sentinel や Log Analytics のワークスペースはリージョンを跨いだデータの冗長化を行うことはできませんでしたが、2024年5月に Workspace Replication という機能が出てきました。(現時点ではまだパブリック プレビュー)
詳細は以下の公式情報を参照ください。
https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/workspace-replication

構成方法

現時点では API での構成しかできません。私は以下の記事でも書いた通り Postman を使って API を実行しました。
https://zenn.dev/microsoft/articles/eadd7e601f6ed2

今回も公式情報に載っていた API を実行するためのコレクションを作成しましたので良ければ Fork して使ってください。Fork の仕方、実行の仕方などは上記記事も参照ください。
https://www.postman.com/nmurata/workspace/nmurata-share-collection/collection/24896452-bea9dd8b-1d95-4a43-b3b5-08d25a9abe3c?action=share&creator=24896452

今回は eastus をプライマリ リージョンとしてワークスペースを作成し、westus2 をセカンダリ リージョンとして指定して公式情報の「ワークスペースのレプリケーションを有効にする」API を実行しました。公式情報では時間がかかる場合がありますとの記載がありましたが、私の環境ではすぐにステータスが Succeeded になりました。

切り替えのテスト

公開情報にあるようにセカンダリ リージョンは切り替えは手動で API を実行する必要があります。公式情報の「切り替えをトリガーする」の API を実行すると以下の通り failover の state が Active になります。

本機能でのリージョンへの切り替えは DNS を使った切り替えになることが説明されております。ワークスペース レプリケーションを有効にする事で作成される以下のシステム データ収集エンドポイントのログインジェスト URL のドメインの状況を nslookup で確認してみたところ、以下の通りになりました。

切り換え前(EastUS)
名前:    gig-la-prod-cluster-eus-5-fe.eastus.cloudapp.azure.com
Address:  20.121.252.6
Aliases:  e78d16cd344742dbb99359131942b482-aq9t-eastus.logs.z1.ingest.monitor.azure.com
          eastus.prod.la.ingest.monitor.core.windows.net
          gig-la-prod-eastus.trafficmanager.net
切り換え後(WestUS2)
名前:    gig-la-prod-cluster-wus2-5-fe.westus2.cloudapp.azure.com
Address:  20.99.187.20
Aliases:  e78d16cd344742dbb99359131942b482-aq9t-eastus.logs.z1.ingest.monitor.azure.com
          westus2.prod.la.ingest.monitor.core.windows.net
          gig-la-prod-westus2.trafficmanager.net

切り換え前のドメイン名はプライマリ リージョンの場所が含まれておりますが、セカンダリ リージョンへの切り替えの実施後に確認するとドメインにセカンダリ リージョン名が含まれるように変わることが確認できました。

また、切り換え後に KQL のクエリを実行した際に、どのリージョンで実行されているかは LAQueryLogs テーブルの WorkspaceRegion を確認することで確認が可能です。LAQueryLogs テーブル を確認するためには Log Analytics Workspace の診断ログを有効にしておく必要があります。

コスト

本機能にかかるコストも Azure Monitor の価格のページに記載されております。ログ インジェストと同様取り込んだログの量に応じた課金となるようです。東日本リージョンもまだサポートのアナウンスはされておりませんが、価格は確認できるようになっておりました。確認できる価格は従量課金のコストの10分の1程度とコストのようなので、お財布には比較的優しそうに見えます。
https://azure.microsoft.com/ja-jp/pricing/details/monitor/

なお、私の環境でのテスト結果ではプライマリ リージョンで計算されているようにコスト分析の機能で見えております。プライマリ リージョンで課金されるのか、セカンダリ リージョンで課金されるかはちゃんと確認をしたほうが良さそうです。

まとめ

Log Analytics Workspace のリージョン間でのレプリケーションを行う新機能を試してみました。運用面ではプライマリ リージョンの監視、問題発生時の検知や、そこからセカンダリへの切り替えなどの計画などで課題や検討事項は多いかと思いますが、以前からリージョンを跨いだ冗長化については要望が多くありましたので多くの方が待ち望んでいた機能なのではないでしょうか。まだ日本リージョンのサポートがされていなかったり専用クラスター環境では構成できなかったりと制約がありますので、それらが早く対応されて欲しいと思いました。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion