VMware Cloud on AWS ユーザーは、vRealize Log Insight Cloud にてイベントやログを一元的に管理できます。今回は、 VMware Cloud on AWS に関わるイベント通知の中身と運用を楽にする vRealize Log Insight Cloud の「Content Pack」の活用方法をご紹介します。尚、VMware Cloud on AWS 環境におけるイベントとログ管理の仕組みについては、ブログ「VMware Cloud on AWS のログ管理」をご覧ください。

VMware Cloud on AWS のイベント通知

アプリケーションを支えるインフラの運用において想定外の事象が発生した場合、管理者はそれらのイベントを速やかに検知して適切な行動を起こしたいものです。VMware Cloud on AWS 環境で発生する各種イベントは、予め通知を設定しておくことで管理者へリアルタイムで通知できます（図1）。

このイベント通知は、vRealize Log Insight Cloud で定義します。そこで役に立つのが vRealize Log Insight Cloud の「Content Pack」です。

図1 vRealize Log Insight Cloud を活用したイベント通知のイメージ

徹底的に活用したい「Content Pack」

vRealize Log Insight および vRealize Log Insight Cloud は、クラウドサービスやアプリケーション、インフラからイベントやログを収集し、分析できるログの統合管理製品およびサービスです。

Content Pack とは、これらの製品とサービスで提供されているプラグイン機能で、 3rd パーティ製品や外部のクラウドサービスとのインテグレーションを実現します。vRealize Log Insight Cloud の画面を開くと、多くのクラウドサービスや 3rd パーティ製品の Content Pack が用意されていることが分かります（図2）。

図2 外部サービスや製品のプラブインとして機能する「Content Pack」（一部抜粋）

アプリケーションや製品ごとに出力されるイベントやログの書式、およびログの種別は異なります。それらのログを統合管理するときに管理者を悩ませるのが、実行する検索クエリーが複雑になることです。膨大なログから特定のログだけを抽出するには、送信元のログ形式合わせた構文でクエリーをいくつも組み合わせて実行する必要があるのです。

そこで活躍するのが Content Pack です。Content Pack を使用すると 3rd パーティ製品やサービスから収集したログをシンプルに管理できるようなインターフェイスを管理者に提供します。これによって、目的のログをワンクリックで抽出できるようになります（図3）。

図3 Content Pack の概要

VMware Cloud on AWS ユーザー向け Content Pack の中身とは？

Content Pack の中身について、VMware Cloud on AWS ユーザー向けの Content Pack を例に挙げながら紹介します。

ブログ「VMware Cloud on AWS のログ管理」でも紹介していますが、VMware Cloud on AWS で生成されるイベントやログは vRealize Log Insight Cloud に集約されます。そこで活躍するのが VMware Cloud on AWS 向けの Content Pack「Audit Events for VMware Cloud SDDC」です（図4）。この Content Pack は予め vRealize Log Insight Cloud に登録されているので、すぐに使うことができます。

図4 登録済み Content Pack 一覧の画面サンプル

この「Audit Events for VMware Cloud SDDC」を開くと「Dashboards」や「Queries」、「Alerts」などのメニューが選択できる画面が開きます（図5）。これらのメニューから主なものをピックアップしながら、中身についてもう少し詳しく見ていきましょう。

図5 Content Pack「Audit Events for VMware Cloud SDDC」の画面サンプル

目的のイベントを俯瞰する「Dashboards」

vRealize Log Insight Cloud の「Dashboards （ダッシュボード）」機能とは、目的のイベントやログを「Widget」と呼ぶウィンドウにまとめて表示する仕組みです。一つのページに複数の Widget を登録しておくことで、直感的に全体のステータスを確認できます（図6）。各 Widget が表示している時間軸はすべて同じであるため、特定の日時や期間におけるログを複数のメトリックやグラフから多角的に俯瞰することができます。

図6 vRealize Log Insight Cloud のダッシュボード画面サンプル

「Audit Events for VMware Cloud SDDC」では、予め各イベントに対応するダッシュボードが用意されています（図7）。これらのリストをクリックするだけでダッシュボードが開きます。尚、現時点で 70 種類以上のイベントがリスト化されています（図8）。

図7 Content Pack「Audit Events for VMware Cloud SDDC」の Dashboards 画面サンプル

図8 Content Pack「Audit Events for VMware Cloud SDDC」の Dashboards に登録されているイベント一覧

尚、このリストに掲載されているイベントはすべて通知を定義できます。これによって、例えば上記リストの「NSX-T Firewall Rule Delete Events」に通知を定義しておけば、NSX の Firewall ルールが削除されたら管理者にメールや Slack で通知するという運用が実現します。インフラのステータス把握や監査などの目的で、重要と判断されるイベントには通知も定義しておくことで、有事の際に素早くアクションを起こすことができます。

複雑な構文は覚えなくて良い「Queries」

前述した通り、vRalize Log Insight Cloud では目的のイベントやログを抽出するためにクエリーによってフィルター条件を定義できます。複数のクエリーを組み合わせればログを適切にフィルターできますが、より簡単にクエリーを実行する仕組みがあると運用はもっと楽になります。それを実現するのが「Queries」です。

「Queries」画面を開くと、目的のイベントを特定するクエリーを実行するリンクが予め準備されています（図9）。そこから参照したいイベントのリンクをクリックすれば、そのイベントだけが抽出された状態、つまり適切なクエリーが実行された状態でダッシュボードが開きます（図10）。管理者はそのダッシュボードから、さらに特定の条件でフィルターしつつイベントの傾向を俯瞰することができます。

図9 Content Pack「Audit Events for VMware Cloud SDDC」の Queries 画面サンプル

図10 Queries 画面から「Alarm Event」リンクを開いたダッシュボード画面サンプル

誰でも簡単に通知を設定できる「Alerts」

さらに「Alerts」を活用すると、より簡単に通知を設定できます。「Audit Events for VMware Cloud SDDC」では、予め通知に活用できる主なイベントがリスト化されています（図11）。そのリストから目的のイベントを選択して、宛先を定義すれば通知の設定は完了します（図12）。

尚、イベントに対する通知設定（通知手段や宛先など）は、いつでも変更できます。ワンクリックで通知を有効から無効に変更することもできます。通知手段の設定については、ブログ「VMware Cloud on AWS のログ管理」でも紹介していますので、是非ご覧ください。

図11 Content Pack「Audit Events for VMware Cloud SDDC」の Alerts 画面サンプル

図12 Content Pack を活用したイベント通知設定の流れ

まとめ

今回は、VMware Cloud on AWS のイベント通知と vRealize Log Insight Cloud の Content Pack（VMware Cloud on AWS ユーザー向け）の活用方法についてご紹介しました。VMware Cloud on AWS のあらゆるイベントが vRealize Log Insight Cloud に集約されるので、一つのインターフェイスでログの管理とイベント通知を一元的に管理・運用できます。運用を楽にする機能も備わっていますので、クラウド運用の最適化にお役立てください。