今回は、VMware Cloud on AWS のイベントとログ管理についてご紹介します。VMware Cloud サービスに関するイベントから各種インフラのイベント、監査ログを含む各種イベントやログに関わる全体の仕組みについて解説します。

イベントやログ管理の仕組みは？

VMware Cloud on AWS は、VMware Cloud サービスの一つとして提供されているので、インフラだけではなくクラウドサービスの運営に関わるイベントを含め、様々な場面や場所でイベントが生成されログとして記録されます 。それらのイベントは、 vRealize Log insight Cloud にバックエンドで集約される仕組みになっています（図1）。

図1  VMware Cloud on AWS におけるイベントとログ管理の全体像

vRealize Log Insight Cloud とは、VMware Cloud サービスの一つとして提供されているログの統合管理サービスであり、VMware のログ管理製品「vRealize Log Insight」をクラウドサービスとして提供しているものです（図2）。これは、収集するログの容量に対して従量課金でお支払いいただくサービスですが、VMware Cloud on AWS のユーザーは一定条件の範囲で追加料金なく利用できます。本サービスの料金については 「vRealize Log Insight の価格」でご確認ください。

図2  vRealize Log Insight Cloud のダッシュボード画面サンプル

ここでご注意いただきたいのが、収集可能なログの容量と保存期間です。VMware Cloud on AWS のユーザーは追加料金を払うことなく vRealize Log Insight Cloud を利用できるのですが、その条件の一つとして、収集可能なログ容量が1日あたり最大 1GB に制限されています。ログの容量が1GBを超えると vRealize Log Insight Cloud で収集されなくなります。もう一つの条件は、ログの保存期間が最大7日間に限定されていることです。7日を超えると古いログから順次削除されます。一度削除されたログは復元できません。

ただし、これはあくまで追加料金なしで利用する場合の前提条件でしかありません。VMware Cloud on AWS のユーザーは、vRealize Log Insight Cloud の契約を有償版に切り替えることで、これらの制限が解除されます。有償版では、ログの収集容量に制限は無くなり、保存期間も最大30日間に変更されます。

VMware Cloud on AWS で出力されるイベントの種類は？

VMware Cloud on AWS でどのようなイベントやログが生成及び記録されるのでしょうか？ここで整理しておきましょう。尚、これらのイベントやログは、全て vRealize Log Insight Cloud に集約されます。

vCenter および ESXi 監査イベント

vCenter に対するユーザーのログイン行為などの監査ログを含め、仮想マシンの稼働状況やクラスタ関連のイベント、リソース関連のイベント、DRS 起因のイベントなどが記録されます。ESXi ホストについては、ホストのステータス変更イベントやホスト追加と削除のイベント、メンテナンス関連のイベントなどが記録されます。これらのイベントは、vCenter のイベント一覧画面でも確認できます。

VMware NSX 監査イベント

VMware NSX の Firewall におけるルールの作成や変更、削除のイベントの他に論理ネットワークや NAT ルールの作成や削除のイベントなどが記録されます。また、設定次第で Firewall のログも記録できます。Firewall ログの記録方法については、「ナレッジベース – vRealize Log Insight Cloud で NSX-T ファイアウォールログをフィルタリングする方法」をご覧ください。

VMware Cloud サービス 監査イベント

VMware Cloud サービスに関するアカウントの管理や組織の管理に関わるイベントの他に、サブスクリプションや支払い方法に関するイベントなどが記録されます。詳細は「VMware Cloud の使用 – VMware Cloud Services の監査イベント」をご覧ください。

Notification Gateway イベント

Notification Gateway とは、VMware Cloud on AWS サービスを利用する組織のオーナーやユーザーにとって重要なイベントを複数のチャネルを経由して自動的に通知する仕組みです（図3）。これは VMware Cloud サービスの標準機能として提供されています。VMware Cloud 組織のオーナーやユーザーが任意の通知チャネル（メールなど）を事前に定義しておくことで、イベント発生時に通知させることができます。Notification Gateway が扱うイベントは、SDDC のメンテナンスに関わるアクションイベントや Elastic DRS のイベント、ホスト障害のイベント、サブスクリプションの有効期限に関するリマインダーなどが含まれます。Notification Gateway が検知するイベントは、後述する「アクティビティログ」に記録されます。詳細は「VMware Cloud on AWS 運用ガイド – サービス通知とアクティビティログ」及び「VMware Cloud on AWS 運用ガイド – VMware Cloud on AWS で利用できる通知」をご覧ください。

図3   Notification Gateway の概念図

アクティビティログ

アクティビティログとは、VMware Cloud on AWS のコンソール（公式ドキュメントでは「VMC コンソール」と表現する場合があります）にイベントを表示する機能で、サービスの一部として標準的に提供されています（図4）。アクティビティログには、Notification Gateway で扱うイベントに加えて、SDDC の展開やクラスタの追加や削除イベント、SDDC グループの作成や削除イベント、AWS アカウントの追加や削除イベントなどが記録されます。詳細は「VMware Cloud on AWS 運用ガイド – サービス通知とアクティビティログ」をご覧ください。

図4  アクティビティログの画面サンプル

ログを長期間保存する方法は？

ガバナンスやコンプライアンス対応、情報セキュリティ維持などの理由から、企業にはログを長期的に保管することが求められます。これらの要件に対応するため、vRealize Log Insight Cloud に集約されたログは外部の Syslog サーバーやデータコレクター、Security Information and Event Management (SIEM) などにフォワードすることができます（図5）。

フォワード先としては、VMware vRealize Log Insight や Splunk（Splunk Cloud を含む）、Syslog サーバー (TCP または UDP 接続)の他に、HTTPS 認証のエンドポイントを持つ製品やサービスをサポートしています。Syslog サーバーには、 JSON 形式でログがフォワードされます。詳細は、「Using vRealize Log Insight Cloud – Forward Logs from vRealize Log Insight Cloud」をご覧ください。

図5  フォワード機能の設定画面サンプル

一方、ログを Amazon S3 にアーカイブする機能もあります。アーカイブするログの条件を定義すると、条件に合致したものだけが抽出されて自動的にアーカイブされます。詳細は「Using vRealize Log Insight Cloud – Configure Log Archiving」をご覧下さい。なお、VMware Cloud on AWS ユーザーは、追加料金なしでログのフォワード機能を利用できますが、アーカイブ機能は有償版に切り替えることで利用できるようになります。＜2022年11月追記：アーカイブ機能の仕組みが変更され、2022年2月より Log Partition 機能で実現することになりました。詳細はリリースノートをご覧ください。＞

イベント通知もできる

イベントやログ管理において、欠かせない機能の一つが通知です。前述の通り、vRealize Log Insight Cloud に集約された VMware Cloud on AWS のイベントは、アラート通知条件を事前に定義しておくことで、適宜管理者に通知することができます。例えば、ユーザーのログイン失敗イベントが記録されたら管理者にリアルタイムで通知する、と言う運用を実現できます（図6）。

図6  アラート通知条件設定（カスタム設定）の画面サンプル

なお、vRealize Log Insight Cloud には「Content Pack」という便利なインターフェイスが用意されています。VMware Cloud on AWSのユーザーには、専用の Content Pack が直ぐに使える状態で提供されています。Content Pack を活用すると、ワンクリックで目的のログを抽出するクエリーが実行できるなど、操作がシンプルになるのでとても便利です。アラート通知の定義も数クリックで完了するので、是非ともご活用下さい（図7）。

図7  VMware Cloud on AWS 向け Content Pack におけるアラート通知設定の画面サンプル

vRealize Log Insight Cloud から発信するアラート通知手段としては、メールと Webhook をサポートしています（図8）。通知設定は非常にシンプルです。Webhook では、通知先ごとにメッセージ（Webhook Payload）をカスタマイズすることもできます。

図8  通知手段の設定画面サンプル

イベント通知に関しては、ブログ「VMware Cloud on AWS のイベント通知」も併せてご覧ください。

まとめ

VMware Cloud on AWS で出力されるイベントは、自動的に vRealize Log Insight Cloud にログとして集約されます。vRealize Log Insight Cloud は、VMware Cloud サービスとして提供されており、 VMware Cloud on AWS のユーザーは利用制限があるものの、追加料金なしでほぼ全ての機能が使えます。

監査ログのほかにクラウドサービスに関わるイベントも取得でき、イベント発生時に通知することもできます。ログの管理と運用の両側面で高い柔軟性を備えています。是非ご活用ください！

関連情報リンク

• ブログ「VMware Cloud on AWS のイベント通知」
• オフィシャルサイト「vRealize Log Insight Cloud」
• vRealize Log Insight Cloud の価格と機能一覧
• ナレッジベース – vRealize Log Insight Cloud で NSX-T ファイアウォールログをフィルタリングする方法
• VMware Cloud の使用 – VMware Cloud Services の監査イベント
• VMware Cloud on AWS 運用ガイド – サービス通知とアクティビティログ
• VMware Cloud on AWS 運用ガイド – VMware Cloud on AWS で利用できる通知
• Using vRealize Log Insight Cloud – Forward Logs from vRealize Log Insight Cloud
• Using vRealize Log Insight Cloud – Configure Log Archiving
• YouTube – vRealize Log Insight Cloud – Overview
• YouTube – vRealize Log Insight Cloud – Exploring Logs
• YouTube – vRealize Log Insight Cloud – Log Forwarding