メインコンテンツへスキップ

Google Compute Engine のリアルタイムアノマリー検出

DoiT は、標準およびカスタムマシンタイプを含む、すべてのリージョンとゾーンにわたる Google Compute Engine(GCE)ワークロードに対して、ほぼリアルタイムのアノマリー検出をサポートします。リアルタイムアノマリー検出を有効化するには、組織レベルでこの機能を有効にする必要があります。

Cloud Logging 監査ログ

Google Compute Engine のリアルタイムアノマリー検出は、Cloud Logging 監査ログから取得された使用状況に基づく、推定オンデマンドコストを利用します。

  • アノマリー検出システムは、組織レベルに realtime-pipeline-log-sink-prod-<ORG-ID> という名前のログシンクを作成します。

  • ログシンクは、次のフィルターを使用して、組織内のすべてのプロジェクトの GCE アクティビティを取得します:resource.type="gce_instance" AND logName:"cloudaudit.googleapis.com%2Factivity"

  • ログシンクは、DoiT の Google Cloud 組織内の doit-realtime-pipeline-pubsub-topic という名前の Pub/Sub トピックに監査ログを公開します。監査ログは、その後リアルタイムアノマリー検出のために処理されます。

必要な権限

Google Compute Engine のリアルタイムアノマリー検出を有効にするには、次の条件を満たす必要があります。

  • 使用している DoiT アカウントに Manage Settings 権限が付与されていること。

  • 組織内で Organization Role Administratorroles/iam.organizationRoleAdmin)IAM ロールが付与されていること。

GCE のリアルタイムアノマリーを有効にする

組織を接続するとき、または既存の接続を編集するときに、GCE のリアルタイムアノマリー検出を有効にできます(Connect Google Cloud resources を参照)。

組織を接続する際に有効にする

  1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから データ取り込みとインテグレーション > Google Cloud を選択します。

  2. Connect ドロップダウンから Organization を選択します。

  3. Real-time Anomalies – GCE チェックボックスを選択します。機能を展開すると、必要な権限を確認できます(詳細は Security and data access policy: Feature permissions を参照してください)。

    Add real-time anomaly to GCP organization

  4. Generate gcloud commands を選択します。

  5. サイドパネルに表示される手順に従って、サービスアカウントを設定してください。

  6. 接続が正常にセットアップされると、Real-time Anomalies – GCE 機能のステータスに Healthy と表示されます。

既存の接続で有効にする

接続済みの組織にリアルタイムアノマリーを追加するには、次の手順を行ってください。

  1. Google Cloud access & features ページで、対象のサービスアカウントを探します。

  2. 組織接続の横にあるケバブメニュー()を選択し、Edit を選択します。

  3. 機能を追加するために Real-time Anomalies – GCE チェックボックスを選択します。

  4. Generate gcloud commands を選択します。

  5. サイドパネルに表示される手順に従って、カスタムロールを更新してください。

  6. Done を選択して機能を有効にします。

リアルタイムアノマリー検出のコスト

リアルタイムアノマリー検出機能は、Google Cloud の監査ログを使用して GCE アクティビティを収集しますが、追加コストは発生しません。

  • ログシンクの作成および DoiT の Pub/Sub トピックへのログのルーティング自体に料金はかかりません。Cloud Logging: Quotas and limits を参照してください。

  • 監査ログは Admin Activity audit logs に依存しており、これらは _Required バケットに無償で保存されます。Cloud Logging: Storage pricing を参照してください。

  • compute.instances.getcompute.machineTypes.get への API リクエストには、直接的なコストはかかりません。

GCE のリアルタイムアノマリーを無効にする

GCE のリアルタイムアノマリー機能を安全に無効化するには、この機能の有効化時に DoiT のアノマリー検出システムによって作成されたログシンクを、次のコマンドを使って無効にすることを推奨します(機能の有効化に使用した 組織リソース ID<ORG-ID> を必ず置き換えてください)。


gcloud logging sinks update realtime-pipeline-log-sink-prod-<ORG-ID> --disabled --organization=<ORG-ID>

無効化されたシンクは、シンクの送信先へのログをルーティングしません。ログシンクのステータスを確認するには、Google Cloud コンソールの Log Router ページに移動し、組織を選択してください。

リアルタイムアノマリー機能を再度有効化する必要がある場合は、--no-disabled フラグを付けて gcloud logging sinks update コマンドを実行してください。これにより、無効化されていたログシンクが有効になり、DoiT の Pub/Sub トピックへのログ送信が再開されます。


gcloud logging sinks update realtime-pipeline-log-sink-prod-<ORG-ID> --no-disabled --organization=<ORG-ID>

最終更新