Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
@carol0226(Shuji Noguchi)inNTTデータ先端技術

Azure アクティビティログを Log Analytics に保存する

Last updated at Posted at 2024-07-15

アクティビティログ とは?

アクティビティログは、プラットフォームログ の一種です。
Azure 上で 利用者が 操作 を行った結果が 逐一 記録されています。

アクティビティログ は、Azure Portal の 各リソース の左ペインの上方にあります。

サブスクリプション・リソースグループ・リソース、それぞれの画面にありますが、そのスコープ内のアクティビティログを参照することができます。

Azure Monitor アクティビティ ログとアクティビティ ログの分析情報を使用する
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log-insights#retention-period

サブスクリプション の アクティビティログ
サブスクリプション内の すべて のアクティビティを参照できます。
image.png

リソースグループ (kensho) のアクティビティログ
リソースグループ内の すべて のアクティビティを参照できます。
image.png

リソース (LA-JPEAST) のアクティビティログ
リソース自身のアクティビティログを参照できます。
image.png

1. アクティビティログの保持期間

アクティビティログを 前章で紹介した Azure Portal の アクティビティログ メニューから参照できる期間は 90 日です。
それを過ぎたログは、削除されます。

公開情報:保持期間
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log-insights#retention-period

2. アクティビティログ を Log Analytics に保存する理由

2-1. 長期保存

前章で説明したとおり、アクティビティログ は、90 日で消えてしまいます。
しかし、アクティビティログ を Log Analytics に転送しておくと、ワークスペースの有効期限まで保持する事が可能になります。

つまり、90 日を超えた期間 保持させたい場合に、Log Analytics を使って長期保存する事が可能になります。

2-2. アラート(監視運用)

Azure Monitor には、保存されたログに対して、あらかじめ定めておいたルールに該当した際に、アラートを発生させることができます。

アラートが発生した際に、さまざまなアクションを定義することができるため、メールで通知したり、Teams へ投稿したり、Power Automate の処理を発動させたりすることができます。

2-3. クエリの利用

KQL というクエリを使って、ログを検索・抽出・分析 に活用することができます。

2-4. 統合管理

アクティビティログ 以外の リソースログや メトリック のデータ、Microsoft 365 のログ等と組み合わせて活用することができます。

2-5. SIEM 連携

さらに、Azure Sentinel や サードパーティの SIEM 製品と連携させる際にも、Log Analytics を介して連携させることが可能です。

3. アクティビティログを Log Analytics に保存する

おススメは、サブスクリプション全体の アクティビティログ を保存です。
これで、全操作の履歴を 保存する事ができます。

3-1. 前提事項

事前に、以下の記事の手順を参照して Log Analytics ワークスペースをデプロイします。

3-2. アクティビティログ の診断設定

続いて、以下の手順を実施します。

  1. 目的のリソースのページを開き、左ペインの アクティビティログ を選択します。
    続いて、上部メニューから 診断設定 を選択します。
    image.png
     
  2. 以下のページで 診断設定を追加する のリンクをクリックします。
    image.png
     
  3. 以下の順に設定を行います。
    ① 取得するログのカテゴリを決めます(図では、全種類)
    ② ログの宛先として Log Analytics ワークスペースへの送信 にチェックを入れます。
     続いて、出力先のワークスペース名を選択します。
    ③ 診断設定の名称(任意)を指定します。
    保存 ボタンを押します。
    image.png

以下の通知が表示されれば、OK です。
image.png

公開情報
https://learn.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log?tabs=powershell#send-to-log-analytics-workspace

4. ワークスペースに保存された アクティビティログ の参照

保存されたログは、以下の操作で参照できます。
① 左ペインの ログ を選択します。
時間の範囲 を適切な範囲に設定します。
③ KQL 分を入力します。 AzureActivity と入力することで、アクティビティログ が指定されます。
実行 を押すと、KQL 命令が実行された結果が表示されます。
⑤ 表示されたログは、赤枠 をクリックすると 内容を開いて参照できます。
 ここで、緑下線 をみることで、TEST というリソースグループが 削除 されたことが判ります。

image.png

AzureActivity と入力すると、以下のように表示されます。
image.png

そのあと 実行 を押すと、エラーになります。
エラーの原因は、2行目の | です。 | は、続けて命令を書く時に必要がですが、続きの命令が無い場合には、削除してから実行する必要があります。
image.png

KQL AzureActivity で参照できる内容のリファレンス
https://learn.microsoft.com/ja-jp/azure/azure-monitor/reference/tables/azureactivity

5. ブックの利用

ブックを活用すると、ログを元に 以下のような グラフィカル な分析結果を参照する事ができるようになります。

ブックの参照方法
image.png

全般
image.png

操作
image.png

エラー
私の環境では エラー 出ていなかったので、寂しいですが、本来は エラーの種類ごとにカラフルに出力されると思います。
image.png

管理
操作したアクション種類ごとに分類されていて、円グラフ の部分をクリックすると 下部 にログが表示されるようです。
image.png

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?