Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
@carol0226(Shuji Noguchi)inNTTデータ先端技術

Microsoft Entra ID のログを Log Analytics に保存する

Last updated at Posted at 2024-07-15

Microsoft Entra ID のログとは?

テナントで行われた操作に関するログが記録されます。
Log Analytics との連携有無によって、違いがあるため それぞれ 説明します。

  1. Log Analytics を 使わない場合
  2. Log Analytics と 連携させた場合

1. Log Analytics を使わない場合

1-1. Microsoft Entra ID のログを見る方法

Azure Portal の Microsoft Entra ID のブレードから、サインインログ と 監査ログ、プロビジョニングログ を参照することができます。

サインインログ
image.png

監査ログ
image.png

プロビジョニングログ
image.png

1-2. データ保持期間

ライセンスの有無や MFA の使用状態によって日数が違いますが、Free 版で 7 日、最大で 30 日まで 保持されます。

認証に関するログなのですが、それ以上は保持されないという点が 注意点 です。

ポイント
それ以上の期間、Microsoft Entra ID のログを保持する必要がある場合には、Log Analytics との連携が必要になります。

公開情報:Microsoft Entra のデータ保持
https://learn.microsoft.com/ja-jp/entra/identity/monitoring-health/reference-reports-data-retention
(上記のサイトより抜粋)
image.png

2. Log Analytics と 連携させた場合

Microsoft Entra ID と Log Analytics を連携させた場合は、ログの閲覧方法 や データ保持期間は Log Analytics に準じます。

2-1. Log Analytics で サインインログ を参照

KQL で SigninLogs を使って検索します。
image.png

注意
Log Analytics でサインインログを取得するためには ライセンスが必要です。
image.png
サインインログ 以外の ログの取得には、ライセンスは不要です。

2-2. Log Analytics で 監査ログ を参照

KQL で AuditLogs を使って検索します。
image.png

2-3. データ保持期間

Log Analytics 側で設定します。
既定(無料)では、30 日まで。有料にすると 最大で 2 年 まで設定できます。

期間の設定方法は、次章の前提事項で紹介している Azure Log Analytics について の記事を参照してください。

3. Microsoft Entra ID のログを Log Analytics に保存する

3-1. 前提事項

事前に、以下の記事の手順を参照して Log Analytics ワークスペースをデプロイします。

3-2. Microsoft Entra ID の診断設定

続いて、以下の手順を実施します。

  1. Microsoft Entra ID のページを開き、左ペインの 監視 を開きます。
    続いて、診断設定 を選択します。
    image.png
     
  2. 以下のページで 診断設定を追加する のリンクをクリックします。
    image.png
     
  3. 以下の順に設定を行います。
    ① 取得するログのカテゴリを決めます(図では、全種類)
    ② ログの宛先として Log Analytics ワークスペースへの送信 にチェックを入れます。
     続いて、出力先のワークスペース名を選択します。
    ③ 診断設定の名称(任意)を指定します。
    保存 ボタンを押します。
    image.png
     
  4. 以下の通り、一覧に追加されれば OK です。
    image.png

公開情報

診断設定が完了したら、Log Analytics にログが収集されはじめます。
ログの参照方法は、2章で紹介した画面のまま KQL を実行します。

4. Microsoft Entra ID を参照するための KQL

クエリ例
https://learn.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/tutorial-configure-log-analytics-workspace#run-queries-in-log-analytics

SigninLogs リファレンス
https://learn.microsoft.com/ja-jp/azure/azure-monitor/reference/tables/signinlogs

AuditLogs リファレンス
https://learn.microsoft.com/ja-jp/azure/azure-monitor/reference/tables/auditlogs

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?