この記事について
- Azure Monitor を使う際に確認しておきたい点をメモしておく。
Azure AD のログを Azure Monitor ログ (Log Analytics) で参照する
設定での確認ポイント
Azure AD のログを Log Analytics に統合する場合、基本的には以下に従って設定すればよい。
先にLog Analytics ワークスペースを作成しておき、その後、Azure AD で診断設定を設定する。
Azure Portal で Log Analytics ワークスペースを作成する
Azure AD ログを Azure Monitor ログと統合する
設定時に忘れがちな点としてはライセンスがあるが、必要なライセンス持っており、設定したはずなのに、設定した Log Analytics ワークスペースに必要なログが出てこない、ということがあるかもしれない。
そんな場合は落ち着いて以下を再確認しよう。
Azure AD の診断設定の追加 (Add diagnostic setting)
- 診断設定の「カテゴリの詳細」において、AuditLogs , SignInLogs 以外に Log Analytcs で見たいログを含めてあるか。
- NonInteractiveUserSignInLogs , ServicePrincipalSignInLogs , ManagedIdentitySignInLogs , ProvisioningLogs , ADFSSignInLogs が必要ならば、忘れずに該当箇所にチェックを入れる。
- 診断設定の「宛先の詳細」において、Log Analytics ワークスペースへの送信 が正しく設定されているか。サブスクリプションと Log Analytics ワークスペースの指定が正しいか。
必要なライセンス
- サインインログ (SignInLogs) をエクスポートするためには Azure AD Premium P1 または P2 が必要。監査ログ (AuditLogs) についてはライセンス不要なので、つい忘れがちである。
- ライセンスを有効にしたつもりでユーザーへの割当てを忘れている or 間違えているケースもある。必要なユーザーに Azure AD Premium P1 または P2 のライセンスが割り当てされているかも念のため確認する。
- Azure AD の「ログ」でテーブルの [LogManagement] に auditLogs が出ており SigninLogs が出ていない場合は、グローバル管理者ふくめ誰にも Azure AD Premium ライセンスを割当していないかもしれない。
・ライセンスが Azure AD Premium P1 または P2 であること
ログが出力されるまでの時間
- 監査ログ、サインインログともに、Azure AD で何か作業してから即出るわけではなく、多少のタイムラグがある。すぐに見に行っても出ていないことは多い。
- 自分の例では、診断設定を仕込んでから監査ログが出るまでに40分以上かかったこともある。そのため、設定仕込んでから30分後、1時間後くらいに見るようにしている。設定が正しくてもログはすぐには出ない。
・以下では、AuditLogs , SigninLogs が両方出ている
以上