Azure Monitor ログを使用して Azure AD アクティビティ ログを分析する

Azure AD アクティビティ ログを Azure Monitor ログと統合した後、Azure Monitor ログの機能を使用して、環境に対する洞察を得ることができます。 Azure AD アクティビティ ログ用の Log Analytics ビューをインストールして、環境での監査およびサインイン イベントに関する事前構築済みレポートへのアクセス権を取得することもできます。

この記事では、Log Analytics ワークスペースでの Azure AD アクティビティ ログを分析する方法について説明します。

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。

前提条件

理解するには、次の内容が必要です。

  1. Azure portal にサインインします。

  2. [Azure Active Directory] を選択し、 [監視] セクションから [ログ] を選択し、Log Analytics ワークスペースを開きます。 ワークスペースは既定のクエリで開きます。

    既定のクエリ

Azure AD アクティビティ ログのスキーマを表示する

ログは、ワークスペース内の AuditLogs テーブルと SigninLogs テーブルにプッシュされます。 これらのテーブルのスキーマを表示するには:

  1. 以前のセクションの既定のクエリ ビューから、 [スキーマ] を選択し、ワークスペースを展開します。

  2. [ログ管理] セクションを展開し、続いて [AuditLogs] または [SignInLogs] のどちらかを展開してログ スキーマを表示します。

Azure AD アクティビティ ログのクエリを実行する

ワークスペースにログが用意されたので、これでこれらに対してクエリを実行できます。 たとえば、過去 1 週間に使用された最上位のアプリケーションを取得するには、既定のクエリを次のものに置き換えて、 [実行] を選択します

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc 

過去 1 週間にわたる最上位の監査イベントを取得するには、次のクエリを使用します。

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc 

Azure AD アクティビティ ログ データに関するアラート

クエリでアラートを設定することもできます。 たとえば、10 個を超えるアプリケーションが過去 1 週間に使用された場合にアラートを構成するには:

  1. ワークスペースから、 [Set alert] (アラートの設定) を選択して [ルールの作成] ページを開きます。

    警告の設定

  2. アラートに作成された既定の アラートの条件 を選択し、既定のメトリックの [しきい値] を 10 に更新します。

    アラートの条件

  3. アラートの名前と説明を入力して、重大度を選択します。 この例では、これを [情報] に設定できます。

  4. 信号が発生したときにアラートする [アクション グループ] を選択します。 電子メールまたはテキスト メッセージを使用してチームに通知することも、Webhook、Azure Functions、または Logic Apps を使用してアクションを自動化することもできます。 Azure portal でのアラート グループの作成および管理の詳細を理解します。

  5. アラートを構成し終えたら、 [アラートの作成] を選択して有効にします。

Azure AD アクティビティ ログの事前構築済みブックを使用する

ブックには、監査、サインイン、プロビジョニングの各イベントに関する一般的なシナリオに関連した複数のレポートが表示されます。 前のセクションで説明されている手順を使用して、レポートに表示されるデータのいずれかについてアラートすることもできます。

  • プロビジョニング分析:この ブックには、プロビジョニングされた新しいユーザーとプロビジョニング エラーの数、更新されたユーザーと更新エラーの数、プロビジョニング解除されたユーザーと該当するエラーの数など、プロビジョニング アクティビティの監査に関連するレポートが表示されます。
  • Sign-ins Events(サインイン イベント) :このブックには、経時的にサインイン数を追跡する概要ビューだけでなく、アプリケーション、ユーザー、デバイスごとのサインインなど、サインイン アクティビティの監視に関連する最も重要なレポートが表示されます。
  • 分析情報への条件付きアクセス:条件付きアクセスに関する分析情報とレポートの ブックを使用すると、自分の組織内での一定期間にわたる条件付きアクセス ポリシーの影響を把握できます。

次のステップ