Azure Monitor の Azure AD アクティビティ ログ

Azure Active Directory (Azure AD) のアクティビティ ログを複数のエンドポイントにルーティングして、長期の保持期間とデータの分析情報を得ることができます。 この機能では次のことができます。

  • データを長期間保持するには、Azure AD アクティビティ ログを Azure ストレージ アカウントにアーカイブします。
  • Azure AD アクティビティ ログを Azure イベント ハブにストリーム配信して、Splunk、QRadar、Microsoft Sentinel などの一般的なセキュリティ情報およびイベント管理 (SIEM) ツールを使用して分析することができます。
  • Azure AD アクティビティ ログをイベント ハブにストリーミングすることで、独自のカスタム ログ ソリューションと統合することができます。
  • Azure AD アクティビティ ログを Azure Monitor ログに送信して、接続データに対する高度な視覚化、監視、およびアラートを有効にします。

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。

サポートされるレポート

この機能を使用して、Azure AD 監査ログとサインイン ログを Azure Storage アカウント、イベント ハブ、Azure Monitor ログ、またはカスタム ソリューションにルーティングすることができます。

注意

現時点では、B2C 関連の監査およびサインインのアクティビティ ログはサポートされません。

前提条件

この機能を使用するには、次が必要です。

  • Azure サブスクリプション。 Azure サブスクリプションを持っていない場合は、無料試用版にサインアップできます。
  • Azure portal で Azure AD の監査ログにアクセスするための Azure AD Free、Basic、Premium 1 または Premium 2 のライセンス
  • Azure AD テナント。
  • Azure AD テナントの "グローバル管理者" または "セキュリティ管理者" であるユーザー。
  • Azure portal で Azure AD のサインイン ログにアクセスするための Azure AD Premium 1 または Premium 2 のライセンス

監査ログのデータをルーティングする場所によっては、次のいずれかが必要です。

  • ListKeys アクセス許可が付与された Azure ストレージ アカウント。 BLOB ストレージ アカウントではなく、一般的なストレージ アカウントを使用することをお勧めします。 ストレージの料金情報については、Azure Storage の料金計算ツールを参照してください。
  • サードパーティ製のソリューションと統合するための Azure Event Hubs の名前空間。
  • Azure Monitor ログにログを送信する Azure Log Analytics ワークスペース。

コストに関する考慮事項

既に Azure AD のライセンスをお持ちの場合、ストレージ アカウントとイベント ハブを設定するために Azure サブスクリプションが必要です。 Azure サブスクリプションは無料で利用できますが、アーカイブに使用するストレージ アカウントや、ストリーミングに使用するイベント ハブなどの Azure リソースの利用には料金が発生します。 データ量とそれにより発生するコストは、テナントのサイズによって大幅に変わる場合があります。

アクティビティ ログのストレージ サイズ

すべての監査ログ イベントは、約 2 KB のデータ ストレージを使用します。 サインイン イベント ログは約 4 KB のデータ ストレージです。 テナントに 100,000 人のユーザーがいる場合、1 日あたり約 150 万のイベントが発生するため、1 日あたり約 3 GB のデータ ストレージが必要になります。 書き込みは約 5 分間のバッチで発生するため、1 か月につき約 9,000 の書き込み操作が予測されます。

次の表は、1 年以上保持される米国西部の汎用 v2 ストレージ アカウントの料金の見積もりをテナントのサイズ別に示します。 アプリケーションで予測されるデータ量に基づくより正確な見積りを作成するには、Azure Storage の料金計算ツールを使用します。

ログのカテゴリ ユーザーの数 1 日あたりのイベント 1 か月あたりのデータ量 (概算) 1 か月あたりのコスト (概算) 1 年あたりのコスト (概算)
Audit 100,000 150 万  90 GB 1.93 ドル 23.12 ドル
Audit 1,000 15,000 900 MB 0.02 ドル 0.24 ドル
サインイン 1,000 34,800 4 GB 0.13 ドル 1.56 ドル
サインイン 100,000 1,500 万  1.7 TB 35.41 ドル 424.92 ドル

アクティビティ ログのためのイベント ハブのメッセージ

イベントは約 5 分間隔でバッチ処理され、その期間のすべてのイベントが含まれる単一のメッセージとして送信されます。 イベント ハブ内の 1 つのメッセージの最大サイズは 256 KB で、その期間内のすべてのメッセージの合計サイズがそれを超える場合は、複数のメッセージが送信されます。

たとえば、ユーザーが 100,000 人を超える大規模なテナントでは、通常は 1 秒で約 18 のイベントが発生します。これは、5 分間で 5,400 のイベントに相当します。 監査ログはイベントごとに約 2 KB なので、これは 10.8 MB のデータに相当します。 そのため、その 5 分の間隔では、43 のメッセージがイベント ハブに送信されます。

次の表は、ユーザーのサインイン動作などの多くの要因によってテナントごとに異なる可能性があるイベント データの量に基づいた、米国西部の基本的なイベント ハブの 1 か月のコストの見積もりを示しています。お使いのアプリケーションで予測されるデータ量の正確な見積もりを計算するには、Event Hubs の料金計算ツールを使用してください。

ログのカテゴリ ユーザーの数 1 秒あたりのイベント数 5 分間隔あたりのイベント数 間隔あたりの量 間隔あたりのメッセージ数 1 か月あたりのメッセージ数 1 か月あたりのコスト (概算)
Audit 100,000 18 5,400 10.8 MB 43 371,520 10.83 ドル
Audit 1,000 0.1 52 104 KB 1 8,640 10.80 ドル
サインイン 100,000 18000 5,400,000 10.8 GB 42188 364,504,320 23.9 ドル
サインイン 1,000 178 53,400 106.8 MB 418 3,611,520 11.06 ドル

Azure Monitor ログのコストに関する考慮事項

ログのカテゴリ ユーザーの数 1 日あたりのイベント 1 か月 (30 日) あたりのイベント 1 か月あたりの推定コスト (USD)
監査とサインイン 100,000 16,500,000 495,000,000 $1093.00
Audit 100,000 1,500,000 45,000,000 $246.66
サインイン 100,000 15,000,000 450,000,000 $847.28

Azure Monitor ログの管理に関連するコストをレビューするには、Azure Monitor ログでデータ ボリュームと保有期間を制御してコストを管理する方法に関する記事をご覧ください。

よく寄せられる質問

このセクションでは、Azure Monitor の Azure AD のログに関するよく寄せられる質問に回答し、既知の問題について説明します。

Q:どのようなログが含まれますか。

A: この機能を使用してサインイン アクティビティ ログと監査のログの両方をルーティングすることができます。ただし、現時点では B2C に関連する監査イベントは含まれません。 現在サポートされているログの種類や機能ベースのログについて調べるには、監査ログ スキーマサインイン ログ スキーマに関するページを参照してください。


Q:アクション後、対応するログがイベント ハブに表示されるまでどれくらいの時間がかかりますか。

A: ログは、アクションの実行後、2 分から 5 分後にイベント ハブに表示されます。 Event Hubs の詳細については、「Azure Event Hubs とは」を参照してください。


Q:アクション後、対応するログがストレージ アカウントに表示されるまでどれくらいの時間がかかりますか。

A: Azure ストレージ アカウントの場合、待ち時間はアクションの実行後 5 分から 15 分です。


Q:管理者が診断設定の保持期間を変更すると、どうなりますか。

A: 新しいリテンション ポリシーは、変更後に収集されたログに適用されます。 ポリシーの変更より前に収集されたログは、影響を受けません。


Q:データを格納する料金はどれくらいかかりますか。

A: ストレージの料金は、ログのサイズと選択した保持期間によって変わります。 生成されたログの量に依存する、テナントの推定コストの一覧については、アクティビティ ログのストレージ サイズに関するセクションを参照してください。


Q:データをイベント ハブにストリーミングする料金はどれくらいかかりますか。

A: ストリーミングの料金は、1 分あたりに受信するメッセージの数によって異なります。 この記事では、コストの計算方法を示し、メッセージ数に基づくコスト見積もりの一覧を示します。


Q:Azure AD アクティビティ ログを SIEM システムと統合する方法を教えてください。

A: 次の 2 つの方法で行います。


Q:現時点ではどの SIEM ツールがサポートされてますか。

A: A: 現在、Azure Monitor は Splunk、IBM QRadar、Sumo LogicArcSight、LogRhythm、および Logz.io でサポートされています。 コネクタのしくみの詳細については、「外部ツールで使用する Azure 監視データのイベント ハブへのストリーミング」を参照してください。


Q:Azure AD アクティビティ ログを Splunk インスタンスと統合する方法を教えてください。

A: 最初に Azure AD アクティビティ ログをイベント ハブにルーティングしてから、アクティビティ ログを Splunk と統合する手順に従ってください。


Q:Azure AD アクティビティ ログを Sumo Logic と統合する方法を教えてください。

A: 最初に Azure AD アクティビティ ログをイベント ハブにルーティングしてから、Azure AD アプリケーションをインストールして SumoLogic のダッシュボードで表示する手順に従ってください。


Q:外部の SIEM ツールを使用せずにイベント ハブからデータにアクセスできますか。

A: はい。 カスタム アプリケーションからログにアクセスするには、Event Hubs API を使用します。


次のステップ