Azure Active Directory 用のログ分析ビューのインストールと使用Install and use the log analytics views for Azure Active Directory

Azure Active Directory のログ分析ビューを使用して、お使いの Azure AD テナントで Azure AD アクティビティ ログを分析して検索できます。The Azure Active Directory log analytics views helps you analyze and search the Azure AD activity logs in your Azure AD tenant. Azure AD アクティビティ ログには、次のログが含まれます。Azure AD activity logs include:

前提条件Prerequisites

ログ分析ビューを使用するには、次の準備が必要です。To use the log analytics views, you need:

ログ分析ビューのインストールInstall the log analytics views

  1. Log Analytics ワークスペースに移動します。Navigate to your Log Analytics workspace. これを行うには、最初に Azure portal に移動して、 [All services](すべてのサービス) を選択します。To do this, first navigate to the Azure portal and select All services. テキスト ボックスに「Log Analytics」と入力して、"Log Analytic ワークスペース" を選択します。Type Log Analytics in the text box, and select Log Analytics workspaces. 前提条件の中で、アクティビティ ログをルーティングしたワークスペースを選択します。Select the workspace you routed the activity logs to, as part of the prerequisites.
  2. [ビュー デザイナー] を選択し、 [インポート] してから、 [ファイルの選択] を選択して、ローカル コンピューターからビューをインポートします。Select View Designer, select Import and then select Choose File to import the views from your local computer.
  3. 前提条件からダウンロードしたビューを選択し、 [保存] を選択してインポートを保存します。Select the views you downloaded from the prerequisites and select Save to save the import. [Azure AD Account Provisioning Events](Azure AD アカウントのプロビジョニング イベント) ビューと [Sign-ins Events](サインイン イベント) ビューに対しても同じ操作を実行します。Do this for the Azure AD Account Provisioning Events view and the Sign-ins Events view.

ビューの使用Use the views

  1. Log Analytics ワークスペースに移動します。Navigate to your Log Analytics workspace. これを行うには、最初に Azure portal に移動して、 [All services](すべてのサービス) を選択します。To do this, first navigate to the Azure portal and select All services. テキスト ボックスに「Log Analytics」と入力して、"Log Analytic ワークスペース" を選択します。Type Log Analytics in the text box, and select Log Analytics workspaces. 前提条件の中で、アクティビティ ログをルーティングしたワークスペースを選択します。Select the workspace you routed the activity logs to, as part of the prerequisites.

  2. ワークスペースに移動して、 [ワークスペースの概要] を選択します。Once you're in the workspace, select Workspace Summary. 次の 3 つのビューを確認する必要があります。You should see the following three views:

    • Azure AD Account Provisioning Events(Azure AD アカウントのプロビジョニング イベント) :プロビジョニングされた新しいユーザーとプロビジョニング エラーの数、更新されたユーザーと更新エラーの数、プロビジョニング解除されたユーザーと該当するエラーの数など、プロビジョニング アクティビティの監査に関連するレポートを表示します。Azure AD Account Provisioning Events: This view shows reports related to auditing provisioning activity, such as the number of new users provisioned and provisioning failures, number of users updated and update failures and the number of users de-provisioned and corresponding failures.
    • Sign-ins Events(サインイン イベント) :このビューは、経時的にサインイン数を追跡する概要ビューだけでなく、アプリケーション、ユーザー、デバイスごとのサインインなど、サインイン アクティビティの監視に関連する最も重要なレポートを表示します。Sign-ins Events: This view shows the most relevant reports related to monitoring sign-in activity, such as sign-ins by application, user, device, as well as a summary view tracking the number of sign-ins over time.
  3. これらのいずれかのビューを選択して、個々のレポートに進みます。Select either of these views to jump in to the individual reports. また、任意のレポート パラメーターにアラートを設定することも可能です。You can also set alerts on any of the report parameters. たとえば、サインイン エラーが発生するたびに、アラートを設定するとします。For example, let's set an alert for every time there's a sign-in error. これを行うには、まず、 [Sign-ins Events](サインイン イベント) ビューを選択し、 [Sign-in errors over time](経時的なサインイン エラー) レポートを選択し、 [Analytics] を選択して、レポートの背景となる実際のクエリを示した詳細ページを開きます。To do this, first select the Sign-ins Events view, select Sign-in errors over time report and then select Analytics to open the details page, with the actual query behind the report.

    詳細

  4. [アラートの設定] を選択して、 [アラートの条件] セクションで [Whenever the Custom log search](次の場合に、カスタム ログ検索を行う: ) に <ロジックが定義されていません> を選択します。Select Set Alert, and then select Whenever the Custom log search is <logic undefined> under the Alert criteria section. サインイン エラーが発生するたびにアラートを生成したいので、既定のアラート ロジックの [しきい値]1 を設定してから、 [完了] を選択します。Since we want to alert whenever there's a sign-in error, set the Threshold of the default alert logic to 1 and then select Done.

    シグナル ロジックの構成

  5. アラートの名前と説明を入力して、重大度を [警告] に設定します。Enter a name and description for the alert and set the severity to Warning.

    ルールを作成する

  6. アラートに対するアクション グループを選択します。Select the action group to alert. これは一般に、、電子メールまたはテキスト メッセージ経由で通知したいチームか、Webhook、Runbook、関数、ロジック アプリ、または外部の ITSM ソリューションを使用して自動化されたタスクになります。In general, this can be either a team you want to notify via email or text message, or it can be an automated task using webhooks, runbooks, functions, logic apps or external ITSM solutions. Azure portal でアクション グループを作成および管理する方法について確認してください。Learn how to create and manage action groups in the Azure portal.

  7. [アラート ルールの作成] を選択して、アラートを作成します。Select Create alert rule to create the alert. これで、サインイン エラーが発生するたびに、アラート通知が行われるようになりました。Now you will be alerted every time there's a sign-in error.

次の手順Next steps