Azure Monitor の Azure AD 監査ログ スキーマを解釈する (プレビュー)Interpret the Azure AD audit logs schema in Azure Monitor (preview)

この記事では、Azure Monitor での Azure Active Directory (Azure AD) 監査ログ スキーマについて説明します。This article describes the Azure Active Directory (Azure AD) audit log schema in Azure Monitor. 次の 2 つの例のように、個々のログ エントリはテキストとして保存され、形式は JSON BLOB となります。Each individual log entry is stored as text and formatted as a JSON blob, as shown in the following two examples:

{ 
    "records": [ 
    { 
        "time": "2018-03-17T00:14:31.2585575Z", 
        "operationName": "Change password (self-service)",
        "operationVersion": "1.0",
        "category": "Audit", 
        "tenantId": "bf85dc9d-cb43-44a4-80c4-469e8c58249e", 
        "resultType": "Success", 
        "resultSignature": "-1", 
        "resultDescription": "None", 
        "durationMs": "-1", 
        "correlationId": "60d5e89a-b890-413f-9e25-a047734afe9f", 
        "identity": "sreens@wingtiptoysonline.com", 
        "Level": "Informational", 
        "location": "WUS", 
        "properties": { 
            "identityType": "UPN", 
            "operationType": "Update", 
            "additionalDetails": "None", 
            "additionalTargets": "", 
            "targetUpdatedProperties": "", 
            "targetResourceType": "UPN__TenantContextID__PUID__ObjectID__ObjectClass", 
            "targetResourceName": "sreens@wingtiptoysonline.com__bf85dc9d-cb43-44a4-80c4-469e8c58249e__1003BFFD9FEB17DB__7a408bdd-7d97-4574-8511-dd747b56465d__User", 
            "auditEventCategory": "UserManagement" 
        } 
    } 
    ] 
} 

{ 
    "records": [ 
    { 
        "time": "2018-03-18T19:47:43.0368859Z", 
        "operationName": "Update service principal.", 
        "operationVersion": "1.0", 
        "category": "Audit", 
        "tenantId": "bf85dc9d-cb43-44a4-80c4-469e8c58249e", 
        "resultType": "Success", 
        "resultSignature": "-1", 
        "durationMs": "-1", 
        "callerIpAddress": "<null>", 
        "correlationId": "14916c7a-5a7d-44e8-9b06-74b49efb08ee", 
        "identity": "NA", 
        "Level": "Informational", 
        "properties": { 
            "identityType": "NA", 
            "operationType": "Update", 
            "additionalDetails": {}, 
            "additionalTargets": "", 
            "targetUpdatedProperties": [ 
            { 
                "Name": "Included Updated Properties", 
                "OldValue": null, 
                "NewValue": "" 
            }, 
            { 
                "Name": "TargetId.ServicePrincipalNames", 
                "OldValue": null, 
                "NewValue": "http://adapplicationregistry.onmicrosoft.com/salesforce.com/primary;cd3ed3de-93ee-400b-8b19-b61ef44a0f29" 
            } 
            ], 
        "targetResourceType": "Other__ObjectID__ObjectClass__Name__AppId__SPN", 
        "targetResourceName": "ServicePrincipal_ea70a262-4da3-440a-b396-9734ddfd9df2__ea70a262-4da3-440a-b396-9734ddfd9df2__ServicePrincipal__Salesforce__cd3ed3de-93ee-400b-8b19-b61ef44a0f29__http://adapplicationregistry.onmicrosoft.com/salesforce.com/primary;cd3ed3de-93ee-400b-8b19-b61ef44a0f29", 
        "auditEventCategory": "ApplicationManagement" 
      } 
    } 
    ] 
} 

{
    "records": [
    {
        "time": "2018-12-10T00:03:46.6161822Z",
        "resourceId": "/tenants/7918d4b5-0442-4a97-be2d-36f9f9962ece/providers/Microsoft.aadiam",
        "operationName": "Update policy",
        "operationVersion": "1.0",
        "category": "AuditLogs",
        "tenantId": "7918d4b5-0442-4a97-be2d-36f9f9962ece",
        "resultSignature": "None",
        "durationMs": 0,
        "callerIpAddress": "<null>",
        "correlationId": "192298c1-0994-4dd6-b05a-a6c5984c31cb",
        "identity": "MS-PIM",
        "level": "Informational",
        "properties": {
            "id": "Directory_VNXV4_28148892",
            "category": "Policy",
            "correlationId": "192298c1-0994-4dd6-b05a-a6c5984c31cb",
            "result": 0,
            "resultReason": "",
            "activityDisplayName": "Update policy",
            "activityDateTime": "2018-12-10T00:03:46.6161822+00:00",
            "loggedByService": "Core Directory",
            "operationType": "Update",
            "initiatedBy": {},
            "targetResources": [
            {
                "id": "5e7a8ae7-165d-44a4-a4f4-6141f8c8ef40",
                "displayName": "Default Policy",
                "type": "Policy",
                "modifiedProperties": []
            }
            ],
            "additionalDetails": []
        }
    }
    ]
}

フィールドとプロパティの説明Field and property descriptions

フィールド名Field name 説明Description
timetime 日付と時刻 (UTC)。The date and time (UTC).
operationNameoperationName 操作の名前。The name of the operation.
operationVersionoperationVersion クライアントによって要求された REST API のバージョン。The REST API version that's requested by the client.
categorycategory 現在、サポートされている値は Audit のみです。Currently, Audit is the only supported value.
tenantIdtenantId ログに関連付けられたテナント GUID。The tenant GUID that's associated with the logs.
resultTyperesultType 操作の結果。The result of the operation. 結果は Success または Failure になります。The result can be Success or Failure.
resultSignatureresultSignature このフィールドはマップされていないため、無視しても問題ありません。This field is unmapped, and you can safely ignore it.
resultDescriptionresultDescription 結果に関する追加の説明です (使用可能な場合)。An additional description of the result, where available.
durationMsdurationMs このフィールドはマップされていないため、無視しても問題ありません。This field is unmapped, and you can safely ignore it.
callerIpAddresscallerIpAddress 要求を行ったクライアントの IP アドレス。The IP address of the client that made the request.
correlationIdcorrelationId クライアントから渡される省略可能な GUID。An optional GUID that's passed by the client. クライアント側の操作をサーバー側の操作と関連付けるために役立ちます。また、複数のサービスにまたがるログをトレースする場合に便利です。It can help correlate client-side operations with server-side operations and it's useful when you're tracking logs that span services.
identityidentity 要求を行ったときに提示されたトークンからの ID。The identity from the token that was presented when you made the request. この ID は、ユーザー アカウント、システム アカウント、またはサービス プリンシパルになります。The identity can be a user account, system account, or service principal.
levellevel メッセージの種類。The message type. 監査ログの場合、レベルは常に Informational です。For audit logs, the level is always Informational.
locationlocation データセンターの場所。The location of the datacenter.
propertiesproperties サポートされているプロパティのうち、監査ログに関連するプロパティを一覧表示します。Lists the supported properties that are related to an audit log. 詳細については、次の表を参照してください。For more information, see the next table.

プロパティ名Property name 説明Description
AuditEventCategoryAuditEventCategory 監査イベントの種類。The type of audit event. User ManagementApplication Management などを指定できます。It can be User Management, Application Management, or another type.
Identity TypeIdentity Type ApplicationUser になります。The type can be Application or User.
操作の種類Operation Type AddUpdateDeleteThe type can be Add, Update, Delete. または Other になります。or Other.
Target Resource TypeTarget Resource Type 操作が実行されたターゲット リソースの種類を指定します。Specifies the target resource type that the operation was performed on. ApplicationUserRolePolicy を指定できます。The type can be Application, User, Role, Policy
Target Resource NameTarget Resource Name ターゲット リソースの名前。The name of the target resource. アプリケーション名、ロール名、ユーザー プリンシパル名、またはサービス プリンシパル名になります。It can be an application name, a role name, a user principal name, or a service principal name.
additionalTargetsadditionalTargets 特定の操作の追加のプロパティをすべて一覧表示します。Lists any additional properties for specific operations. たとえば、更新操作の場合、以前の値と新しい値が targetUpdatedProperties 以下に一覧表示されます。For example, for an update operation, the old values and the new values are listed under targetUpdatedProperties.

次のステップNext steps