チュートリアル:Azure Active Directory ログを Azure イベント ハブにストリーム配信する

このチュートリアルでは、Azure Active Directory (Azure AD) のログを Azure イベント ハブにストリーム配信するよう Azure Monitor の診断設定をセットアップする方法について説明します。 このメカニズムを使用して、Splunk や QRadar といったサードパーティのセキュリティ情報イベント管理 (SIEM) ツールにログを統合します。

前提条件

この機能を使用するには、次が必要です。

  • Azure サブスクリプション。 Azure サブスクリプションを持っていない場合は、無料試用版にサインアップできます。
  • Azure AD テナント。
  • Azure AD テナントの "グローバル管理者" または "セキュリティ管理者" であるユーザー。
  • Azure サブスクリプション内の Event Hubs 名前空間とイベント ハブ。 イベント ハブの作成方法に関するページを参照してください。

イベント ハブにログをストリーム配信する

  1. Azure portal にサインインします。

  2. [Azure Active Directory][監査ログ] の順に選択します。

  3. [データ設定のエクスポート] を選択します。

  4. [診断設定] ウィンドウで、次のいずれかの操作を実行します。

    • 既存の設定を変更するには、 [設定の編集] を選択します。
    • 新しい設定を追加するには、 [診断の設定の追加] を選択します。
      最大で 3 つの設定を作成できます。
  5. [Stream to an event hub]\(イベント ハブにストリーム\) チェックボックスをオンにし、 [Event Hub/Configure]\(イベント ハブ/構成\) を選択します。

    Export settings

    1. ログのルーティング先となる Azure サブスクリプションと Event Hubs 名前空間を選択します。
      サブスクリプションと Event Hubs 名前空間は、両方ともログのストリーム元である Azure AD テナントと関連付けられている必要があります。 Event Hubs 名前空間内にログの送信先となるイベント ハブを指定することもできます。 イベント ハブを指定しない場合、イベント ハブは名前空間内に既定の名前 insights-logs-audit で作成されます。

    2. 次の項目を任意に組み合わせて選択します。

      • 監査ログをイベント ハブに送信するには、 [AuditLogs] チェック ボックスをオンにします。
      • 対話型ユーザー サインイン ログをイベント ハブに送信するには、 [SignInLogs] チェック ボックスをオンにします。
      • 非対話型ユーザー サインイン ログをイベント ハブに送信するには、 [NonInteractiveUserSignInLogs] チェック ボックスをオンにします。
      • サービス プリンシパルのサインイン ログをイベント ハブに送信するには、 [ServicePrincipalSignInLogs] チェック ボックスをオンにします。
      • マネージド ID のサインイン ログをイベント ハブに送信するには、 [ManagedIdentitySignInLogs] チェック ボックスをオンにします。
      • プロビジョニング ログをイベント ハブに送信するには、 [ProvisioningLogs] チェック ボックスをオンにします。
      • AD FS Connect Health エージェントが Azure AD に送信したサインインを送信するには、 [ADFSSignInLogs] チェック ボックスをオンにします。
      • 危険なユーザー情報を送信するには、 [RiskyUsers] チェック ボックスをオンにします。
      • ユーザー リスク イベント情報を送信するには、 [UserRiskEvents] チェック ボックスをオンにします。

      注意

      一部のサインイン カテゴリには、テナントの構成に応じて大量のログ データが含まれています。 一般的に、非対話型のユーザー サインインとサービス プリンシパルのサインインは、対話型のユーザー サインインの 5 倍から 10 倍の大きさになることがあります。

    3. [保存] を選択して設定を保存します。

  6. 約 15 分後にイベントがイベント ハブに表示されることを確認します。 これを行うには、ポータルからイベント ハブに移動し、受信メッセージの数がゼロより大きい値になっていることを確認します。

    Audit logs

イベント ハブからデータにアクセスする

イベント ハブにデータが表示されたら、次の 2 つの方法でデータにアクセスして読み取ることができます。

次のステップ