Azure アクティビティ ログAzure Activity log

アクティビティ ログは、サブスクリプション レベルのイベントの分析情報を提供する Azure のプラットフォーム ログです。The Activity log is a platform log in Azure that provides insight into subscription-level events. これには、リソースが変更されたときや仮想マシンが起動されたときなどの情報が含まれます。This includes such information as when a resource is modified or when a virtual machine is started. Azure portal でアクティビティ ログを表示したり、PowerShell と CLI を使用してエントリを取得したりできます。You can view the Activity log in the Azure portal or retrieve entries with PowerShell and CLI. その他の機能を使用するには、診断設定を作成して、Azure Monitor ログ、Azure Event Hubs (Azure の外部に転送するため)、または Azure Storage (アーカイブのため) にアクティビティログを送信する必要があります。For additional functionality, you should create a diagnostic setting to send the Activity log to Azure Monitor Logs, to Azure Event Hubs to forward outside of Azure, or to Azure Storage for archiving. この記事では、アクティビティ ログの表示と、別の宛先への送信について詳しく説明します。This article provides details on viewing the Activity log and sending it to different destinations.

診断設定の作成の詳細については、「プラットフォーム ログとメトリックを異なる宛先に送信するための診断設定を作成する」を参照してください。See Create diagnostic settings to send platform logs and metrics to different destinations for details on creating a diagnostic setting.

注意

アクティビティ ログのエントリはシステムによって生成されるため、変更または削除することはできません。Entries in the Activity Log are system generated and cannot be changed or deleted.

アクティビティ ログを表示するView the Activity log

Azure portal のほとんどのメニューから、アクティビティ ログにアクセスできます。You can access the Activity log from most menus in the Azure portal. 開くメニューによって、最初のフィルターが決まります。The menu that you open it from determines its initial filter. [モニター] メニューから開くと、そのサブスクリプションに対するフィルターだけになります。If you open it from the Monitor menu, then the only filter will be on the subscription. リソースのメニューから開くと、フィルターはそのリソースに対して設定されます。If you open it from a resource's menu, then the filter will be set to that resource. ただし、いつでもフィルターを変更して、他のすべてのエントリを表示できます。You can always change the filter though to view all other entries. フィルターにプロパティを追加するには、 [フィルターの追加] をクリックします。Click Add Filter to add additional properties to the filter.

アクティビティ ログを表示する

アクティビティ ログのカテゴリについては、「Azure アクティビティ ログのイベント スキーマ」を参照してください。For a description of Activity log categories see Azure Activity Log event schema.

変更履歴を表示するView change history

イベントによっては、変更履歴を表示することができます。そこには、そのイベントの間に発生した変更が表示されます。For some events, you can view the Change history, which shows what changes happened during that event time. アクティビティ ログから、詳細を確認したいイベントを選択します。Select an event from the Activity Log you want to look deeper into. [変更履歴 (プレビュー)] タブを選択し、そのイベントに関連する変更を表示します。Select the Change history (Preview) tab to view any associated changes with that event.

イベントの変更履歴の一覧

イベントに関連する変更がある場合は、変更の一覧が表示され、選択できます。If there are any associated changes with the event, you'll see a list of changes that you can select. これにより、 [変更履歴 (プレビュー)] ページが開きます。This opens up the Change history (Preview) page. このページには、リソースに対する変更が表示されます。On this page you see the changes to the resource. 次の例では、VM のサイズが変更されたことだけでなく、変更前と変更後の VM のサイズを確認できます。In the following example, you can see not only that the VM changed sizes, but what the previous VM size was before the change and what it was changed to. 変更履歴の詳細については、「リソースの変更の取得」を参照してください。To learn more about change history, see Get resource changes.

相違を示す変更履歴ページ

アクティビティ ログ イベントを取得する他の方法Other methods to retrieve Activity log events

次の方法を使用して、アクティビティ ログ イベントにアクセスすることもできます。You can also access Activity log events using the following methods.

Log Analytics ワークスペースに送信するSend to Log Analytics workspace

次のような Azure Monitor ログの機能を有効にするには、アクティビティ ログを Log Analytics ワークスペースに送信します。Send the Activity log to a Log Analytics workspace to enable the features of Azure Monitor Logs which includes the following:

  • アクティビティ ログ データを、Azure Monitor によって収集されたその他の監視データと関連付けます。Correlate Activity log data with other monitoring data collected by Azure Monitor.
  • 複数の Azure サブスクリプションおよびテナントのログ エントリを 1 つの場所に統合して、まとめて分析できるようにします。Consolidate log entries from multiple Azure subscriptions and tenants into one location for analysis together.
  • ログ クエリを使用して複雑な分析を実行し、アクティビティ ログのエントリから詳細な分析情報を得ます。Use log queries to perform complex analysis and gain deep insights on Activity Log entries.
  • アクティビティ エントリでログ アラートを使用すると、より複雑なアラート ロジックを使用できます。Use log alerts with Activity entries allowing for more complex alerting logic.
  • アクティビティ ログのエントリを 90 日を超えて保存します。Store Activity log entries for longer than 90 days.
  • Log Analytics ワークスペースに格納されているアクティビティ ログ データのデータ インジェストの料金は発生しません。No data ingestion charges for Activity log data stored in a Log Analytics workspace.
  • Log Analytics ワークスペースに格納されているアクティビティ ログ データのデータ保持の料金は、90 日後まで発生しません。No data retention charges till 90 days for Activity log data stored in a Log Analytics workspace.

アクティビティ ログを Log Analytics ワークスペースに送信するには、診断設定を作成しますCreate a diagnostic setting to send the Activity log to a Log Analytics workspace. 任意の 1 つのサブスクリプションから最大 5 つのワークスペースに、アクティビティ ログを送信できます。You can send the Activity log from any single subscription to up to five workspaces. テナント間でログを収集するには Azure Lighthouse が必要です。Collecting logs across tenants requires Azure Lighthouse.

Log Analytics ワークスペースでは、アクティビティ ログのデータは AzureActivity という名前のテーブルに格納されます。このテーブルは、Log Analyticsログ クエリで取得できます。Activity log data in a Log Analytics workspace is stored in a table called AzureActivity that you can retrieve with a log query in Log Analytics. このテーブルの構造はログ エントリのカテゴリによって異なります。The structure of this table varies depending on the category of the log entry. テーブルのプロパティの説明については、Azure Monitor データ リファレンスのページを参照してください。For a description of the table properties, see the Azure Monitor data reference.

たとえば、各カテゴリのアクティビティ ログ レコードの数を表示するには、次のクエリを使用します。For example, to view a count of Activity log records for each category, use the following query.

AzureActivity
| summarize count() by CategoryValue

管理カテゴリのすべてのレコードを取得するには、次のクエリを使用します。To retrieve all records in the administrative category, use the following query.

AzureActivity
| where CategoryValue == "Administrative"

Azure Event Hubs に送信するSend to Azure Event Hubs

たとえば、サードパーティの SIEM や他のログ分析ソリューションなど、Azure の外部にエントリを送信するには、アクティビティ ログを Azure Event Hubs に送信します。Send the Activity Log to Azure Event Hubs to send entries outside of Azure, for example to a third-party SIEM or other log analytics solutions. Event Hubs からのアクティビティ ログ イベントは、レコードが含まれる records 要素が各ペイロードにある JSON 形式で使用されます。Activity log events from event hubs are consumed in JSON format with a records element containing the records in each payload. スキーマはカテゴリによって異なります。「ストレージ アカウントとイベント ハブからのスキーマ」を参照してください。The schema depends on the category and is described in Schema from storage account and event hubs.

次に示すのは、アクティビティ ログに対する Event Hubs からの出力データの例です。Following is sample output data from Event Hubs for an Activity log:

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "c776f9f4-36e5-4e0e-809b-c9b3c3fb62a8",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "00000000-0000-0000-0000-000000000000",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "c44b4083-3bq0-49c1-b47d-974e53cbdf3c",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Storage に送信するSend to Azure storage

監査、静的分析、またはバックアップのためにログ データを 90 日より長く保持する場合は、アクティビティ ログを Azure ストレージ アカウントに送信します。Send the Activity Log to an Azure Storage account if you want to retain your log data longer than 90 days for audit, static analysis, or backup. 90 日以内でイベントを保持する必要があるだけの場合は、ストレージ アカウントにアーカイブを設定する必要はありません。アクティビティ ログのイベントは Azure プラットフォームに 90 日間保持されるためです。If you only need to retain your events for 90 days or less you do not need to set up archival to a storage account, since Activity Log events are retained in the Azure platform for 90 days.

アクティビティ ログを Azure に送信すると、イベントが発生するとすぐにストレージ コンテナーがストレージ アカウントに作成されます。When you send the Activity log to Azure, a storage container is created in the storage account as soon as an event occurs. コンテナー内の BLOB には、次の名前付け規則が使用されます。The blobs in the container use the following naming convention:

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

たとえば、特定の BLOB には次のような名前が付けられることがあります。For example, a particular blob might have a name similar to the following:

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/y=2020/m=06/d=08/h=18/m=00/PT1H.json

各 PT1H.json BLOB には、BLOB の URL で指定された時間内に発生したイベントの JSON BLOB が含まれます (例: h = 12)。Each PT1H.json blob contains a JSON blob of events that occurred within the hour specified in the blob URL (for example, h=12). 現在の時間内にイベントが発生すると、PT1H.json ファイルにイベントが追加されます。During the present hour, events are appended to the PT1H.json file as they occur. リソース ログ イベントは 1 時間ごとに個々の BLOB に分類されるため、分の値 (m = 00) は常に 00 です。The minute value (m=00) is always 00, since resource log events are broken into individual blobs per hour.

各イベントは、次の形式の PT1H.json ファイルに格納されます。一般的な最上位スキーマが使用されますが、それ以外については「アクティビティ ログのスキーマ」で説明されているようにカテゴリごとに固有です。Each event is stored in the PT1H.json file with the following format that uses a common top level schema but is otherwise unique for each category as described in Activity log schema.

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "0f0cb6b4-804b-4129-b893-70aeeb63997e", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

従来の収集方法Legacy collection methods

このセクションでは、診断設定の前に使用されていた、アクティビティ ログを収集するための従来の方法について説明します。This section describes legacy methods for collecting the Activity log that were used prior to diagnostic settings. これらの方法を使用している場合は、機能およびリソース ログとの整合性がより優れている、診断設定への移行を検討する必要があります。If you're using these methods, you should consider transitioning to diagnostic settings which provide better functionality and consistency with resource logs.

ログ プロファイルLog profiles

ログ プロファイルは、Azure Storage またはイベント ハブにアクティビティ ログを送信するためのレガシの方法です。Log profiles are the legacy method for sending the Activity log to Azure storage or event hubs. ログ プロファイルを引き続き使用する場合、または診断設定への移行の準備としてそれを無効にする場合は、次の手順に従います。Use the following procedure to continue working with a log profile or to disable it in preparation for migrating to a diagnostic setting.

  1. Azure portal の [Azure Monitor] メニューで、 [アクティビティ ログ] を選択します。From the Azure Monitor menu in the Azure portal, select Activity log.

  2. [診断設定] をクリックします。Click Diagnostic settings.

    診断設定

  3. 従来のエクスペリエンスについては、紫色のバナーをクリックします。Click the purple banner for the legacy experience.

    従来のエクスペリエンス

PowerShell を使用してログ プロファイルを構成するConfigure log profile using PowerShell

ログ プロファイルが既に存在する場合は、最初に既存のログ プロファイルを削除してから、新しいものを作成する必要があります。If a log profile already exists, you first need to remove the existing log profile and then create a new one.

  1. Get-AzLogProfile を使用して、ログ プロファイルが存在するかどうかを確認します。Use Get-AzLogProfile to identify if a log profile exists. ログ プロファイルが存在する場合は、name プロパティを探します。If a log profile does exist, note the name property.

  2. Remove-AzLogProfile を使用し、name プロパティの値を使用してログ プロファイルを削除します。Use Remove-AzLogProfile to remove the log profile using the value from the name property.

    # For example, if the log profile name is 'default'
    Remove-AzLogProfile -Name "default"
    
  3. Add-AzLogProfile を使用して、新しいログ プロファイルを作成します。Use Add-AzLogProfile to create a new log profile:

    Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
    
    プロパティProperty 必須Required 説明Description
    名前Name はいYes ログ プロファイルの名前。Name of your log profile.
    StorageAccountIdStorageAccountId いいえNo アクティビティ ログの保存先となるストレージ アカウントのリソース ID。Resource ID of the Storage Account where the Activity Log should be saved.
    serviceBusRuleIdserviceBusRuleId いいえNo Event Hubs を作成する Service Bus 名前空間の Service Bus 規則 ID。Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. 文字列の形式は {service bus resource ID}/authorizationrules/{key name} になります。This is a string with the format: {service bus resource ID}/authorizationrules/{key name}.
    場所Location はいYes アクティビティ ログ イベントを収集するリージョンのコンマ区切りリスト。Comma-separated list of regions for which you would like to collect Activity Log events.
    RetentionInDaysRetentionInDays はいYes ストレージ アカウントにイベントを保持する日数 (1 から 365 の範囲)。Number of days for which events should be retained in the storage account, between 1 and 365. 値が 0 の場合、ログは無期限に保存されます。A value of zero stores the logs indefinitely.
    カテゴリCategory いいえNo 収集するイベント カテゴリのコンマ区切りリスト。Comma-separated list of event categories that should be collected. 指定できる値は、WriteDeleteAction です。Possible values are Write, Delete, and Action.

サンプル スクリプトExample script

ストレージ アカウントとイベント ハブの両方にアクティビティ ログを書き込むログ プロファイルを作成する PowerShell スクリプトのサンプルを次に示します。Following is a sample PowerShell script to create a log profile that writes the Activity Log to both a storage account and event hub.

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your event hub belongs to>"
$eventHubNamespace = "<event hub namespace>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the storage account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId  $storageAccountId -ServiceBusRuleId $serviceBusRuleId

Azure CLI を使用してログ プロファイルを構成するConfigure log profile using Azure CLI

ログ プロファイルが既に存在する場合は、最初に既存のログ プロファイルを削除してから、新しいログ プロファイルを作成する必要があります。If a log profile already exists, you first need to remove the existing log profile and then create a new log profile.

  1. az monitor log-profiles list を使用して、ログ プロファイルが存在するかどうかを確認します。Use az monitor log-profiles list to identify if a log profile exists.

  2. az monitor log-profiles delete --name "<log profile name> を使用し、name プロパティの値を使用してログ プロファイルを削除します。Use az monitor log-profiles delete --name "<log profile name> to remove the log profile using the value from the name property.

  3. az monitor log-profiles create を使用して、新しいログ プロファイルを作成します。Use az monitor log-profiles create to create a new log profile:

    az monitor log-profiles create --name "default" --location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action"  --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<EVENT HUB NAME SPACE>/authorizationrules/RootManageSharedAccessKey"
    
    プロパティProperty 必須Required 説明Description
    namename はいYes ログ プロファイルの名前。Name of your log profile.
    storage-account-idstorage-account-id はいYes アクティビティ ログの保存先となるストレージ アカウントのリソース ID。Resource ID of the Storage Account to which Activity Logs should be saved.
    locationslocations はいYes アクティビティ ログ イベントを収集するリージョンのスペース区切りリスト。Space-separated list of regions for which you would like to collect Activity Log events. az account list-locations --query [].name を使って、サブスクリプションのすべてのリージョンの一覧を見ることができます。You can view a list of all regions for your subscription using az account list-locations --query [].name.
    daysdays はいYes イベントを保持する日数。1 -365 の範囲。Number of days for which events should be retained, between 1 and 365. 値が 0 の場合、ログは無期限に (いつまでも) 保存されます。A value of zero will store the logs indefinitely (forever). 0 の場合は、enabled パラメーターを false に設定する必要があります。If zero, then the enabled parameter should be set to false.
    enabledenabled はいYes True または False。True or False. アイテム保持ポリシーを有効または無効にするために使います。Used to enable or disable the retention policy. True の場合は、days パラメーターを 0 より大きい値にする必要があります。If True, then the days parameter must be a value greater than 0.
    categoriescategories はいYes 収集するイベント カテゴリのスペース区切りリスト。Space-separated list of event categories that should be collected. 指定できる値は、Write、Delete、Action です。Possible values are Write, Delete, and Action.

Log Analytics ワークスペースLog Analytics workspace

アクティビティ ログを Log Analytics ワークスペースに送信する従来の方法は、ワークスペースの構成でログを接続することです。The legacy method for sending the Activity log into a Log Analytics workspace is connecting the log in the workspace configuration.

  1. Azure portal の [Log Analytics ワークスペース] メニューから、アクティビティ ログを収集するためのワークスペースを選択します。From the Log Analytics workspaces menu in the Azure portal, select the workspace to collect the Activity Log.

  2. ワークスペースのメニューの [ワークスペースのデータ ソース] セクションで、 [Azure アクティビティ ログ] を選択します。In the Workspace Data Sources section of the workspace's menu, select Azure Activity log.

  3. 接続するサブスクリプションをクリックします。Click the subscription you want to connect.

    Azure アクティビティ ログが選択された Log Analytics ワークスペースを示すスクリーンショット。

  4. [接続] をクリックして、選択したワークスペースにサブスクリプションのアクティビティ ログを接続します。Click Connect to connect the Activity log in the subscription to the selected workspace. サブスクリプションが既に別のワークスペースに接続されている場合、最初に [切断] をクリックして切断します。If the subscription is already connected to another workspace, click Disconnect first to disconnect it.

    ワークスペースを接続する

この設定を無効にするには、同じ手順を実行し、 [切断] をクリックして、ワークスペースからサブスクリプションを削除します。To disable the setting, perform the same procedure and click Disconnect to remove the subscription from the workspace.

データ構造の変更Data structure changes

診断設定では、従来のアクティビティ ログ送信方法と同じデータが送信されますが、AzureActivity テーブルの構造が若干変更されています。Diagnostic settings send the same data as the legacy method used to send the Activity log with some changes to the structure of the AzureActivity table.

次の表の列は、更新されたスキーマで非推奨とされています。The columns in the following table have been deprecated in the updated schema. これらは、AzureActivity にまだ存在しますが、データを持ちません。They still exist in AzureActivity but they will have no data. これらの列の代わりとなるものは新しいものではありませんが、非推奨の列と同じデータが格納されています。The replacement for these columns are not new, but they contain the same data as the deprecated column. それらは形式が異なるため、それらを使用するログ クエリの変更が必要になる場合があります。They are in a different format, so you may need to modify log queries that use them.

非推奨の列Deprecated column 置換列Replacement column
ActivityStatusActivityStatus ActivityStatusValueActivityStatusValue
ActivitySubstatusActivitySubstatus ActivitySubstatusValueActivitySubstatusValue
カテゴリCategory CategoryValueCategoryValue
OperationNameOperationName OperationNameValueOperationNameValue
ResourceProviderResourceProvider ResourceProviderValueResourceProviderValue

重要

場合によっては、これらの列の値がすべて大文字になることがあります。In some cases, the values in these columns may be in all uppercase. これらの列を含むクエリがある場合は、=~ 演算子を使用して、大文字と小文字を区別しない比較を実行する必要があります。If you have a query that includes these columns, you should use the =~ operator to do a case insensitive comparison.

更新されたスキーマの AzureActivity には、次の列が追加されています。The following column have been added to AzureActivity in the updated schema:

  • Authorization_dAuthorization_d
  • Claims_dClaims_d
  • Properties_dProperties_d

Activity Log Analytics 監視ソリューションActivity Log Analytics monitoring solution

Azure Log Analytics 監視ソリューションは、間もなく非推奨となり、Log Analytics ワークスペースで更新されたスキーマを使用するブックに置き換えられます。The Azure Log Analytics monitoring solution will be deprecated soon and replaced by a workbook using the updated schema in the Log Analytics workspace. このソリューションは、既に有効にしている場合に引き続き使用できますが、レガシの設定を使用してアクティビティ ログを収集している場合にのみ使用できます。You can still use the solution if you already have it enabled, but it can only be used if you're collecting the Activity log using legacy settings.

ソリューションの使用Use the solution

監視ソリューションには Azure portal の [Monitor](監視) メニューからアクセスします。Monitoring solutions are accessed from the Monitor menu in the Azure portal. [Insights](インサイト) セクションで [More](詳細) を選択して、ソリューション タイルのある [概要] ページを開きます。Select More in the Insights section to open the Overview page with the solution tiles. [Azure アクティビティ ログ] タイルには、ワークスペース内の AzureActivity レコードの数が表示されます。The Azure Activity Logs tile displays a count of the number of AzureActivity records in your workspace.

Azure アクティビティ ログのタイル

[Azure アクティビティ ログ] タイルをクリックして、 [Azure アクティビティ ログ] ビューを開きます。Click the Azure Activity Logs tile to open the Azure Activity Logs view. ビューには、次の表の視覚化パーツが含まれています。The view includes the visualization parts in the following table. それぞれのパーツには、指定された時間範囲について、そのパーツの基準に該当する項目が 10 個まで表示されます。Each part lists up to 10 items matching that parts's criteria for the specified time range. パーツの下部にある [すべて表示] をクリックすると、すべての一致するレコードを返すログ クエリを実行できます。You can run a log query that returns all matching records by clicking See all at the bottom of the part.

Azure のアクティビティ ログのダッシュボード

新しいサブスクリプションでソリューションを有効にするEnable the solution for new subscriptions

間もなく、Azure portal を使用して、アクティビティ ログ分析ソリューションをサブスクリプションに追加できなくなります。You will soon no longer be able to add the Activity Logs Analytics solution to your subscription using the Azure portal. Resource Manager テンプレートを使用して、次の手順で追加できます。You can add it using the following procedure with a Resource Manager template.

  1. 次の json を ActivityLogTemplate.json というファイルにコピーします。Copy the following json into a file called ActivityLogTemplate.json.

    {
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "workspaceName": {
            "type": "String",
            "defaultValue": "my-workspace",
            "metadata": {
              "description": "Specifies the name of the workspace."
            }
        },
        "location": {
            "type": "String",
            "allowedValues": [
              "east us",
              "west us",
              "australia central",
              "west europe"
            ],
            "defaultValue": "australia central",
            "metadata": {
              "description": "Specifies the location in which to create the workspace."
            }
        }
      },
        "resources": [
        {
            "type": "Microsoft.OperationalInsights/workspaces",
            "name": "[parameters('workspaceName')]",
            "apiVersion": "2015-11-01-preview",
            "location": "[parameters('location')]",
            "properties": {
                "features": {
                    "searchVersion": 2
                }
            }
        },
        {
            "type": "Microsoft.OperationsManagement/solutions",
            "apiVersion": "2015-11-01-preview",
            "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
            "location": "[parameters('location')]",
            "dependsOn": [
                "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]"
            ],
            "plan": {
                "name": "[concat('AzureActivity(', parameters('workspaceName'),')')]",
                "promotionCode": "",
                "product": "OMSGallery/AzureActivity",
                "publisher": "Microsoft"
            },
            "properties": {
                "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName'))]",
                "containedResources": [
                    "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaceName')), '/views/AzureActivity(',parameters('workspaceName'))]"
                ]
            }
        },
        {
          "type": "Microsoft.OperationalInsights/workspaces/datasources",
          "kind": "AzureActivityLog",
          "name": "[concat(parameters('workspaceName'), '/', subscription().subscriptionId)]",
          "apiVersion": "2015-11-01-preview",
          "location": "[parameters('location')]",
          "dependsOn": [
              "[parameters('WorkspaceName')]"
          ],
          "properties": {
              "linkedResourceId": "[concat(subscription().Id, '/providers/microsoft.insights/eventTypes/management')]"
          }
        }
      ]
    }    
    
  2. 次の PowerShell コマンドを使用して、テンプレートをデプロイします。Deploy the template using the following PowerShell commands:

    Connect-AzAccount
    Select-AzSubscription <SubscriptionName>
    New-AzResourceGroupDeployment -Name activitysolution -ResourceGroupName <ResourceGroup> -TemplateFile <Path to template file>
    

次のステップNext steps