Azure アクティビティ ログの概要Overview of Azure Activity log

Azure アクティビティ ログにより、Azure で発生したサブスクリプションレベルのイベントの分析が得られます。The Azure Activity Log provides insight into subscription-level events that have occurred in Azure. たとえば、Azure Resource Manager の運用データから、サービスの正常性イベントまでの範囲のデータが含まれています。This includes a range of data, from Azure Resource Manager operational data to updates on Service Health events. 管理者のカテゴリではサブスクリプションのコントロール プレーン イベントが報告されるため、アクティビティ ログは以前は "監査ログ" または "操作ログ" と呼ばれていました。The Activity Log was previously known as Audit Logs or Operational Logs, since the Administrative category reports control-plane events for your subscriptions.

アクティビティ ログを使用して、サブスクリプションのリソースに対して行われるすべての書き込み操作 (PUT、POST、DELETE) について、"何を"、"誰が"、"いつ" 行ったのかを確認できます。Use the Activity Log, to determine the what, who, and when for any write operations (PUT, POST, DELETE) taken on the resources in your subscription. さらに、操作の状態など、重要性の大きなプロパティを確認することもできます。You can also understand the status of the operation and other relevant properties.

アクティビティ ログには、読み取り (GET) 操作や、クラシック/RDFE モデルを使用しているリソースに対する操作は含まれません。The Activity Log does not include read (GET) operations or operations for resources that use the Classic/RDFE model.

リソース ログとの比較Comparison to resource logs

各 Azure サブスクリプションに 1 つのアクティビティ ログがあります。There is a single Activity Log for each Azure subscription. これは、外部から行われるリソースの操作に関するデータを提供します ("コントロール プレーン")。It provides data about the operations on a resource from the outside (the "control plane"). リソース ログは、リソースによって出力され、そのリソースの操作に関する情報を提供します ("データ プレーン")。Resource Logs are emitted by a resource and provide information about the operation of that resource (the "data plane"). リソース ログを収集するには、各リソースの診断設定を作成する必要があります。You must create a diagnostic setting for each resource to collect resource logs.

アクティビティ ログとリソース ログの比較

注意

Azure アクティビティ ログは、主に Azure Resource Manager で発生したアクティビティを記録します。The Azure Activity Log is primarily for activities that occur in Azure Resource Manager. クラシック/RDFE モデルを使用しているリソースは追跡されません。It does not track resources using the Classic/RDFE model. 一部のクラシック リソース タイプでは、Azure Resource Manager にプロキシ リソース プロバイダー (例: Microsoft.ClassicCompute) が存在します。Some Classic resource types have a proxy resource provider in Azure Resource Manager (for example, Microsoft.ClassicCompute). これらのプロキシ リソース プロバイダーを使用して Azure Resource Manager 経由でクラシック リソース タイプを操作すると、その操作がアクティビティ ログに表示されます。If you interact with a Classic resource type through Azure Resource Manager using these proxy resource providers, the operations appear in the Activity Log. Azure Resource Manager プロキシの外部でクラシック リソース タイプを操作すると、そのアクションは操作ログにのみ記録されます。If you interact with a Classic resource type outside of the Azure Resource Manager proxies, your actions are only recorded in the Operation Log. 操作ログは、ポータルの別のセクションで参照できます。The Operation Log can be browsed in a separate section of the portal.

アクティビティ ログのリテンション期間Activity Log retention

アクティビティ ログのエントリは一度作成されると、システムによって変更も削除も行われません。Once created, Activity Log entries are not modified or deleted by the system. また、インターフェイス内またはプログラムでそれらを変更することもできません。Also, you can't change them in the interface or programmatically. アクティビティ ログ イベントは 90 日間保存されます。Activity Log events are stored for 90 days. このデータを長期間保存するには、Azure Monitor で収集するか、ストレージまたは Event Hubs にエクスポートします。To store this data for longer periods, collect it in Azure Monitor or export it to storage or Event Hubs.

アクティビティ ログを表示するView the Activity Log

すべてのリソースのアクティビティ ログは、Azure portal の [モニター] メニューから表示します。View the Activity Log for all resources from the Monitor menu in the Azure portal. 特定のリソースのアクティビティ ログは、そのリソースのメニューの [アクティビティ ログ] オプションから表示します。View the Activity Log for a particular resource from the Activity Log option in that resource's menu. PowerShell、CLI、または REST API を使用してアクティビティ ログ レコードを取得することもできます。You can also retrieve Activity Log records with PowerShell, CLI, or REST API. View and retrieve Azure Activity log events (Azure アクティビティ ログ イベントを表示して取得する)」を参照してください。See View and retrieve Azure Activity log events.

アクティビティ ログを表示する

Azure Monitor でアクティビティ ログを収集するCollect Activity Log in Azure Monitor

他の監視データと共に分析し、90 日間よりも長くデータを保存するには、Azure Monitor で Log Analytics ワークスペースにアクティビティ ログを収集します。Collect the Activity Log into a Log Analytics workspace in Azure Monitor to analyze it with other monitoring data and to retain the data for longer than 90 days. Collect and analyze Azure activity logs in Log Analytics workspace in Azure Monitor (Azure Monitor の Log Analytics ワークスペースで Azure アクティビティ ログを収集して分析する)」を参照してください。See Collect and analyze Azure activity logs in Log Analytics workspace in Azure Monitor.

アクティビティ ログのクエリを実行する

アクティビティ ログをエクスポートするExport Activity Log

アーカイブする場合は、アクティビティ ログを Azure Storage にエクスポートし、サードパーティーのサービスやカスタム分析ソリューションに取り込む場合は、イベント ハブにストリーム配信します。Export the Activity Log to Azure Storage for archiving or stream it to an Event Hub for ingestion by a third-party service or custom analytics solution. Export the Azure Activity Log (Azure アクティビティ ログをエクスポートする)」を参照してください。See Export the Azure Activity Log. Power BI コンテンツ パックを使用して、Power BI でアクティビティ ログ イベントを分析することもできます。You can also analyze Activity Log events in Power BI using the Power BI content pack.

アクティビティ ログに関するアラートAlert on Activity Log

特定のイベントがアクティビティ ログに作成されたときにアクティビティ ログ アラートを使用してアラートを作成できます。You can create an alert when particular events are created in the Activity Log with an Activity Log alert. アクティビティ ログが Log Analytics ワークスペースに接続されているときにログ クエリを使用してアラートを作成することもできますが、クエリ アラートをログに記録するためのコストがかかります。You can also create an alert using a log query when your Activity Log is connected to a Log Analytics workspace, but there is a cost to log query alerts. アクティビティ ログ アラートにコストはかかりません。There is no cost for Activity Log alerts.

アクティビティ ログのカテゴリCategories in the Activity Log

アクティビティ ログの各イベントには、次の表に示す特定のカテゴリがあります。Each event in the Activity Log has a particular category that are described in the following table. これらのカテゴリのスキーマの詳細については、「Azure アクティビティ ログのイベント スキーマ」を参照してください。For full details on the schemata of these categories, see Azure Activity Log event schema.

CategoryCategory 説明Description
管理Administrative Resource Manager で実行されるすべての作成、更新、削除、アクション操作のレコードが含まれます。Contains the record of all create, update, delete, and action operations performed through Resource Manager. 管理イベントの例としては、仮想マシンの作成ネットワーク セキュリティ グループの削除_があります。Examples of Administrative events include create virtual machine and delete network security group.

Resource Manager を使用してユーザーまたはアプリケーションが実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデル化されています。Every action taken by a user or application using Resource Manager is modeled as an operation on a particular resource type. 操作の種類が_書き込み、削除、または_アクション_の場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。If the operation type is Write, Delete, or Action, the records of both the start and success or fail of that operation are recorded in the Administrative category. 管理イベントには、サブスクリプション内のロールベースのアクセス制御に対する任意の変更も含まれています。Administrative events also include any changes to role-based access control in a subscription.
サービス正常性Service Health Azure で発生した任意のサービス正常性インシデントのレコードが含まれます。Contains the record of any service health incidents that have occurred in Azure. サービス正常性イベントの例としては、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) があります。An example of a Service Health event SQL Azure in East US is experiencing downtime.

Service Health のイベントは 6 種類に分かれます。"要対応"、"支援復旧"、"インシデント"、"メンテナンス"、"情報"、または "セキュリティ"。Service Health events come in Six varieties: Action Required, Assisted Recovery, Incident, Maintenance, Information, or Security. これらのイベントが作成されるのは、サブスクリプション内にイベントの影響を受けるリソースがある場合のみです。These events are only created if you have a resource in the subscription that would be impacted by the event.
リソース正常性Resource Health Azure リソースで発生したすべてのリソース正常性イベントのレコードが含まれます。Contains the record of any resource health events that have occurred to your Azure resources. リソース正常性イベントの例としては、"Virtual Machine health status changed to unavailable" (仮想マシンの正常性状態が使用不可に変更されました) があります。An example of a Resource Health event is Virtual Machine health status changed to unavailable.

リソース正常性イベントは、次の 4 つの正常性状態のいずれかを示す可能性があります。"使用可能"、"使用不可"、"デグレード"、および "不明"。Resource Health events can represent one of four health statuses: Available, Unavailable, Degraded, and Unknown. さらに、リソース正常性イベントは、"Platform Initiated" (プラットフォーム開始) または "User Initiated" (ユーザー開始) のいずれかのカテゴリに分けることができます。Additionally, Resource Health events can be categorized as being Platform Initiated or User Initiated.
アラート:Alert Azure アラートのアクティブ化のレコードが含まれます。Contains the record of activations for Azure alerts. アラート イベントの例としては、"CPU % on myVM has been over 80 for the past 5 minutes" (myVM の CPU % が過去 5 分間で 80 を超えています) があります。An example of an Alert event is CPU % on myVM has been over 80 for the past 5 minutes.
自動スケールAutoscale サブスクリプションで定義したすべての自動スケーリング設定に基づいて、自動スケーリング エンジンの操作に関連するすべてのイベントのレコードが含まれます。Contains the record of any events related to the operation of the autoscale engine based on any autoscale settings you have defined in your subscription. 自動スケーリングの例としては、"Autoscale scale up action failed" (自動スケーリングのスケールアップ アクションが失敗しました) があります。An example of an Autoscale event is Autoscale scale up action failed.
推奨Recommendation Azure Advisor からの推奨イベントが含まれます。Contains recommendation events from Azure Advisor.
セキュリティSecurity Azure Security Center によって生成されたアラートのレコードが含まれます。Contains the record of any alerts generated by Azure Security Center. セキュリティ イベントの例としては、"Suspicious double extension file executed" (疑わしい二重拡張子ファイルが実行されました) があります。An example of a Security event is Suspicious double extension file executed.
ポリシーPolicy Azure Policy によって実行されるすべての効果アクション操作のレコードが含まれます。Contains records of all effect action operations performed by Azure Policy. ポリシー イベントの例としては、"監査" と "拒否" があります。Examples of Policy events include Audit and Deny. Policy によって実行されるすべてのアクションは、リソースに対する操作としてモデル化されます。Every action taken by Policy is modeled as an operation on a resource.

次の手順Next Steps