Log Analytics データのセキュリティLog Analytics data security

このドキュメントでは、Azure セキュリティ センターの情報に加えて、Azure Monitor の機能である Log Analytics に固有の情報を提供することを目的としています。This document is intended to provide information specific to Log Analytics, which is a feature of Azure Monitor, to supplement the information on Azure Trust Center.

この記事は、Log Analytics によるデータの収集、処理、および保護の方法について説明します。This article explains how data is collected, processed, and secured by Log Analytics. エージェントを使用して Web サービスに接続し、System Center Operations Manager を使用して運用データを収集し、Azure Diagnostics からデータを取得して Log Analytics に使用することができます。You can use agents to connect to the web service, use System Center Operations Manager to collect operational data, or retrieve data from Azure diagnostics for use by Log Analytics.

Log Analytics サービスは次の方法でクラウドベースのデータを安全に管理しています。The Log Analytics service manages your cloud-based data securely by using the following methods:

  • データの分離Data segregation
  • データの保持Data retention
  • 物理的なセキュリティPhysical security
  • インシデント管理Incident management
  • コンプライアンスCompliance
  • セキュリティ基準認定Security standards certifications

セキュリティ ポリシーを含め、次の情報に関するご質問やご提案、問題がある場合は、Azure のサポート オプションに関するページを参照してください。Contact us with any questions, suggestions, or issues about any of the following information, including our security policies at Azure support options.

TLS 1.2 を使用して安全にデータを送信するSending data securely using TLS 1.2

Log Analytics へのデータの転送時のセキュリティを保証するため、少なくとも Transport Layer Security (TLS) 1.2 を使用するようにエージェントを構成することを強くお勧めします。To insure the security of data in transit to Log Analytics, we strongly encourage you to configure the agent to use at least Transport Layer Security (TLS) 1.2. 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません。さらに、業界はこれらの以前のプロトコルのサポートを中止する方向へ急速に動いています。Older versions of TLS/Secure Sockets Layer (SSL) have been found to be vulnerable and while they still currently work to allow backwards compatibility, they are not recommended, and the industry is quickly moving to abandon support for these older protocols.

PCI Security Standards Council は、2018 年 6 月 30 日を期限として、TLS/SSL の以前のバージョンを無効にし、より安全なプロトコルにアップグレードすることを求めています。The PCI Security Standards Council has set a deadline of June 30th, 2018 to disable older versions of TLS/SSL and upgrade to more secure protocols. Azure がレガシー サポートを廃止した場合、エージェント/クライアントが TLS 1.2 以上で通信できないと Log Analytics にデータを送信できなくなります。Once Azure drops legacy support, if your agents cannot communicate over at least TLS 1.2 you would not be able to send data to Log Analytics.

エージェントで TLS 1.2 のみを使用するように明示的に設定することは、絶対に必要な場合を除いてお勧めしません。なぜなら、そうすることで、TLS 1.3 などのより新しいよくより安全なプロトコルを自動的に検出して利用できるようにするプラットフォーム レベルのセキュリティ機能が無効になる可能性があるためです。We do not recommend explicitly setting your agent to only use TLS 1.2 unless absolutely necessary, as it can break platform level security features that allow you to automatically detect and take advantage of newer more secure protocols as they become available, such as TLS 1.3.

プラットフォーム固有のガイダンスPlatform-specific guidance

プラットフォーム/言語Platform/Language サポートSupport 詳細情報More Information
LinuxLinux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。Linux distributions tend to rely on OpenSSL for TLS 1.2 support. OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。Check the OpenSSL Changelog to confirm your version of OpenSSL is supported.
Windows 8.0 - 10Windows 8.0 - 10 サポートされています。既定で有効になっています。Supported, and enabled by default. 既定の設定を使用していることを確認するには。To confirm that you are still using the default settings.
Windows Server 2012 - 2016Windows Server 2012 - 2016 サポートされています。既定で有効になっています。Supported, and enabled by default. 既定の設定を使用していることを確認するにはTo confirm that you are still using the default settings
Windows 7 SP1 および Windows Server 2008 R2 SP1Windows 7 SP1 and Windows Server 2008 R2 SP1 サポートされていますが、既定では有効になっていません。Supported, but not enabled by default. 有効にする方法の詳細については、「トランスポート層セキュリティ (TLS) のレジストリ設定」を参照してください。See the Transport Layer Security (TLS) registry settings page for details on how to enable.

データの分離Data segregation

Log Analytics サービスによってデータが取り込まれた後、データはサービス全体のコンポーネントごとに論理的に分離されます。After your data is ingested by the Log Analytics service, the data is kept logically separate on each component throughout the service. すべてのデータはワークスペースごとにタグ付けされます。All data is tagged per workspace. このタグ付けはデータのライフ サイクルにおいて継続され、サービスの各層で強制されます。This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service. データは、選択したリージョンのストレージ クラスター内の専用データベースに格納されます。Your data is stored in a dedicated database in the storage cluster in the region you have selected.

データの保持Data retention

インデックス設定済みのログの検索データは、価格プランに従って保持されます。Indexed log search data is stored and retained according to your pricing plan. 詳細については、「 ログ分析の価格」を参照してください。For more information, see Log Analytics Pricing.

サブスクリプション契約の一環として、Microsoft は契約の条項に従ってデータを保持します。As part of your subscription agreement, Microsoft will retain your data per the terms of the agreement. 顧客データが削除されるときに、物理ドライブは破棄されません。When customer data is removed, no physical drives are destroyed.

次の表では、利用できるソリューションの一部と、収集するデータの種類の例を示しています。The following table lists some of the available solutions and provides examples of the type of data they collect.

ソリューションSolution データ型Data types
容量とパフォーマンスCapacity and Performance パフォーマンス データとメタデータPerformance data and metadata
更新管理Update Management メタデータと状態のデータMetadata and state data
ログの管理Log Management ユーザー定義のイベント ログ、Windows イベント ログ、IIS ログUser-defined event logs, Windows Event Logs and/or IIS Logs
変更の追跡Change Tracking ソフトウェア インベントリ、Windows サービスと Linux デーモン メタデータ、Windows/Linux ファイルのメタデータSoftware inventory, Windows service and Linux daemon metadata, and Windows/Linux file metadata
SQL と Active Directory の評価SQL and Active Directory Assessment WMI データ、レジストリ データ、パフォーマンス データ、SQL Server の動的管理の表示結果WMI data, registry data, performance data, and SQL Server dynamic management view results

次のテーブルでは、データの種類の例を示しています。The following table shows examples of data types:

データの種類Data type FieldsFields
アラート:Alert アラート名、アラートの説明、BaseManagedEntityId、問題 ID、IsMonitorAlert、RuleId、ResolutionState、優先度、重大度、カテゴリ、所有者、ResolvedBy、TimeRaised、TimeAdded、LastModified、LastModifiedBy、LastModifiedExceptRepeatCount、TimeResolved、TimeResolutionStateLastModified、TimeResolutionStateLastModifiedInDB、RepeatCountAlert Name, Alert Description, BaseManagedEntityId, Problem ID, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
構成Configuration CustomerID、AgentID、EntityID、ManagedTypeID、ManagedTypePropertyID、CurrentValue、ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
EventEvent EventId、EventOriginalID、BaseManagedEntityInternalId、RuleId、PublisherId、PublisherName、FullNumber、番号、カテゴリ、ChannelLevel、LoggingComputer、EventData、EventParameters、TimeGenerated、TimeAddedEventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
注: カスタム フィールドを使ってイベントを Windows のイベント ログに書き込むと、それらのイベントは Log Analytics によって収集されます。Note: When you write events with custom fields in to the Windows event log, Log Analytics collects them.
メタデータMetadata BaseManagedEntityId、ObjectStatus、OrganizationalUnit、ActiveDirectoryObjectSid、PhysicalProcessors、 NetworkName、IPAddress、ForestDNSName、NetbiosComputerName、VirtualMachineName、LastInventoryDate、HostServerNameIsVirtualMachine、IP Address、NetbiosDomainName、LogicalProcessors、DNSName、DisplayName、DomainDnsName、ActiveDirectorySite、PrincipalName、OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
パフォーマンスPerformance ObjectName、CounterName、PerfmonInstanceName、PerformanceDataId、PerformanceSourceInternalID、SampleValue、TimeSampled、TimeAddedObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
StateState StateChangeEventId、StateId、NewHealthState、OldHealthState、コンテキスト、TimeGenerated、TimeAdded、StateId2、BaseManagedEntityId、MonitorId、HealthState、LastModified、LastGreenAlertGenerated、DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

物理的なセキュリティPhysical security

Log Analytics サービスは Microsoft の担当者によって管理されており、すべてのアクティビティ ログは記録され、監査することができます。The Log Analytics service is managed by Microsoft personnel and all activities are logged and can be audited. Log Analytics は、Azure サービスとして動作し、すべての Azure コンプライアンスとセキュリティの要件を満たしています。Log Analytics is operated as an Azure Service and meets all Azure Compliance and Security requirements. Azure の資産の物理的なセキュリティに関する詳細は、「 Microsoft Azure セキュリティの概要」の 18 ページを参照してください。You can view details about the physical security of Azure assets on page 18 of the Microsoft Azure Security Overview. 転送や終了を含む Log Analytics サービスへの責任がなくなったユーザーに対する、領域をセキュリティで保護する物理的なアクセス権は、1 営業日以内に変更されます。Physical access rights to secure areas are changed within one business day for anyone who no longer has responsibility for the Log Analytics service, including transfer and termination. 使用されるグローバルな物理インフラストラクチャについては、Microsoft データ センターを参照してください。You can read about the global physical infrastructure we use at Microsoft Datacenters.

インシデント管理Incident management

Log Analytics には、すべての Microsoft サービスが準拠するインシデント管理プロセスがあります。Log Analytics has an incident management process that all Microsoft services adhere to. まとめると次のようになります。To summarize, we:

  • セキュリティ責任の一部が Microsoft に属し、一部が顧客に属する責任の分担モデルの使用Use a shared responsibility model where a portion of security responsibility belongs to Microsoft and a portion belongs to the customer
  • Azure のセキュリティ インシデントの管理:Manage Azure security incidents:
    • インシデントの検出によって開始される調査Start an investigation upon detection of an incident
    • 待機中のインシデント対応チームメンバーによる、インシデントの影響と重要度の評価。Assess the impact and severity of an incident by an on-call incident response team member. 証拠に基づいて、評価をセキュリティ対応チームに報告する必要があるかどうかが決定されます。Based on evidence, the assessment may or may not result in further escalation to the security response team.
    • 技術的な、またはフォレンジックな調査の実施、コンテインメント、緩和策、および回避策の戦略の特定を行うための、セキュリティ対応エキスパートによるインシデントの診断。Diagnose an incident by security response experts to conduct the technical or forensic investigation, identify containment, mitigation, and workaround strategies. 顧客データが不正なまたは権限のない個人にさらされている可能性があるとセキュリティ チームが考えている場合、顧客インシデント通知プロセスの実行が並列で開始されます。If the security team believes that customer data may have become exposed to an unlawful or unauthorized individual, parallel execution of the Customer Incident Notification process begins in parallel.
    • 安定化とインシデントからの復旧。Stabilize and recover from the incident. インシデント対応チームは、問題を緩和するために、復旧計画を作成します。The incident response team creates a recovery plan to mitigate the issue. 影響を受けるシステムの隔離などの危機管理手順は直ちに、診断と並列して実行される可能性があります。Crisis containment steps such as quarantining impacted systems may occur immediately and in parallel with diagnosis. 直近のリスクが収まった後に実行される、長期間の緩和策が計画される可能性があります。Longer term mitigations may be planned which occur after the immediate risk has passed.
    • インシデントの終了と事後分析の実施。Close the incident and conduct a post-mortem. インシデント対応チームは、イベントの再発防止を目的として、ポリシー、手順、プロセスを変更するため、問題の詳細を示す事後分析を作成します。The incident response team creates a post-mortem that outlines the details of the incident, with the intention to revise policies, procedures, and processes to prevent a recurrence of the event.
  • 顧客へのセキュリティ インシデントの通知:Notify customers of security incidents:
    • 影響を受ける顧客の範囲の特定、および該当の顧客への可能な限り詳細な通知の提供Determine the scope of impacted customers and to provide anybody who is impacted as detailed a notice as possible
    • 顧客に詳細な情報を提供し、顧客側で調査を実行してエンドユーザー側で作成されたコミットメントを満たして、通知プロセスを過度に遅延させないようにするための通知の作成Create a notice to provide customers with detailed enough information so that they can perform an investigation on their end and meet any commitments they have made to their end users while not unduly delaying the notification process.
    • 必要に応じたインシデントの確認と宣言Confirm and declare the incident, as necessary.
    • 不適切な待機時間のない、法的コミットメントまたは契約コミットメントに従ったインシデント通知による顧客への通知。Notify customers with an incident notification without unreasonable delay and in accordance with any legal or contractual commitment. セキュリティ インシデントは、Microsoft が選択した (電子メールを含む) 方法によって、1 人以上の顧客側の管理者に配信されます。Notifications of security incidents are delivered to one or more of a customer's administrators by any means Microsoft selects, including via email.
  • チームの準備とトレーニングの実施:Conduct team readiness and training:
    • Microsoft の担当者は、疑いのあるセキュリティ上の問題の特定と報告に役立つ、セキュリティと認識のトレーニングを完了する必要があります。Microsoft personnel are required to complete security and awareness training, which helps them to identify and report suspected security issues.
    • Microsoft Azure サービスで作業しているオペレーターは、顧客データをホストする機密性の高いシステムへのアクセスに関連する、追加のトレーニングを受ける義務があります。Operators working on the Microsoft Azure service have addition training obligations surrounding their access to sensitive systems hosting customer data.
    • Microsoft セキュリティ対応担当者は、役割に対する専門的なトレーニングを受けます。Microsoft security response personnel receive specialized training for their roles

顧客のデータの損失が発生した場合、1 日以内に顧客に通知します。If loss of any customer data occurs, we notify each customer within one day. ただし、サービスで顧客データの損失が発生したことはありません。However, customer data loss has never occurred with the service.

Microsoft のセキュリティ インシデントへの対応の詳細については、「Microsoft Azure Security Response in the Cloud (クラウドでの Microsoft Azure のセキュリティ対応)」を参照してください。For more information about how Microsoft responds to security incidents, see Microsoft Azure Security Response in the Cloud.

コンプライアンスCompliance

Log Analytics ソフトウェア開発およびサービス チームの情報セキュリティとガバナンスのプログラムは、ビジネス要件をサポートしており、法律および Microsoft Azure セキュリティ センターMicrosoft セキュリティ センターのコンプライアンスで説明されている規定を順守しています。The Log Analytics software development and service team's information security and governance program supports its business requirements and adheres to laws and regulations as described at Microsoft Azure Trust Center and Microsoft Trust Center Compliance. そこでは、Log Analytics によるセキュリティ要件の確立方法、セキュリティ制御の識別方法、リスクの管理と監視方法についても説明されています。How Log Analytics establishes security requirements, identifies security controls, manages, and monitors risks are also described there. Microsoft では、ポリシー、標準、手順、およびガイドラインのレビューを毎年行っています。Annually, we review polices, standards, procedures, and guidelines.

開発チームの各メンバーは、正規のアプリケーション セキュリティのトレーニングを受けています。Each development team member receives formal application security training. 内部的には、ソフトウェア開発用に、バージョン管理システムを使用しています。Internally, we use a version control system for software development. 各ソフトウェア プロジェクトは、バージョン管理システムによって保護されています。Each software project is protected by the version control system.

Microsoft には、Microsoft のすべてのサービスを監視して評価する、セキュリティとコンプライアンスのチームがあります。Microsoft has a security and compliance team that oversees and assesses all services in Microsoft. 情報セキュリティ責任者がチームを構成します。彼らは、Log Analytics を開発するエンジニアリング チームとは関係ありません。Information security officers make up the team and they are not associated with the engineering teams that develops Log Analytics. セキュリティ責任者には独自の管理チェーンがあり、製品とサービスについて独立した評価を行い、セキュリティとコンプライアンスを確保します。The security officers have their own management chain and conduct independent assessments of products and services to ensure security and compliance.

Microsoft の取締役会には、Microsoft におけるすべての情報セキュリティ プログラムに関する年次報告書が提出されます。Microsoft's board of directors is notified by an annual report about all information security programs at Microsoft.

Log Analytics ソフトウェアの開発とサービスのチームは、Microsoft の法律および法令遵守チーム、その他の業界パートナーと積極的に連携し、さまざまな認定資格を取得しています。The Log Analytics software development and service team are actively working with the Microsoft Legal and Compliance teams and other industry partners to acquire various certifications.

認定と認証Certifications and attestations

Azure Log Analytics は、次の要件を満たしています。Azure Log Analytics meets the following requirements:

注意

Log Analytics は、一部の認定および認証において、以前の名前である Operational Insights として表示されています。In some certifications/attestations, Log Analytics is listed under its former name of Operational Insights.

クラウド コンピューティングのセキュリティ データ フローCloud computing security data flow

次の図は、企業の情報フローを例にしたクラウドのセキュリティ アーキテクチャです。情報が Log Analytics サービスまで移動する間にどのように保護され、最終的に Azure portal でユーザーに表示されるかを示しています。The following diagram shows a cloud security architecture as the flow of information from your company and how it is secured as is moves to the Log Analytics service, ultimately seen by you in the Azure portal. 各手順の詳細は図の後で説明します。More information about each step follows the diagram.

Log Analytics データ収集とセキュリティの図

1.Log Analytics にサインアップし、データを収集する1. Sign up for Log Analytics and collect data

組織が Log Analytics にデータを送信できるようにするには、Azure 仮想マシン、または自身の環境や他のクラウド プロバイダーの仮想または物理コンピューターで実行される Windows または Linux エージェントを構成します。For your organization to send data to Log Analytics, you configure a Windows or Linux agent running on Azure virtual machines, or on virtual or physical computers in your environment or other cloud provider. Operations Manager を使用する場合は、管理グループから Operations Manager エージェントを構成します。If you use Operations Manager, from the management group you configure the Operations Manager agent. ユーザー (あなた、他のユーザー、または複数ユーザーのグループの場合があります) は、次のアカウントのいずれかを使用して 1 つ以上の Log Analytics ワークスペースを作成し、エージェントを登録します。Users (which might be you, other individual users, or a group of people) create one or more Log Analytics workspaces, and register agents by using one of the following accounts:

Log Analytics ワークスペースは、データが収集、集計、分析、表示される場所になります。A Log Analytics workspace is where data is collected, aggregated, analyzed, and presented. ワークスペースは、主にデータをパーティション分割するための手段として使用されます。各ワークスペースは一意になります。A workspace is primarily used as a means to partition data, and each workspace is unique. たとえば、実稼働データをワークスペースの 1 つで管理し、テスト データを別のワークスペースで管理する場合があります。For example, you might want to have your production data managed with one workspace and your test data managed with another workspace. ワークスペースは、ユーザーのデータへのアクセスを管理者が制御する際にも役立ちます。Workspaces also help an administrator control user access to the data. ワークスペースごとに複数のユーザー アカウントを関連付けることができます。また、各ユーザー アカウントは複数の Log Analytics ワークスペースにアクセスできます。Each workspace can have multiple user accounts associated with it, and each user account can access multiple Log Analytics workspaces. データ センターのリージョンに基づいてワークスペースを作成します。You create workspaces based on datacenter region.

Operations Manager の場合、Operations Manager 管理グループは、Log Analytics サービスとの接続を確立します。For Operations Manager, the Operations Manager management group establishes a connection with the Log Analytics service. 管理グループ内のエージェントで管理されるどのシステムがデータの収集とサービスへのデータ送信を許可されるかを構成します。You then configure which agent-managed systems in the management group are allowed to collect and send data to the service. ソリューションからのデータは、有効にしているソリューションに応じて、Operations Manager 管理サーバーから Log Analytics サービスに直接送信される場合と、エージェント管理システムで収集されるデータ量の関係で、エージェントからサービスに直接送信される場合があります。Depending on the solution you have enabled, data from these solutions are either sent directly from an Operations Manager management server to the Log Analytics service, or because of the volume of data collected by the agent-managed system, are sent directly from the agent to the service. Operations Manager によって監視されていないシステムでは、それぞれ安全に Log Analytics サービスに直接接続します。For systems not monitored by Operations Manager, each connects securely to the Log Analytics service directly.

接続されたシステムと Log Analytics サービスの間の通信はすべて暗号化されます。All communication between connected systems and the Log Analytics service is encrypted. 暗号化には TLS (HTTPS) プロトコルが使用されます。The TLS (HTTPS) protocol is used for encryption. Log Analytics が最も最近の暗号化プロトコルを使用して最新の状態であるようにするため、続けて Microsoft SDL の手順が行われます。The Microsoft SDL process is followed to ensure Log Analytics is up-to-date with the most recent advances in cryptographic protocols.

各エージェントが Log Analytics のデータを収集します。Each type of agent collects data for Log Analytics. 収集されるデータの種類は、使用するソリューションの種類によって異なります。The type of data that is collected is depends on the types of solutions used. データ収集の概要については「ソリューション ギャラリーから Log Analytics ソリューションを追加する」を参照してください。You can see a summary of data collection at Add Log Analytics solutions from the Solutions Gallery. また、ほぼすべてのソリューションについて、より詳細な収集情報も提供されています。Additionally, more detailed collection information is available for most solutions. ソリューションは、定義済みビュー、ログ検索クエリ、データの収集ルール、処理ロジックのバンドルになります。A solution is a bundle of predefined views, log search queries, data collection rules, and processing logic. Log Analytics を使用してソリューションをインポートできるのは管理者のみです。Only administrators can use Log Analytics to import a solution. ソリューションはインポート後、Operations Manager 管理サーバー (使用する場合) に移動され、選択した任意のエージェントに移動されます。After the solution is imported, it is moved to the Operations Manager management servers (if used), and then to any agents that you have chosen. その後、エージェントはデータを収集します。Afterward, the agents collect the data.

2.エージェントからデータを送信する2. Send data from agents

登録キーを使用してすべての種類のエージェントを登録すると、証明書ベースの認証とポート 443 による SSL が使用され、エージェントと Log Analytics サービス間にセキュリティで保護された接続が確立します。You register all agent types with an enrollment key and a secure connection is established between the agent and the Log Analytics service using certificate-based authentication and SSL with port 443. Log Analytics では、キーの生成と管理にシークレット ストアを使用します。Log Analytics uses a secret store to generate and maintain keys. 秘密キーは 90 日ごとに交換されて Azure に格納され、厳密な規制およびコンプライアンス手順に従う Azure オペレーターによって管理されます。Private keys are rotated every 90 days and are stored in Azure and are managed by the Azure operations who follow strict regulatory and compliance practices.

Operations Manager では、Log Analytics ワークスペースに登録されている管理グループは、Operations Manager 管理サーバーとのセキュアな HTTPS 接続を確立します。With Operations Manager, the management group registered with a Log Analytics workspace establishes a secure HTTPS connection with an Operations Manager management server.

Azure Virtual Machines 上で実行される Windows または Linux エージェントの場合、Azure テーブルの診断イベントを読み取るために、読み取り専用のストレージ キーが使用されます。For Windows or Linux agents running on Azure virtual machines, a read-only storage key is used to read diagnostic events in Azure tables.

Log Analytics に統合されている Operations Manager 管理グループに報告するエージェントでは、管理サーバーがなんらかの理由でサービスと通信できない場合、収集されたデータは管理サーバー上の一時的なキャッシュにローカルに格納されます。With any agent reporting to an Operations Manager management group that is integrated with Log Analytics, if the management server is unable to communicate with the service for any reason, the collected data is stored locally in a temporary cache on the management server. 2 時間にわたって 8 分ごとにデータを再送信しようとします。They try to resend the data every eight minutes for two hours. 管理サーバーをバイパスし、Log Analytics に直接送信されるデータの場合、動作は Windows エージェントと一貫性があります。For data that bypasses the management server and is sent directly to Log Analytics, the behavior is consistent with the Windows agent.

Windows または管理サーバー エージェントのキャッシュされたデータは、オペレーティング システムの資格情報ストアによって保護されています。The Windows or management server agent cached data is protected by the operating system's credential store. 2 時間が経過してもサービスがデータを処理できない場合、エージェントはデータをキューに格納します。If the service cannot process the data after two hours, the agents will queue the data. キューがいっぱいになると、エージェントはパフォーマンス データから順にデータ型を削除し始めます。If the queue becomes full, the agent starts dropping data types, starting with performance data. エージェントのキューの上限はレジストリ キーであるため、必要に応じて変更できます。The agent queue limit is a registry key so you can modify it, if necessary. 収集されたデータは圧縮され、負荷を追加しないように Operations Manager 管理グループ データベースをバイパスして、サービスに送信されます。Collected data is compressed and sent to the service, bypassing the Operations Manager management group databases, so it does not add any load to them. 収集したデータが送信されると、データはキャッシュから削除されます。After the collected data is sent, it is removed from the cache.

前述のように、管理サーバーまたは直接接続エージェントからのデータが SSL 経由で Microsoft Azure データセンターに送信されます。As described above, data from the management server or direct-connected agents is sent over SSL to Microsoft Azure datacenters. 必要に応じて、ExpressRoute を使用してデータのセキュリティを強化できます。Optionally, you can use ExpressRoute to provide additional security for the data. ExpressRoute は、ネットワーク サービス プロバイダーによって提供されるマルチ プロトコル ラベル スイッチング (MPLS) VPN などの、既存の WAN ネットワークから Azure に直接接続する方法です。ExpressRoute is a way to directly connect to Azure from your existing WAN network, such as a multi-protocol label switching (MPLS) VPN, provided by a network service provider. 詳細については、ExpressRoute に関するページを参照してください。For more information, see ExpressRoute.

3.Log Analytics サービスでデータを受信して処理する3. The Log Analytics service receives and processes data

Log Analytics サービスでは、Azure 認証で証明書とデータの整合性を検証することにより、入力されるデータが信頼できる発行元からのものであることを確認します。The Log Analytics service ensures that incoming data is from a trusted source by validating certificates and the data integrity with Azure authentication. 未処理の生データは、リージョンの Azure Event Hub に格納され、データは最終的に保存されます。The unprocessed raw data is then stored in an Azure Event Hub in the region the data will eventually be stored at rest. 保存されているデータの種類は、インポートしてデータを収集するために使用したソリューションの種類によって異なります。The type of data that is stored depends on the types of solutions that were imported and used to collect data. 次に、Log Analytics サービスは、生データを処理してデータベースに取り込みます。Then, the Log Analytics service processes the raw data and ingests it into the database.

データベースに格納されている収集済みデータのリテンション期間は、選択された料金プランによって異なります。The retention period of collected data stored in the database depends on the selected pricing plan. 無料プランの場合、収集されたデータは 7 日間使用できます。For the Free tier, collected data is available for seven days. "有料" プランの場合、収集したデータは既定で 31 日間利用でき、730 日まで延長できます。For the Paid tier, collected data is available for 31 days by default, but can be extended to 730 days. データは、データの機密性を保証するために、Azure ストレージに暗号化され保存されます。そして、そのデータは、ローカル冗長ストレージ (LRS) を使用してローカルのリージョン内にレプリケートされます。Data is stored encrypted at rest in Azure storage, to ensure data confidentiality, and the data is replicated within the local region using locally redundant storage (LRS). 過去 2 週間以内のデータは SSD ベースのキャッシュにも格納されます。このキャッシュは暗号化されます。The last two weeks of data are also stored in SSD-based cache and this cache is encrypted.

4.Log Analytics を使用してデータにアクセスする4. Use Log Analytics to access the data

Log Analytics ワークスペースにアクセスするには、設定済みの組織アカウントまたは Microsoft アカウントを使用して Azure Portal にサインインします。To access your Log Analytics workspace, you sign into the Azure portal using the organizational account or Microsoft account that you set up previously. ポータルと Log Analytics サービス間のすべてのトラフィックは、セキュリティで保護された HTTPS チャネル経由で送信されます。All traffic between the portal and Log Analytics service is sent over a secure HTTPS channel. ポータルを使用する場合、セッション ID がユーザーのクライアント (Web ブラウザー) で生成され、データはセッションが終了するまでローカル キャッシュに保存されます。When using the portal, a session ID is generated on the user client (web browser) and data is stored in a local cache until the session is terminated. セッションが終了すると、キャッシュが削除されます。When terminated, the cache is deleted. 個人を特定できる情報が含まれないクライアント側の Cookie は、自動的に削除されません。Client-side cookies, which do not contain personally identifiable information, are not automatically removed. セッションの Cookie は HTTPOnly としてマークされ、セキュリティで保護されます。Session cookies are marked HTTPOnly and are secured. あらかじめ決められたアイドル期間の後は、Azure Portal セッションが終了します。After a pre-determined idle period, the Azure portal session is terminated.

次のステップNext steps