Azure アクティビティ ログでサブスクリプション アクティビティを監視するMonitor Subscription Activity with the Azure Activity Log

Azure アクティビティ ログは、Azure で発生したサブスクリプションレベルのイベントの分析に利用できるサブスクリプション ログです。The Azure Activity Log is a subscription log that provides insight into subscription-level events that have occurred in Azure. たとえば、Azure Resource Manager の運用データから、サービスの正常性イベントまでの範囲のデータが含まれています。This includes a range of data, from Azure Resource Manager operational data to updates on Service Health events. 管理者のカテゴリではサブスクリプションのコントロール プレーン イベントが報告されるため、アクティビティ ログは以前は "監査ログ" または "操作ログ" と呼ばれていました。The Activity Log was previously known as “Audit Logs” or “Operational Logs,” since the Administrative category reports control-plane events for your subscriptions. アクティビティ ログを使用すると、サブスクリプションのリソースに対して発生する書き込み操作 (PUT、POST、DELETE) すべてについて、"いつ誰が何を" 行ったのかを確認できます。Using the Activity Log, you can determine the ‘what, who, and when’ for any write operations (PUT, POST, DELETE) taken on the resources in your subscription. さらに、操作の状態など、重要性の大きなプロパティを確認することもできます。You can also understand the status of the operation and other relevant properties. アクティビティ ログには、読み取り (GET) 操作や、クラシック/"RDFE" モデルを使用するリソースに対する操作は含まれません。The Activity Log does not include read (GET) operations or operations for resources that use the Classic/"RDFE" model.

<span data-ttu-id="d8687-110">アクティビティ ログとその他の種類のログ</span><span class="sxs-lookup"><span data-stu-id="d8687-110">Activity Logs vs other types of logs</span></span>

図 1: アクティビティ ログとその他の種類のログFigure 1: Activity Logs vs other types of logs

アクティビティ ログは診断ログとは異なります。The Activity Log differs from Diagnostic Logs. アクティビティ ログは、外部から行われるリソースの操作に関するデータを提供します ("コントロール プレーン")。Activity Logs provide data about the operations on a resource from the outside (the "control plane"). 診断ログは、リソースによって出力され、そのリソースの操作に関する情報を提供します ("データ プレーン")。Diagnostics Logs are emitted by a resource and provide information about the operation of that resource (the "data plane").

警告

Azure アクティビティ ログは、主に Azure Resource Manager で発生したアクティビティを記録します。The Azure Activity Log is primarily for activities that occur in Azure Resource Manager. クラシック/RDFE モデルを使用しているリソースは追跡されません。It does not track resources using the Classic/RDFE model. 一部のクラシック リソース タイプでは、Azure Resource Manager にプロキシ リソース プロバイダー (例: Microsoft.ClassicCompute) が存在します。Some Classic resource types have a proxy resource provider in Azure Resource Manager (for example, Microsoft.ClassicCompute). これらのプロキシ リソース プロバイダーを使用して Azure Resource Manager 経由でクラシック リソース タイプを操作すると、その操作がアクティビティ ログに表示されます。If you interact with a Classic resource type through Azure Resource Manager using these proxy resource providers, the operations appear in the Activity Log. Azure Resource Manager プロキシの外部でクラシック リソース タイプを操作すると、そのアクションは操作ログにのみ記録されます。If you interact with a Classic resource type outside of the Azure Resource Manager proxies, your actions are only recorded in the Operation Log. 操作ログは、ポータルの別のセクションで参照できます。The Operation Log can be browsed in a separate section of the portal.

Azure Portal、CLI、PowerShell コマンドレット、Azure Monitor REST API を使用して、アクティビティ ログからイベントを取得できます。You can retrieve events from your Activity Log using the Azure portal, CLI, PowerShell cmdlets, and Azure Monitor REST API.

注意

新しいアラートは、アクティビティ ログの警告ルールの作成と管理に強化されたエクスペリエンスを提供します。The newer alerts offers an enhanced experience when creating and managing activity log alert rules. 詳細情報Learn more.

アクティビティ ログのカテゴリCategories in the Activity Log

アクティビティ ログには、複数のカテゴリのデータが含まれています。The Activity Log contains several categories of data. 各カテゴリのスキーマの詳細については、こちらの記事を参照してくださいFor full details on the schemata of these categories, see this article. チェックの内容は次のとおりですThese include:

  • 管理 - このカテゴリには、Resource Manager で実行されるすべての作成、更新、削除、およびアクション操作のレコードが含まれています。Administrative - This category contains the record of all create, update, delete, and action operations performed through Resource Manager. このカテゴリで表示されるイベントの種類として、"仮想マシンの作成"、"ネットワーク セキュリティ グループの削除" などがあります。ユーザーまたはアプリケーションが Resource Manager を使用して実行するすべてのアクションは、特定のリソースの種類に対する操作としてモデリングされます。Examples of the types of events you would see in this category include "create virtual machine" and "delete network security group" Every action taken by a user or application using Resource Manager is modeled as an operation on a particular resource type. 操作の種類が書き込み、削除、またはアクションの場合、その操作の開始のレコードと成功または失敗のレコードは、いずれも管理カテゴリに記録されます。If the operation type is Write, Delete, or Action, the records of both the start and success or fail of that operation are recorded in the Administrative category. 管理カテゴリには、サブスクリプション内のロールベースのアクセス制御に対する任意の変更も含まれています。The Administrative category also includes any changes to role-based access control in a subscription.
  • サービス正常性 - このカテゴリには、Azure で発生した任意のサービス正常性インシデントのレコードが含まれます。Service Health - This category contains the record of any service health incidents that have occurred in Azure. このカテゴリで表示されるイベントの種類として、"SQL Azure in East US is experiencing downtime" (米国東部の SQL Azure でダウンタイムが発生しています) などがあります。An example of the type of event you would see in this category is "SQL Azure in East US is experiencing downtime." サービス正常性イベントには、要対応、支援復旧、インシデント、メンテナンス、情報、またはセキュリティという 6 種類があります。イベントの影響を受けるリソースがサブスクリプションにある場合、1 つのイベントのみが表示されます。Service health events come in five varieties: Action Required, Assisted Recovery, Incident, Maintenance, Information, or Security, and only appear if you have a resource in the subscription that would be impacted by the event.
  • リソース正常性 - このカテゴリには、Azure リソースで発生したすべてのリソース正常性イベントのレコードが含まれます。Resource Health - This category contains the record of any resource health events that have occurred to your Azure resources. このカテゴリに表示されるイベントの種類として、[Virtual Machine health status changed to unavailable](仮想マシンの正常性状態が使用不可に変わりました) などがあります。An example of the type of event you would see in this category is "Virtual Machine health status changed to unavailable." リソース正常性イベントは、利用可能、利用不可、降格済み、不明の 4 つの正常性状態のいずれかになります。Resource health events can represent one of four health statuses: Available, Unavailable, Degraded, and Unknown. さらに、リソース正常性イベントは、プラットフォーム開始またはユーザー開始のいずれかのカテゴリーに分けることができます。Additionally, resource health events can be categorized as being Platform Initiated or User Initiated.
  • アラート - このカテゴリには、Azure アラートの全アクティビティのレコードが含まれています。Alert - This category contains the record of all activations of Azure alerts. このカテゴリで表示されるイベントの種類として、"CPU % on myVM has been over 80 for the past 5 minutes" (過去 5 分間の myVM の CPU % が 80 を超えました) などがあります。An example of the type of event you would see in this category is "CPU % on myVM has been over 80 for the past 5 minutes." 多様な Azure システムにアラートの概念があります。また、何らかのルールを定義し、条件がそのルールと一致するときに通知を受け取ることができます。A variety of Azure systems have an alerting concept -- you can define a rule of some sort and receive a notification when conditions match that rule. サポートされる Azure のアラートの種類が "アクティブになる" たびに、または通知を生成する条件を満たすたびに、アクティブ化のレコードもこのカテゴリのアクティビティ ログにプッシュされます。Each time a supported Azure alert type 'activates,' or the conditions are met to generate a notification, a record of the activation is also pushed to this category of the Activity Log.
  • 自動スケール - このカテゴリには、サブスクリプションで定義したすべての自動スケール設定に基づいて、自動スケール エンジンの操作に関連するすべてのイベントのレコードが含まれます。Autoscale - This category contains the record of any events related to the operation of the autoscale engine based on any autoscale settings you have defined in your subscription. このカテゴリで表示されるイベントの種類として、"Autoscale scale up action failed" (自動スケールのスケールアップ アクションに失敗しました) などがあります。An example of the type of event you would see in this category is "Autoscale scale up action failed." 自動スケールを使用すると、自動スケール設定で指定した時刻や負荷 (メトリック) データに基づいて、サポートされるリソースの種類のインスタンス数を自動的にスケールアウトまたはスケールインすることができます。Using autoscale, you can automatically scale out or scale in the number of instances in a supported resource type based on time of day and/or load (metric) data using an autoscale setting. スケールアップまたはスケールダウンの条件を満たした場合、開始イベントと、成功または失敗イベントがこのカテゴリに記録されます。When the conditions are met to scale up or down, the start and succeeded or failed events are recorded in this category.
  • 推奨 - このカテゴリには、Azure Advisor からの推奨イベントが含まれます。Recommendation - This category contains recommendation events from Azure Advisor.
  • セキュリティ - このカテゴリには、Azure Security Center によって生成されたアラートのレコードが含まれます。Security - This category contains the record of any alerts generated by Azure Security Center. このカテゴリで表示されるイベントの種類の例としては、"Suspicious double extension file executed" (拡張子が 2 つある不審なファイルが実行されました) などがあります。An example of the type of event you would see in this category is "Suspicious double extension file executed."
  • ポリシー - このカテゴリにはイベントは含まれません。これは将来の使用のために予約されています。Policy - This category does not contain any events; it is reserved for future use.

カテゴリごとのイベント スキーマEvent schema per category

カテゴリごとのアクティビティ ログ イベント スキーマの詳細については、この記事を参照してください。See this article to understand the Activity Log event schema per category.

アクティビティ ログで実行できることWhat you can do with the Activity Log

アクティビティ ログでは次のことを実行できます。Here are some of the things you can do with the Activity Log:

Azure アクティビティ ログ

Azure Portal でアクティビティ ログに対してクエリを実行するQuery the Activity Log in the Azure portal

Azure Portal のさまざまな場所でアクティビティ ログを表示できます。Within the Azure portal, you can view your Activity Log in several places:

  • [アクティビティ ログ]。左側のナビゲーション ウィンドウの [すべてのサービス] で [アクティビティ ログ] を検索してアクセスすることができます。The Activity Log that you can access by searching for the Activity Log under All services in the left-hand navigation pane.
  • [監視]。左側のナビゲーション ウィンドウに既定で表示されます。Monitor appears by default in the left-hand navigation pane. [アクティビティ ログ] は Azure Monitor のセクションの 1 つです。The Activity Log is one section of Azure Monitor.
  • ほとんどのリソース。たとえば、仮想マシンの構成ブレードです。Most resources, for example, the configuration blade for a Virtual Machine. アクティビティ ログは、ほとんどのリソース ブレードでセクションになっています。アクティビティ ログをクリックすると、そのリソースに関連するアクティビティ ログのイベントが自動的に絞り込まれます。The Activity Log is a section on most resource blades, and clicking on it automatically filters the events to those related to that specific resource.

Azure Portal では、次のフィールドでアクティビティ ログを絞り込むことができます。In the Azure portal, you can filter your Activity Log by these fields:

  • [期間] - イベントの開始時刻と終了時刻。Timespan - The start and end time for events.
  • [カテゴリ] - 前述のイベント カテゴリ。Category - The event category as described above.
  • [サブスクリプション] - 1 つまたは複数の Azure サブスクリプション名。Subscription - One or more Azure subscription names.
  • [リソース グループ] - サブスクリプション内の 1 つまたは複数のリソース グループ。Resource group - One or more resource groups within those subscriptions.
  • [リソース (名前)] - 特定のリソース名。Resource (name) - The name of a specific resource.
  • [リソースの種類] - リソースの種類 (Microsoft.Compute/virtualmachines など)。Resource type - The type of resource, for example, Microsoft.Compute/virtualmachines.
  • [操作名] - Azure Resource Manager 操作の名前 (Microsoft.SQL/servers/Write など)。Operation name - The name of an Azure Resource Manager operation, for example, Microsoft.SQL/servers/Write.
  • [重大度] - イベントの重大度レベル (情報、警告、エラー、重大)。Severity - The severity level of the event (Informational, Warning, Error, Critical).
  • [イベント開始者] - "呼び出し元"。つまり、操作を実行したユーザー。Event initiated by - The 'caller,' or user who performed the operation.
  • [Open search](検索を開く) - すべてのイベントのフィールド全体で、指定した文字列を検索するテキスト検索ボックスが開きます。Open search - This is an open text search box that searches for that string across all fields in all events.

フィルターのセットを定義した後は、Azure ダッシュボードにクエリをピン留めして、特定のイベントを常に監視できます。Once you have defined a set of filters, you can pin a query to your Azure dashboard to always keep an eye on specific events.

さらに強力な機能もあります。[ログ] アイコンをクリックすると、Log Analytics Activity Log Analytics ソリューションでアクティビティ ログ データを表示することができます。For even more power, you can click the Logs icon, which displays your Activity Log data in the Log Analytics Activity Log Analytics solution. [アクティビティ ログ] ブレードには基本的なログのフィルター/閲覧機能がありますが、Log Analytics を使用すると、より強力な方法でデータをピボット、クエリ、視覚化することができます。The Activity Log blade offers a basic filter/browse experience on logs, but Log Analytics enables you to pivot, query, and visualize your data in more powerful ways.

ログ プロファイルを使用してアクティビティ ログをエクスポートするExport the Activity Log with a Log Profile

ログ プロファイル は、アクティビティ ログをエクスポートする方法を制御します。A Log Profile controls how your Activity Log is exported. ログ プロファイルを使用して、以下を構成できます。Using a Log Profile, you can configure:

  • アクティビティ ログの送信先 (ストレージ アカウントまたは Event Hubs)Where the Activity Log should be sent (Storage Account or Event Hubs)
  • 送信するイベント カテゴリ (Write、Delete、Action)。Which event categories (Write, Delete, Action) should be sent. "ログ プロファイルでの "カテゴリ" の意味は、アクティビティ ログ イベントでの意味とは異なります。ログ プロファイルでの "カテゴリ" は、操作の種類 (Write、Delete、Action) を指します。アクティビティ ログ イベントでの "category" プロパティは、イベントのソースまたは種類 (Administration、ServiceHealth、Alert など) を指します。"The meaning of "category" in Log Profiles and Activity Log events is different. In the Log Profile, "Category" represents the operation type (Write, Delete, Action). In an Activity Log event, the "category" property represents the source or type of event (for example, Administration, ServiceHealth, Alert, and more).
  • エクスポートするリージョン (場所)。Which regions (locations) should be exported. アクティビティ ログのイベントの多くはグローバル イベントなので、"global" を含めてください。Make sure to include "global," as many events in the Activity Log are global events.
  • アクティビティ ログをストレージ アカウントに保持する期間。How long the Activity Log should be retained in a Storage Account.
    • リテンション期間が 0 日の場合、ログは永続的に保持されます。A retention of zero days means logs are kept forever. または、1 日から 2147483647 日の間の任意の日数を値として指定できます。Otherwise, the value can be any number of days between 1 and 2147483647.
    • リテンション ポリシーが設定されていても、ストレージ アカウントへのログの保存が無効になっている場合 (たとえば、Event Hubs または Log Analytics オプションだけが選択されている場合)、リテンション ポリシーは無効になります。If retention policies are set but storing logs in a Storage Account is disabled (for example, if only Event Hubs or Log Analytics options are selected), the retention policies have no effect.
    • 保持ポリシーは日単位で適用されるため、その日の終わり (UTC) に、保持ポリシーの期間を超えることになるログは削除されます。Retention policies are applied per-day, so at the end of a day (UTC), logs from the day that is now beyond the retention policy are deleted. たとえば、保持ポリシーが 1 日の場合、その日が始まった時点で、一昨日のログは削除されます。For example, if you had a retention policy of one day, at the beginning of the day today the logs from the day before yesterday would be deleted. 削除プロセスは午前 0 時 (UTC) に開始されますが、ストレージ アカウントからのログの削除には最大で 24 時間かかる可能性があるので注意してください。The delete process begins at midnight UTC, but note that it can take up to 24 hours for the logs to be deleted from your storage account.

ログを出力するサブスクリプションとは別のサブスクリプションで、ストレージ アカウントまたはイベント ハブ名前空間を使用できます。You can use a storage account or event hub namespace that is not in the same subscription as the one emitting logs. 設定を構成するユーザーは、両方のサブスクリプションに対して適切な RBAC アクセスを持っている必要があります。The user who configures the setting must have the appropriate RBAC access to both subscriptions.

注意

現在、セキュリティで保護された仮想ネットワークの背後にあるストレージ アカウントにデータをアーカイブすることはできません。You cannot currently archive data to a storage account that is behind a secured virtual network.

警告

ストレージ アカウント内のログ データの形式は、2018 年 11 月 1 日より JSON Lines に変更されます。The format of the log data in the storage account will change to JSON Lines on Nov. 1st, 2018. この記事では、この変更による影響と、新しい形式に対応するツールに更新する方法について説明します。See this article for a description of the impact and how to update your tooling to handle the new format.

ここに挙げた設定は、ポータルの [アクティビティ ログ] ブレードの [エクスポート] オプションで構成できます。These settings can be configured via the “Export” option in the Activity Log blade in the portal. さらに、Azure Monitor REST API、PowerShell コマンドレット、または CLI を使えば、プログラムを使って構成することもできます。They can also be configured programmatically using the Azure Monitor REST API, PowerShell cmdlets, or CLI. 1 つのサブスクリプションで使用できるログ プロファイルは 1 つだけです。A subscription can only have one log profile.

Azure Portal を使用したログ プロファイルの構成Configure log profiles using the Azure portal

Azure portal の [イベント ハブにエクスポート] オプションを使用して、アクティビティ ログを Event Hubs にストリーミングしたり、ストレージ アカウントに保存したりできます。You can stream the Activity Log to an Event Hub or store them in a Storage Account by using the “Export to Event Hub” option in the Azure portal.

  1. ポータルの左側のメニューを使用して、[アクティビティ ログ] に移動します。Navigate to Activity Log using the menu on the left side of the portal.

    ポータルの [アクティビティ ログ] に移動

  2. ブレードの上部にある [イベント ハブにエクスポート] ボタンをクリックします。Click the Export to Event Hub button at the top of the blade.

    ポータルの [エクスポート] ボタン

  3. ブレードが表示されたら、以下を選択できます。In the blade that appears, you can select:

    • イベントをエクスポートするリージョンregions for which you would like to export events
    • イベントの保存先となるストレージ アカウントthe Storage Account to which you would like to save events
    • ストレージでイベントを保持する日数。the number of days you want to retain these events in storage. 日数を 0 にした場合には、ログが永久に保持されます。A setting of 0 days retains the logs forever.
    • イベントのストリーミング用にイベント ハブを作成する Service Bus 名前空間。the Service Bus Namespace in which you would like an Event Hub to be created for streaming these events.

      [Export Activity Log (アクティビティ ログのエクスポート)] ブレード

  4. [保存] をクリックして設定を保存します。Click Save to save these settings. 設定はサブスクリプションにすぐに適用されます。The settings are immediately be applied to your subscription.

Azure PowerShell コマンドレットを使用したログ プロファイルの構成Configure log profiles using the Azure PowerShell Cmdlets

既存のログ プロファイルの取得Get existing log profile

Get-AzureRmLogProfile

ログ プロファイルの追加Add a log profile

Add-AzureRmLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action
プロパティProperty 必須Required 説明Description
NameName [はい]Yes ログ プロファイルの名前。Name of your log profile.
StorageAccountIdStorageAccountId いいえ No アクティビティ ログの保存先となるストレージ アカウントのリソース ID。Resource ID of the Storage Account to which the Activity Log should be saved.
serviceBusRuleIdserviceBusRuleId いいえ No Event Hubs を作成する Service Bus 名前空間の Service Bus 規則 ID。Service Bus Rule ID for the Service Bus namespace you would like to have event hubs created in. これは、{service bus resource ID}/authorizationrules/{key name} の形式の文字列です。Is a string with this format: {service bus resource ID}/authorizationrules/{key name}.
LocationLocation [はい]Yes アクティビティ ログ イベントを収集するリージョンのコンマ区切りリスト。Comma-separated list of regions for which you would like to collect Activity Log events.
RetentionInDaysRetentionInDays [はい]Yes イベントを保持する日数。1 ~2,147,483,647 の範囲。Number of days for which events should be retained, between 1 and 2147483647. 値が 0 の場合、ログは無期限に (いつまでも) 保存されます。A value of zero stores the logs indefinitely (forever).
CategoryCategory いいえ No 収集するイベント カテゴリのコンマ区切りリスト。Comma-separated list of event categories that should be collected. 指定できる値は、Write、Delete、Action です。Possible values are Write, Delete, and Action.

ログ プロファイルの削除Remove a log profile

Remove-AzureRmLogProfile -name my_log_profile

Azure CLI を使用したログ プロファイルの構成Configure log profiles Using the Azure CLI

既存のログ プロファイルの取得Get existing log profile

az monitor log-profiles list
az monitor log-profiles show --name <profile name>

name プロパティには、ログ プロファイルの名前を指定する必要があります。The name property should be the name of your log profile.

ログ プロファイルの追加Add a log profile

az monitor log-profiles create --name <profile name> \
    --locations <location1 location2 ...> \
    --location <location> \
    --categories <category1 category2 ...>

CLI でのモニター プロファイルの作成について詳しくは、CLI コマンド リファレンスをご覧ください。For the full documentation for creating a monitor profile with the CLI, see the CLI command reference

ログ プロファイルの削除Remove a log profile

az monitor log-profiles delete --name <profile name>

次の手順Next Steps