アクティビティログの診断設定やLog Analyticsワークスペースでの検索方法
アクティビティログ(Azure Monitor Activity Log)の診断設定手順や、Log Analyticsワークスペースでのアクティビティログ検索方法です。
Azureで発生したイベント(リソースの作成、変更、削除や起動・停止の操作など)は、アクティビティログに出力されます。
診断設定を利用すると、アクティビティログをLog Analyticsワークスペースへ転送することができます。
外部リソースへ転送することで、ログ自体を長期保管したり、複数のサブスクリプションやテナントのアクティビティログをまとめて閲覧することができます。
今回はアクティビティログの確認方法、診断設定を使ったLog Analyticsワークスペースへの転送設定手順、KQLを使ったアクティビティログの検索例について紹介します。
※本記事では、Azure Monitor Activity Logをアクテビティログとして表記しています。
※本記事では、Azure Virtual Machines(Azure VM)を仮想マシンとして表記しています。
アクティビティログの確認方法や診断設定手順
Azure Portalでアクティビティログを確認
アクティビティログはAzure Portalで確認できます。
各リソースのアクティビティログのメニューやモニターにあるアクティビティログで確認できます。
リソースのアクティビティログで確認した場合は、該当のリソースのみが表示されるようにフィルターされています。
| アクティビティログの表示例 | |
|
モニターのアクティビティログ |
|
|
仮想マシンのアクティビティログ
|
Azure CLIやPowerShellでもアクティビティログは確認できる
Azure CLIやPowerShellを使って、アクティビティログを取得できます。
Azure PowerShellの場合は"Get-AzLog"を利用します。
Azure CLIの場合は"az monitor activity-log"を利用します。
アクティビティログを表示する場合は"az monitor activity-log list"を使用します。
アクティビティログをAzure Monitorのログで確認
アクティビティログのメニューでもフィルターや検索がありますが、細かい検索機能はありません。
Azure モニターにあるログのメニューを選択すると、Log Analyticsワークスペースのログの画面が表示されます。
KQLクエリを使ってアクティビティログを検索できます。
| アクティビティログを表示 | |
|
左側のメニューでログを選択します。 |
 |
 |
|
※新しい Log Analyticsの画面を利用しています。
アクティビティログ保管期間は90日間だが診断設定を使って延長できる
アクティビティログはAzureプラットフォームで保管されます。
Azureプラットフォームでの保管期間は90日です。
Log Analyticsワークスペースやストレージアカウントへ転送する事で、アクティビティログの保管期間を延ばせます。
対話型保持(検索可能な状態)では最大2年、アーカイブを利用すると最大12年間保持できます。
Log Analyticsワークスペース、ストレージアカウント、Event Hub等の外部リソースにアクティビティログを転送する場合は、診断設定を利用します。
アクティビティログの診断設定の手順
診断設定を使ってアクティビティログを外部リソースへ転送します。
今回はLog Analyticsワークスペースへ転送します。
Log Analyticsワークスペースは事前に準備しておいたものを利用しています。
| アクティビティログの診断設定 | |
| モニターのメニューでアクティビティログを選択します。 診断設定を選択します。 |
 |
|
アクティビティログの診断設定画面が表示されます。 |
 |
|
転送対象のアクティビティログのカテゴリを選択します。 アクティビティログのカテゴリの詳細については、公式サイトを参照してください。
|
 |
 |
|
※診断設定先に指定したLog Analyticsワークスペースの課金が発生します。課金額はアクティビティログの転送量によります。
※転送開始されるまでには5分~10分ほど待つ必要があります。
アクティビティログの診断設定を削除
アクティビティログの診断設定の削除手順です。
| アクティビティログの診断設定を削除 | |
| 診断設定で設定の編集を選択します。 | |
|
アクティビティログの診断設定画面が表示されます。 |
 |
Log Analyticsワークスペースの作成手順やKQLクエリについてはこちらで紹介しています。
https://www.tama-negi.com/2021/08/04/azure-loganalytics-begi...—広告—
Log Analyticsワークスペースでアクティビティログを検索、表示
クエリのスコープ設定
Log AnalyticsワークスペースでKQLクエリを実行する際に、検索対象のスコープを設定できます。
※新しいLog Analyticsの画面を利用した場合です。
| スコープ設定 | |
| クエリタブにスコープ設定があります。 範囲を選択します。 今回はサブスクリプションを選択しています。 |
 |
 |
|
Log Analyticsワークスペースでアクティビティログを表示
Log Analyticsワークスペースでアクティビティログを表示します。
診断設定でアクティビティログ転送先に指定した、Log Analyticsワークスペースを選択します。
アクティビティログの表示は、簡易モードとKQLモードで確認しています。
| アクティビティログを表示 | |
|
LogManagementにAzureActivityという項目が表示されます。 クエリに"AzureActivity"と入力して実行すると、転送されたアクティビティログをすべて表示することができます。 |
簡易モード時
|
|
KQLモード時
|
|
※表示項目は列を選択することで指定することが可能です。KQLクエリ内で指定する場合は、projectを使用します。
仮想マシン起動、停止時のアクティビティログを検索
Log Analyticsワークスペースでアクティビティログを検索します。
今回は仮想マシンの起動、停止(割り当て解除)時のアクティビティログを確認します。
-
- 仮想マシン起動時のOperartionName
- “MICROSOFT.COMPUTE/VIRTUALMACHINES/START/ACTION"
- 仮想マシン停止時(割り当て解除時)のOperartionName
- “MICROSOFT.COMPUTE/VIRTUALMACHINES/DEALLOCATE/ACTION"
- 仮想マシン起動時のOperartionName
簡易モード、KQLモードどちらを使っても検索できます。
| アクティビティログの検索 | ||
| 仮想マシンの左側のメニューでアクティビティログを選択します。 Start Virtual Machineのアクティビティログ表示し内容を確認します。 JSONタブを開くとアクティビティログの詳細が確認できます。 OperartionNameと言う項目に仮想マシンの操作内容が含まれています。 |
 |
|
|
フィルターの追加を選択します。 MICROSOFT.COMPUTEが仮想マシンに関するアクティビティログです。チェックを入れて絞り込みます。
|
 |
|
 |
||
 |
||
|
次に特定の仮想マシンに絞り込みます。
|
 |
|
 |
||
|
KQLモードにすると、クエリの内容を確認できます。 |
 |
|
|
KQLサンプル(仮想マシン(test-vm-01)起動、停止に関するアクティビティログ)
|
||
※Authorizationにはアクションやリソースの情報が含まれています。Azure Monitorでアラートルールを設定した場合は、Authorizationの内容が表示されます。
KQLクエリでリソースIDからリソース名を抽出する方法については、こちらで紹介しています。
仮想マシンの起動、停止、作成時のアクティビティログについては、こちらで紹介しています。
Log Analyticsワークスペースの削除手順については、こちらの記事で紹介しています。
最後に
今回はAzureアクティビティログの診断設定手順や、Log Analyticsワークスペースでのアクティビティログ検索方法について確認しました。
仮想マシンの起動や停止を例に検索手順を確認しています。
Log Analyticsワークスペースには簡易モードもあり、比較的簡単に検索することができました。
引き続き、いろいろ試してみたいと思います。