Azure ADにはサインインや操作等の様々なログが記録されます。
このログはAzure ADのライセンスの種類によって保存期間が異なります。
企業によっては監査等の目的でログを長期間保存しなければならない場合があります。
そのため、長期間保存するためには保存場所を変更しなければなりません。
保存場所には下記サービスが利用可能です。
- Log Analytics
- ストレージアカウント
- イベントハブ
今回はAzure ADのログを「Log Analytics」に保存する方法を紹介します。
1.Azure ADログの種類と保存期間
Azure ADには下記の代表的なログがあります。
- サインインログ:サインインとユーザーのリソース使用状況
- 監査ログ:ユーザーやグループ管理、リソース更新など、テナントに適用された変更に関する情報
- プロビジョニングログ:プロビジョニング連携したSaaSアプリ等のユーザー作成や更新等のアクティビティ
- Azure AD MFA の使用状況:多要素認証(MFA)の使用状況
- リスクのあるユーザー:Identity Protectionの危険なユーザーに関する情報
- リスクの高いサインイン:Identity Protectionのサインインリスクに関する情報
上記ログの保存期間は既定では下記のとおりです。
| ログおよびレポート | Azure AD Free | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|
| サインインログ | 7日 | 30日 | 30日 |
| 監査ログ | 7日 | 30日 | 30日 |
| プロビジョニングログ | 7日 | 30日 | 30日 |
| Azure AD MFA の使用状況 | 30日 | 30日 | 30日 |
| リスクのあるユーザー | 7日 | 30日 | 90日 |
| リスクの高いサインイン | 7日 | 30日 | 90日 |
2.Log Analyticsの作成
1.Azureポータルにログインします。
2.「Log Analytics」を開き、「作成」をクリックします。
3.任意のリソースグループや名前、リージョンを設定し、「次:価格レベル」をクリックします。
4.「価格レベル」を指定し、「次:タグ」をクリックします。
※価格レベルの選択しは1つしかありませんでした (2021/10/01現在)
5.任意のタグを指定し、「次:確認および作成」をクリックします。
6.「作成」をクリックします。
7.デプロイが完了したことを確認します。
3.Azure ADの診断設定
1.Azure AD管理センターを開きます。
2.「診断設定」-「診断設定を追加する」をクリックします。
3.下記の通り設定し、「保存」をクリックします。
- 診断設定の名前:任意の名前
- log:保存するログを選択
- 宛先の詳細:作成したLog Analyticsを選択
4.診断設定が追加されたことを確認します。
5.「Log Analytics」をクリックし、ログに対してクエリを実行出来るようになったことを確認します。
Azure ADのログをLog Analyticsに保存する方法は以上です。
コメント