Microsoft Azure環境のログや監視の基本情報を紹介しています。IaaSやPaaSでAzrue基盤側からどんなログが出力されるか、基本機能でどこまで監視やアラート発報が可能か網羅的に知りたい方向けです。

1. Azure環境の監視とログ
Azure 標準機能＋Log Analytics

2. 本資料は情報提供のみを目的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソ
フトの見解を示したものです。
状況等の変化により、内容は変更される場合があります。
本資料に表記されている内容（提示されている条件等を含みます）は、貴社との有効な契約を通じて決定さ
れます。
それまでは、正式に確定するものではありません。従って、本資料の記載内容とは異なる場合があります。
また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。
貴社の最終的な購入価格は、貴社のリセラー様により決定されます。
マイクロソフトは、本資料の情報に対して明示的、黙示的または法的な、いかなる保証も行いません。

3. お伝えしたい事
Azure環境の管理者と権限
Azure 標準機能によるリソース監視
Azure Log Analytics について

4. Azure環境管理者
ログインログ
Azure環境に対する操作ログ

6. 認証成功

7. https://azure.microsoft.com/ja-jp/pricing/details/active-directory/

8. https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
Enterprise Mobility + Security E3 ライセンスには、Azure
Active Directory Premium P1 が付属し、Enterprise Mobility +
Security E5 ライセンスには、Azure Active Directory Premium
P2 が付属します。

9. ログ種類 ログ内容 必要ライセンス 外部連携
サイインログ Azure AD 認証ログ Premium P1 or Premium P2 REST API
監査ログ Azure ADの管理操作 無償~ REST API
AAD IPログ Identity Protection ログ Premium P2 REST API (Microsoft Graph)
PIMログ Privileged Identity Protection ログ Premium P2 REST API (Microsoft Graph)
ARMの特権管理ログはAzure Activity logに出力される(Preview)
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-azure-portal

10. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-retention

11. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-faq
Q: Azure Portal からレコードをいくつまでダウンロードすることができますか。
A: レコードは Azure Portal で 12 万個までダウンロードできます。
レコードは最新の順に並べ替えられており、既定では最新の 12 万個のレコードを取得します。
Q: アクティビティ API を通じてクエリできるレコードは何個までですか。
A: レコードは 100 万個まで照会できます (レコードを最新の順に並べ替える top 演算子を使用しない場
合)。 “top” 演算子を使用する場合、レコードは 50 万個までクエリできます。

12. https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-api-getting-started-azure-portal

13. {
"id":"80163","signinDateTime":"2018-02-16T05:32:53.4332407Z",
"signinDateTimeInMillis":1518759173433,“userDisplayName":"¥u793e",
"userPrincipalName":"user1@xxx.xxx.com","userId":“xxxxxxxx","appId":“xxxxxxxx",
"appDisplayName":"Azure Portal","ipAddress":"36.xx.xx.xx ","loginStatus":"Success",
"deviceInformation":";Windows 10;Chrome 64.0;","geoCoordinates":{
"latitude":35.649631500244141,"longitude":139.55155944824219
},"location":{
"city":"Tokyo","state":"Tokyo","country":"Japan"
},"signinErrorCode":0,"failureReason":null,"mfaResult":"Multi-factor authentication requirement satisfied by claim in
the token","mfaRequired":true,"mfaAuthMethod":null,"mfaAuthDetail":null,"dataSource":1
}

14. https://graph.windows.net/$tenantdomain/activities/auditActivityTypes?api-version=beta
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-reporting-api-getting-started-azure-portal

15. {
"id":"HK11","activityType":"User","correlationId":"de",
"internalCorrelationId":null,"tenantId":"6f9",
"tenantGeolocation":null,"tenantName":null,"domainName":null,
"activityOperationType":"Update","activityResultStatus":"Success",
"activityResultDescription":"","activity":"Change user license",
"activityDate":"2018-03-07T13:40:24.3221275Z",
"activityDateInMillis":1520430024322,"componentOrSource":null,
"actor":{
"@odata.type":"#Microsoft.ActiveDirectory.DataService.PublicApi.Model.Reporting.AuditLog.ActorUserEntity",
"objectId":"c26","name":null,"servicePrincipalName":null,"ipAddress":"<null>",
"userPrincipalName":“hogehoge@hogehoge.local","puid":"10"
},"actorType":"User","targets":[
],"category":"Core Directory","source":null,"additionalDetails":[
]
}

16. 16
効果：ID のなりすましを検出し、ID を保護できる
Azure Active Directory Identity Protection (Azure AD IP)

18. https://developer.microsoft.com/en-us/graph/docs/api-reference/beta/resources/identityprotection_root
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-identityprotection-graph-getting-started
{ "@odata.type": "#microsoft.graph.unfamiliarLocationRiskEvent",
"id": "FL-T00:00",
"riskEventStatus": "active",
"riskLevel": "medium",
"riskEventType": "UnfamiliarLocationRiskEvent",
"riskEventDateTime": "2018-01-30T23:46:47.6417679Z",
"closedDateTime": null,
"createdDateTime": "2018-01-31T00:01:28.0641296Z",
"userId": "c5c1",
"userDisplayName": “hogehoge",
"userPrincipalName": “hogehoge@hogehoge.com",
"location": { "city": "Seattle", "state": "WA",
"countryOrRegion": "United States",
"geoCoordinates": { "latitude": 47. 95, "longitude": -122. 36 }
}, "ipAddress": "24.75.xx.xx" }

19. 特権を持つユーザーの可視化
永続化 延長
棚卸（レビュー）
有効時間
設定
削除
特権保有者を健全な状態に維持

24. https://developer.microsoft.com/en-us/graph/docs/api-reference/beta/api/privilegedoperationevent_list
https://msdn.microsoft.com/library/azure/dn931934.aspx
{
"id": "201803",
"userId": "8003cc3",
"userName": "社員 1号",
"userMail": “hogehoge@hogehoge.com",
"roleId": "62",
"roleName": "Global Administrator",
"expirationDateTime": "0001-01-01T00:00:00Z",
"creationDateTime": "3/8/2018 1:11:29 PM",
"requestorId": "6b6",
"requestorName": "Azure AD PIM",
"tenantId": "6",
"requestType": "Deactivate",
"additionalInformation": "Expired",
"referenceKey": "",
"referenceSystem": ""
},
{
"id": "CH3",
"activityType": "Role",
"correlationId": "52f5",
"internalCorrelationId": null,
"tenantId": "6",
"tenantGeolocation": null,
"tenantName": null,
"domainName": null,
"activityOperationType": "Unassign",
"activityResultStatus": "Success",
"activityResultDescription": "",
"activity": "Remove member from role",
"activityDate": "2018-03-08T04:11:29.0638431Z",
"activityDateInMillis": 1520482289063,
"componentOrSource": null,
"actor": {
"@odata.type":
"#Microsoft.ActiveDirectory.DataService.PublicApi.Model.Reporting.AuditLog.ActorApplicationEntity",
"objectId": "12",
"name": "MS-PIM",
"servicePrincipalName": null
}

26. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview#basic-monitoring

27. https://docs.microsoft.com/ja-jp/azure/security/azure-log-audit

28. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-of-diagnostic-logs
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-activity-logs

29. https://azure.microsoft.com/ja-jp/pricing/details/monitor/
1 つのサブスクリプションにつき、メトリックのアラートは 100 個、アクティビティ ログのアラートは
100 個、アクション グループは 10 個までに制限されます。
この上限を増やすには Azure サポートへお問い合わせください。

31. https://blogs.technet.microsoft.com/jpaztech/2017/09/15/maintenance_notification/
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-activity-logs#categories-in-the-activity-log

32. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-activity-logs#categories-in-the-activity-log

33. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-activity-logs#categories-in-the-activity-log

34. ■ITSMサポート対象
ServiceNow
System Center Service Manager
Provance
Cherwell
https://docs.microsoft.com/en-us/azure/log-
analytics/log-analytics-itsmc-overview

35. https://docs.microsoft.com/ja-jp/azure/event-grid/monitor-virtual-machine-changes-event-grid-logic-app
https://docs.microsoft.com/ja-jp/azure/event-grid/event-schema

37. https://feedback.azure.com/forums/287593-logic-apps
https://docs.microsoft.com/ja-jp/connectors/
https://docs.microsoft.com/ja-jp/connectors/custom-connectors/

38. • 概要(Power Shell, Azure CLI, REST API
• https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-group-audit

41. https://blogs.technet.microsoft.com/jpaztech/2017/09/15/maintenance_notification/
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-activity-logs#categories-in-the-activity-log

42. https://docs.microsoft.com/ja-jp/azure/service-health/service-health-overview

46. https://docs.microsoft.com/ja-jp/azure/service-health/resource-health-overview
https://docs.microsoft.com/ja-
jp/azure/service-health/resource-
health-checks-resource-types

49. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-diagnostic-logs-schema
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/azure-diagnostics
Azure診断（拡張診断ログ）サポートは、Azure Cloud Service Web および Worker ロール、Microsoft Windows を実行している Azure Virtual Machines、
および Service Fabricです。 LinuxのVMは基本メトリックとSyslogのサポートとなります。

51. {"time": "2018-03-03T07:41:27.8370000Z",
"systemId": "d4c79958-2269-41af-9684",
"category": "NetworkSecurityGroupEvent",
"resourceId": "/SUBSCRIPTIONS/{}8/RESOURCEGROUPS/AUTOMANAGEMENT/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/LA-2016-AZURE-NSG",
"operationName": "NetworkSecurityGroupEvents",
"properties": {"vnetResourceGuid":"{EDAD4797-BF71-4413-AEE6-B36D8B38A3AD}","subnetPrefix":"10.0.0.48/28","macAddress":"00-0D-3A-40-C1-9A",
"primaryIPv4Address":"10.0.0.52","ruleName":"UserRule_Port_Any","direction":"In","priority":2000,"type":"block",
"conditions":{"sourcePortRange":"0-65535","destinationPortRange":"0-65535",
"sourceIP":"172.16.0.0/16","destinationIP":"0.0.0.0/0"}}
}

53. CPU利用率、実行数、待ち時間、消費容量など、
様々な指標のAzureリソースのパフォーマンスカウンター
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-overview-metrics

54. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/monitoring-supported-metrics
https://docs.microsoft.com/ja-jp/powershell/module/azurerm.insights/Get-AzureRmMetricDefinition?view=azurermps-5.4.0
https://docs.microsoft.com/ja-jp/cli/azure/monitor/metrics?view=azure-cli-latest#az_monitor_metrics_list_definitions
https://docs.microsoft.com/ja-jp/rest/api/monitor/metricdefinitions/list
name": {
"value": "RunsStarted",
"localizedValue": "Runs Started"
},
"isDimensionRequired": false,
"unit": "Count",
"primaryAggregationType": "Total",
"metricAvailabilities": [
"@{timeGrain=PT1M; retention=P93D}",
"@{timeGrain=PT1H; retention=P93D}"
]

57. https://docs.microsoft.com/ja-jp/powershell/module/azurerm.insights/Get-
AzureRmMetric?view=azurermps-5.4.0
https://docs.microsoft.com/ja-jp/cli/azure/monitor/metrics?view=azure-cli-
latest#az_monitor_metrics_list
https://docs.microsoft.com/ja-jp/rest/api/monitor/metrics/list

59. • リソースグループ内のネットワークトポロジをグラフィカルに表示、SVG形式でのダウンロード
パケットキャプチャ
• NSGフローログ機能（NSGで許可された、拒否されたログをBlock blobに保存、アクセス元IP情報有）
（Preview)
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-monitoring-overview

61. https://azure.microsoft.com/ja-jp/pricing/details/network-watcher/

63. OS
サービス/プロセス
OS
監視ソフト監視

65. 時間指定でのログ削除サンプル
https://blogs.technet.microsoft.com/jpaztech/2017/10/17/clearoutazuretablestorageentity_arm/
メトリック(1分間隔)
無償:30日保存

66. https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/azure-diagnostics
https://blogs.technet.microsoft.com/jpaztech/2016/12/07/azure-virtualmachine-diagnostics/
https://blogs.technet.microsoft.com/jpaztech/2017/02/07/collectdump/
時間指定でのログ削除サンプル
https://blogs.technet.microsoft.com/jpaztech/2017/10/17/clearoutazuretablestorageentity_arm/
メトリック(1分間隔)
無償:30日保存

68. Application Insights への送信
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/azure-diagnostics-configure-application-insights
Evet Hubsへの送信
https://docs.microsoft.com/ja-jp/azure/monitoring-and-diagnostics/azure-diagnostics-streaming-event-hubs
Windows VMのみ機能豊富

69. Log AnalyticsからのEvent log, Syslog収集（収集対象は以下を参照）
https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-azure-storage-iis-table

72. インターネット Log Analyticsとは？

73. Azure Automationの
Run Bookは
PowerShell/Pythonで記述

74. https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-concept-hybrid#prerequisites
Windows Server 2008 Service Pack 1 (SP1) 以降
Windows 7 SP1 以降
Amazon Linux 2012.09 ～ 2015.09 (x86/x64)
CentOS Linux 5、6、および 7 (x86/x64)
Oracle Linux 5、6、および 7 (x86/x64)
Red Hat Enterprise Linux Server 5、6、および 7 (x86/x64)
Debian GNU/Linux 6、7、および 8 (x86/x64)
Ubuntu 12.04 LTS、14.04 LTS, 16.04 LTS (x86/x64)
SUSE Linux Enterprise Server 11 および 12 (x86/x64)

75. https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-concept-hybrid#prerequisites

76. East US
West Europe
Southeast Asia
Australia Southeast
West Central US
Japan East
UK South
Central India
Canada Central
https://azure.microsoft.com/ja-jp/regions/services/
https://azure.microsoft.com/ja-jp/pricing/details/log-analytics/
https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-add-solutions#offers-and-pricing-tiers
4リージョン

77. ライセンス Free Stand Alone Per Node
最大保存期間 7日間 30日 – 730日
1日単位で設定可
30日 – 730日
1日単位で設定可
最大容量 500 MB/日 無制限 無制限
価格（月額） 無料 257.60円/GB
1ヶ月のログ保存
1,680円/ノード
500MB/日、最大1ヶ月のログ保存権付
1日500MBのログであれば追加料金は発生しません
ログ容量が500MB/日を超えると、
超過容量分に対して257.6円/GB
の課金が発生します
価格(追加保存) - 2ヵ月目以降、保存期間に応じて毎月11.2円/GBの課金
https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-add-
solutions#offers-and-pricing-tiers

78. Azure Activity logなど、ノード課金でないログも、この 1000 MBの権利の中で利用可能

79. https://azure.microsoft.com/ja-jp/pricing/details/insight-analytics/
https://azure.microsoft.com/ja-jp/pricing/details/security-compliance/

80. https://azure.microsoft.com/ja-jp/pricing/details/automation/

81. Preview提供中のソリューションは、
必要ライセンスが変更になる可能性
があります。

82. https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-add-solutions

83. https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-add-solutions#data-collection-details

86. Hyper-Vホスト、PaaS基盤の場合のパッチ
適用や必要なメンテナンス作業は
Microsoft側が実施します。

87. https://docs.microsoft.com/ja-jp/azure/automation/automation-update-management

90. https://docs.microsoft.com/ja-jp/azure/automation/automation-vm-inventory

91. https://docs.microsoft.com/ja-jp/azure/automation/automation-vm-inventory
X Y
Azure VMはLog料金以外かかりません
Azure以外は月額672円/1台
https://azure.microsoft.com/ja-jp/pricing/details/automation/

94. 指定したVMに特定エンドポイント
監視をさせる事が可能
Log Analytics対応のOSであれば
Azure上のVM以外でも対応可能

97. https://docs.microsoft.com/ja-jp/azure/operations-management-suite/operations-management-suite-service-map-configure#supported-operating-systems
Log Analytics作成場所が日本だと利用できません
Log Analyticsがあるリージョン関係なく、Azure VMはMicrosoft内部閉域で通信可能です
但し、VNetへの強制トンネル設定時は経路に注意してください

98. まとめ
Azure標準機能でかなりできる
Log保存やAlert連携先は集約
Log Analyticsが便利で高機能

99. © 2015 Microsoft Corporation. All rights reserved.