Azure Monitor Log でカスタマー マネージド ストレージ アカウントを使用する

通常、Azure Monitor はストレージを自動的に管理しますが、一部のシナリオでは、カスタマー マネージド ストレージ アカウントを構成する必要があります。 この記事では、Log Analytics ワークスペースへのカスタマー マネージド ストレージ アカウント リンクを設定するためのユース ケース、要件、および手順について説明します。

カスタマー マネージド ストレージ アカウントが必要なシナリオ
カスタム/IIS ログ インジェストに使用されるプライベート リンク
ログ アラート クエリと保存されたクエリのカスタマー マネージド キー (CMK) データ暗号化

カスタマー マネージド ストレージ アカウントにアップロードされたカスタム ログ コンテンツは、書式設定やその他の予期しない方法で変更される可能性があります。 このコンテンツへの依存関係を慎重に検討し、ユース ケースの特別な状況を理解してください。

[前提条件]

警告

2025 年 6 月 30 日より、 カスタム ログと IIS ログ のリンクされたストレージ アカウントの作成または更新は使用できなくなります。 既存のストレージ アカウントは、2025 年 11 月 1 日までにリンクが解除されます。 データの損失を回避するために、Azure Monitor エージェントに移行することを強くお勧めします。 詳細については、「Azure Monitor エージェントの概要」を参照してください。

警告

8 月 31 日から、Log Analytics ワークスペースには、保存されたクエリと保存されたログ アラート クエリのリンクされたストレージ アカウントを追加または更新するために、マネージド ID (MSI) が割り当てられている必要があります。 詳細については、「 ストレージ アカウントを Log Analytics ワークスペースにリンクする」を参照してください。

アクション	アクセス許可が必要
ワークスペースのリンクされたストレージ アカウントを管理する	Microsoft.OperationalInsights/workspaces/write - ワークスペーススコープ たとえば、組み込みのロールによって提供される例として、ログ アナリティクス共同寄稿者。
ワークスペースにマネージド ID を割り当てる	Microsoft.OperationalInsights/workspaces/write - ワークスペーススコープ たとえば、組み込みのロールによって提供される例として、ログ アナリティクス共同寄稿者。
ワークスペースのユーザー割り当てマネージド ID を管理する	Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - ID スコープ たとえば、組み込みロール、 マネージド ID オペレーター 、または マネージド ID 共同作成者によって提供されます。
ストレージ アカウントでのマネージド ID の最小アクセス許可	ストレージ テーブル データ共同作成者。

また、リンクされたストレージ アカウントは、ワークスペースと同じリージョンに存在する必要があります。

プライベート リンク

Azure Monitor リソースへの接続にプライベート リンクが使われている場合は、カスタム ログを取り込むためにカスタマー マネージド ストレージ アカウントが使われます。 これらのデータ型のインジェスト プロセスでは、最初に中間 Azure ストレージ アカウントにログをアップロードし、その後でのみ、ワークスペースに取り込みます。

ワークスペースの要件

プライベート リンクを介して Azure Monitor に接続する場合、Azure Monitor Agent からは、プライベート リンクを介してアクセスできるワークスペースにのみログを送信できます。 この要件は、次の作業を行う必要があることを意味します。

• Azure Monitor Private Link Scope (AMPLS) オブジェクトを構成します。
• お使いのワークスペースに接続します。
• プライベート リンクを介して、AMPLS をネットワークに接続する。

AMPLS の構成手順の詳細については、「Azure Private Link を使用して、ネットワークを Azure Monitor に安全に接続する」を参照してください。

プライベート リンクのストレージ アカウント要件

プライベート リンク経由で Azure Monitor に接続する場合、ストレージ アカウントにはプライベート リンク経由でアクセスできる必要があります。 この要件は、ストレージ アカウントがプライベート リンクに接続するために、次のことを行う必要があることを意味します。

• 仮想ネットワークまたはピアリングされたネットワーク上に存在し、プライベート リンクを介して仮想ネットワークに接続されていること。

• Azure Monitor によるストレージ アカウントへのアクセスが許可されていること。 選択したネットワークのみにストレージ アカウントへのアクセスを許可することにした場合は、例外 [信頼された Microsoft サービスによるこのストレージ アカウントに対するアクセスを許可] を選択します。

  

ワークスペースで他のネットワークからのトラフィックを処理する場合は、関連するネットワークまたはインターネットからの受信トラフィックを許可するように、ストレージ アカウントを構成します。

エージェントとストレージ アカウントの間で TLS バージョンを調整します。 TLS 1.2 以降を使用して Azure Monitor Logs にデータを送信することをお勧めします。 必要に応じて、TLS を使用するようにエージェントを構成します。 これが不可能な場合は、TLS 1.2 を受け入れるようにストレージ アカウントを構成します。

カスタマー マネージド キーのデータ暗号化

ストレージ アカウント内の保存データはすべて、Azure Storage によって暗号化されます。 既定では、Microsoft マネージド キー (MMK) を使用してデータは暗号化されます。 ただし、Azure Storage では、Azure Key Vault から取得した カスタマー管理キー (CMK) を使用してストレージ データを暗号化することもできます。 Key Vault に独自のキーをインポートするか、Key Vault API を使用してキーを生成します。

次の場合は、カスタマー マネージド ストレージ アカウントが必要です。

• CMK によるログアラート クエリの暗号化。
• CMK による保存されたクエリの暗号化。

Key Vault で CMK を使用するようにストレージ アカウントを構成します。 詳細については、「 Azure Storage のカスタマー マネージド キーを構成する」を参照してください。

CMK を使用したカスタマー マネージド ストレージに関する考慮事項

ストレージ アカウントとキー コンテナーは、同じリージョンに存在する必要があります。 ただし、同じサブスクリプションのユーザーである必要はありません。 詳細については、「保存データ向け Azure ストレージの暗号化」をご覧ください。

特例	是正措置
ストレージ アカウントが CMK を使用するクエリにリンクされている場合、ワークスペース内の既存の保存されたクエリと関数は、プライバシーのために完全に削除されます。	ストレージ リンクを構成する前に、既存の保存済みクエリをコピーします。 PowerShell の使用例を次に示します。
クエリ パックに保存されたクエリは、CMK では暗号化されません。	代わりに 、クエリを保存するときに [レガシ クエリとして保存] を選択して、CMK で保護します。
保存されたクエリとログ検索アラートは、既定ではカスタマー マネージド ストレージでは暗号化されません。	後で CMK を構成できる場合でも、ストレージ アカウントの作成時に CMK を使用してストレージ アカウントを暗号化します。
単一の StorageV2 ストレージ アカウントは、クエリ、アラート、カスタム ログ、IIS ログなど、あらゆる目的に使用できます。	カスタム ログと IIS ログのストレージをリンクするには、インジェストレートとストレージの制限に応じて、スケーリングのためにより多くのストレージ アカウント (ワークスペースあたり最大 5 つ) が必要になる場合があります。 カスタム ログと IIS ログのカスタマー マネージド ストレージはすべて、2025 年 11 月 1 日にリンク解除されることに注意してください。

ストレージ アカウントを Log Analytics ワークスペースにリンクする

次の要件は、2025 年 8 月 31 日以前に適用されます。

今後の要件	説明
ワークスペースに割り当てられたマネージド ID	マネージド ID が割り当てられていないときに、カスタマー マネージド ストレージ アカウントへの新しいリンクの作成は、既存のリンクの更新を含むすべてのワークスペースでブロックされます。
マネージド ID のロール割り当てで構成されたストレージ アカウント	ストレージ アカウントにマネージド ID のロールの割り当てがない場合、カスタマー マネージド ストレージ アカウントへの新しいリンクの作成は、既存のリンクの更新を含むすべてのワークスペースでブロックされます。

マネージド ID の作成

マネージド ID を使用してワークスペースを構成して、今後の適用変更に備えます。

その適用が行われるまで、ワークスペースはプライベート ストレージへの認証にマネージド ID を使用しません。 マネージド ID がプライベート ストレージへの認証に対して有効になっていることをお知らせするまで、既存の認証方法を削除しないでください。

次のいずれかの方法を使用して、マネージド ID でワークスペースを作成または更新します。

• Azure portal Log Analytics ワークスペースの ID 設定
• 二頭筋
• REST API。
• Azure CLI。

詳細については、「Azure リソース用マネージド ID とは」を参照してください。

ロールの割り当てを追加する

マネージド ID がワークスペースに割り当てられたら、マネージド ID へのアクセスを許可するようにストレージ アカウントを更新します。 その ID をストレージ アカウントの ストレージ テーブル データ共同作成者 ロールに割り当てて、ワークスペースが保存されたクエリとログ アラート クエリにアクセスできるようにします。 マネージド ID の割り当てとユーザー割り当て ID の管理に必要なアクセス許可に注意してください。

リンクを追加する

Azure Portal

Azure portal で、ワークスペースのメニューを開き、[リンクされたストレージ アカウント] を選択します。 種類ごとにリンクされたストレージ アカウントが表示されます。

[種類] または [接続] アイコンを選択すると、ストレージ アカウントのリンクの詳細が開き、この種類のリンクされたストレージ アカウントが設定または更新されます。 複雑さを軽減するには、複数の種類に同じストレージ アカウントを使用します。

Azure CLI

詳細については、「 Azure CLI を使用してリンクされたストレージ アカウントを構成する」を参照してください。

指定できる dataSourceType 値は次のとおりです。

• CustomLogs: カスタム ログと IIS ログの取り込みにストレージ アカウントを使用します。 カスタム ログと IIS ログのカスタマー マネージド ストレージはすべて、2025 年 11 月 1 日にリンク解除されることに注意してください。
• Query: ストレージ アカウントを使用して保存されたクエリを格納します (CMK 暗号化に必要)。
• Alerts: ストレージ アカウントを使用してログベースのアラートを格納します (CMK 暗号化に必要)。

REST API

詳細については、「 REST API を使用してリンクされたストレージ アカウントを構成する」を参照してください。

指定できる dataSourceType 値は次のとおりです。

• CustomLogs: カスタム ログと IIS ログの取り込みにストレージ アカウントを使用します。 カスタム ログと IIS ログのカスタマー マネージド ストレージはすべて、2025 年 11 月 1 日にリンク解除されることに注意してください。
• Query: ストレージ アカウントを使用して保存されたクエリを格納します (CMK 暗号化に必要)。
• Alerts: ストレージ アカウントを使用してログベースのアラートを格納します (CMK 暗号化に必要)。

リンクされたストレージ アカウントを管理する

このガイダンスに従って、リンクされたストレージ アカウントを管理します。

リンクを作成または変更する

ストレージ アカウントをワークスペースにリンクすると、Azure Monitor Logs ではサービスによって所有されているストレージ アカウントの代わりにそのアカウントが使用されるようになります。 次のようにすることができます。

• 複数のストレージ アカウントを登録して、ログ間で負荷を分散します。
• 複数のワークスペースに同じストレージ アカウントを再利用します。

ストレージ アカウントのリンクを解除する

ストレージ アカウントの使用を停止するには、ワークスペースからストレージのリンクを解除します。 ワークスペースからすべてのストレージ アカウントのリンクを解除すると、Azure Monitor ログではサービスマネージド ストレージ アカウントが使用されます。 ネットワークでインターネットへのアクセスが制限されている場合、これらのストレージ アカウントが使用できない可能性があり、ストレージに依存するシナリオはすべて失敗します。

ストレージ アカウントを置換する

インジェストに使用されるストレージ アカウントを置き換えるには、次の手順を実施します。

1. 新しいストレージ アカウントへのリンクを作成します。 ログ エージェントは、更新された構成を取得し、新しいストレージへのデータの送信を開始します。 このプロセスには数分かかることがあります。
2. 古いストレージ アカウントのリンクを解除して、エージェントが削除されたアカウントへの書き込みを停止します。 データがこのアカウントからすべて取り込まれるまで、取り込みプロセスでデータを読み取り続けます。 すべてのログが取り込まれるまでは、ストレージ アカウントを削除しないでください。

ストレージ アカウントを維持する

このガイダンスに従って、ストレージ アカウントを維持します。

ログの保持期間を管理する

独自のストレージ アカウントを使用する場合、保持期間はユーザーが設定します。 Azure Monitor ログでは、プライベート ストレージに格納されているログは削除されません。 代わりに、ユーザー設定に従って負荷を処理するポリシーを設定する必要があります。

負荷を考慮する

ストレージ アカウントは、読み取り要求と書き込み要求を受け付ける際、一定の負荷に達するとリクエストを制限し始めます。 詳細については、Azure Blob Storage のスケーラビリティとパフォーマンスのターゲットに関する記事を参照してください。

スロットリングが発生すると、ログの取り込みにかかる時間に影響します。 ストレージ アカウントが過負荷になっている場合は、別のストレージ アカウントを登録し、負荷を分散します。 ストレージ アカウントの容量とパフォーマンスを監視するには、Azure portal での分析情報に関する記事を確認します。

関連料金

ストレージ アカウントには、格納されているデータの量、ストレージの種類、冗長性の種類に基づいて課金されます。 詳細については、ブロック BLOB の価格に関するページと Azure Table Storage の価格に関するページを参照してください。

次のステップ

• Private Link を使用して、ネットワークを Azure Monitor に安全に接続する方法を確認する。
• Azure Monitor のカスタマー マネージド キーについて確認する。