Azure Monitor の Microsoft Purview メトリック

  • [アーティクル]

この記事では、Azure Monitor を使用して Microsoft Purview のメトリック、アラート、診断設定を構成する方法について説明します。

Microsoft Purview を監視する

Microsoft Purview 管理者は、Azure Monitor を使用して、Microsoft Purview アカウントの運用状態を追跡できます。 メトリックは、潜在的な問題を追跡し、トラブルシューティングを行い、Microsoft Purview アカウントの信頼性を向上させるためのデータ ポイントを提供するために収集されます。 メトリックは、Microsoft Purview で発生するイベントに対して Azure モニターに送信されます。

集計メトリック

メトリックには、Microsoft Purview アカウントのAzure portalからアクセスできます。 メトリックへのアクセスは、Microsoft Purview アカウントのロール割り当てによって制御されます。 メトリックを表示するには、ユーザーが Microsoft Purview の "監視閲覧者" ロールの一部である必要があります。 ロールのアクセス レベルの詳細については、「 閲覧者ロールの監視」のアクセス許可 に関するページを参照してください。

Microsoft Purview アカウントを作成したユーザーは、メトリックを表示するためのアクセス許可を自動的に取得します。 他のユーザーがメトリックを表示する場合は、次の手順に従って、 それらを監視閲覧者 ロールに追加します。

監視閲覧者ロールにユーザーを追加する

監視閲覧者ロールにユーザーを追加するには、Microsoft Purview アカウントの所有者またはサブスクリプション所有者は、次の手順に従います。

  1. Azure portalに移動し、Microsoft Purview アカウント名を検索します。

  2. [ アクセス制御 (IAM)] を選択します

  3. [ロールの割り当ての追加]> を選択して、[ロールの割り当ての追加] ページを開きます。

  4. 次のロールを割り当てます。 詳細な手順については、「Azure portalを使用して Azure ロールを割り当てる」を参照してください。

    設定
    役割 監視リーダー
    へのアクセスの割り当て ユーザー、グループ、またはサービス プリンシパル
    メンバー <Azure AD アカウント ユーザー>

    Azure portalの [ロールの割り当ての追加] ページを示すスクリーンショット。

メトリックの視覚化

監視閲覧者ロールのユーザーは、Azure Monitor に送信された集計メトリックと診断ログを確認できます。 メトリックは、対応する Microsoft Purview アカウントのAzure portalに一覧表示されます。 Azure portalで、[メトリック] セクションを選択して、使用可能なすべてのメトリックの一覧を表示します。

[使用可能な Microsoft Purview メトリック] セクションを示すスクリーンショット。

Microsoft Purview ユーザーは、Microsoft Purview アカウントの管理センターから直接メトリック ページにアクセスすることもできます。 Microsoft Purview 管理センターの [メイン] ページで [Azure Monitor] を選択して、Azure portalを起動します。

管理センターから Microsoft Purview メトリックを起動するスクリーンショット。

使用可能なメトリック

Azure portalのメトリック セクションの使用方法を理解するには、次の 2 つのドキュメントを事前に読んでください。 メトリック エクスプローラーのメトリック エクスプローラー高度な機能の概要。

次の表に、Azure portalで探索できるメトリックの一覧を示します。

メトリック名 メトリック名前空間 集計の種類 説明
データ マップ容量ユニット エラスティック データ マップ Sum
カウント		 一定期間のエラスティック データ マップ容量ユニットを集計する
データ マップのストレージ サイズ エラスティック データ マップ Sum
Avg		 エラスティック データ マップのストレージ サイズを一定期間にわたって集計する
スキャンが取り消されました 自動スキャン Sum
カウント		 取り消されたデータ ソース スキャンを一定期間にわたって集計する
スキャンが完了しました 自動スキャン Sum
カウント		 完了したデータ ソース スキャンを一定期間にわたって集計する
スキャンに失敗しました 自動スキャン Sum
カウント		 一定期間に失敗したデータ ソース スキャンを集計する
スキャンにかかる時間 自動スキャン Min
Max
Sum
Avg		 期間の経過に伴うスキャンの合計時間を集計する

アラートの監視

アラートには、Microsoft Purview アカウントのAzure portalからアクセスできます。 アラートへのアクセスは、メトリックと同様に Microsoft Purview アカウントのロール割り当てによって制御されます。 ユーザーは、purview アカウントにアラート ルールを設定して、重要な監視イベントが発生したときに通知を受け取ることができます。

アラートの作成を示すスクリーンショット。

ユーザーは、purview 内でシグナルの特定のアラート ルールと条件を作成することもできます。

シグナルへのアラート ルールと条件の追加を示すスクリーンショット。

診断ログの送信

生のテレメトリ イベントは Azure Monitor に送信されます。 イベントは、Log Analytics ワークスペースに送信したり、任意の顧客ストレージ アカウントにアーカイブしたり、イベント ハブにストリーミングしたり、さらに分析するためにパートナー ソリューションに送信したりできます。 ログのエクスポートは、Azure portalの Microsoft Purview アカウントの診断設定を使用して行われます。

次の手順に従って、Microsoft Purview アカウントの診断設定を作成し、お好みの宛先に送信します。

  1. Azure portalで Microsoft Purview アカウントを見つけます。
  2. [ 監視 ] の下のメニューで、[ 診断設定] を選択します。
  3. [ 診断設定の追加] を選択して、プラットフォームのログとメトリックを収集する新しい診断設定を作成します。 これらの設定とログの詳細については、 Azure Monitor のドキュメントを参照してください

診断ログの作成を示すスクリーンショット。

  1. ログは次の送信先に送信できます。

変換先 - Log Analytics ワークスペース

  1. [ 宛先の詳細] で、[ Log Analytics ワークスペースに送信] を選択します。
  2. 診断設定の名前を作成し、該当するログ カテゴリ グループを選択し、適切なサブスクリプションとワークスペースを選択して、[保存] を選択します。 ワークスペースは、監視対象のリソースと同じリージョンに存在する必要はありません。 新しいワークスペースを作成するには、この記事「 新しい Log Analytics ワークスペースを作成する」に従います。

イベントを送信するログ分析ワークスペースの割り当てを示すスクリーンショット。

ログ分析ワークスペースに保存された診断ログ イベントを示すスクリーンショット。

  1. データを設定するいくつかの操作を実行して、Log Analytics ワークスペースの変更を確認します。 たとえば、ポリシーの作成、更新、削除などです。 その後、 Log Analytics ワークスペースを開き、[ ログ] に移動し、「 purviewsecuritylogs」としてクエリ フィルターを入力し、[ 実行 ] を選択してクエリを実行します。

クエリの実行後に Log Analytics ワークスペースのログ結果を示すスクリーンショット。

宛先 - ストレージ アカウント

  1. [ 宛先の詳細] で、[ ストレージ アカウントにアーカイブ] を選択します。
  2. 診断設定名を作成し、ログ カテゴリを選択し、ストレージ アカウントへのアーカイブとして保存先を選択し、適切なサブスクリプションとストレージ アカウントを選択して、[保存] を選択します。 診断ログをアーカイブする場合は、専用ストレージ アカウントを使用することをお勧めします。 ストレージ アカウントが必要な場合は、こちらの記事「 ストレージ アカウントを作成する」に従うことができます。

診断ログのストレージ アカウントの割り当てを示すスクリーンショット。

ストレージ アカウントに保存されたログ イベントを示すスクリーンショット。

  1. ストレージ アカウントにログを表示するには、サンプル アクション (ポリシーの作成、更新、削除など) を実行し、ストレージ アカウントを開き、[コンテナー] に移動し、コンテナー名を選択します。

診断ログが送信されたストレージ アカウント内のコンテナーを示すスクリーンショット。

  1. ファイルに移動し、ダウンロードしてログを表示します。

    ログの詳細を含むフォルダーを示すスクリーンショット。

    ログの詳細を示すスクリーンショット。

宛先 - イベント ハブ

  1. [ 宛先の詳細] で、[ Stream to an event hub]\(イベント ハブへのストリーム\) を選択します。
  2. 診断設定名を作成し、ログ カテゴリを選択し、イベント ハブへのストリームとして宛先を選択し、適切なサブスクリプション、イベント ハブ名前空間、イベント ハブ名、およびイベント ハブ ポリシー名を選択し、[保存] を選択します。 イベント ハブにストリーミングするには、イベント ハブのネーム スペースが必要です。 イベント ハブ名前空間を作成する必要がある場合は、次の記事に従うことができます。イベント ハブ のイベント ハブ&名前空間ストレージ アカウントを作成する

診断ログのイベント ハブへのストリーミングを示すスクリーンショット。

イベント ハブに保存されたログ イベントを示すスクリーンショット。

  1. Event Hubs 名前空間のログを表示するには、Azure portalに移動し、前に作成したイベント ハブ名前空間の名前を検索するには、Event Hubs 名前空間に移動し、[概要] をクリックします。 イベント ハブ名前空間でキャプチャされた監査イベントのキャプチャと読み取りの詳細については、次の記事に従うことができます:監査ログ & 診断

イベント ハブのアクティビティを示すスクリーンショット。

サンプル ログ

診断設定から受け取るサンプル ログを次に示します。

イベントは、スキャンのライフ サイクルを追跡します。 スキャン操作は、キューに入れ、実行中から一連の状態を経て進行し、最後に終了状態が成功 |失敗 |キャンセル。 状態遷移ごとにイベントがログに記録され、イベントのスキーマには次のプロパティがあります。

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

イベント インスタンスのサンプル ログを次のセクションに示します。

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

次の手順

Microsoft Purview のエラスティック データ マップ