次の方法で共有

監査ログ、診断、アクティビティ履歴

  • [アーティクル]

このチュートリアルでは、Azure Event Hubsを使用して Microsoft Purview ガバナンス ポータルでアプリケーションの監査ログと診断 ログを有効にしてキャプチャするために必要なステップ バイ ステップ構成の一覧を示します。

Microsoft Purview 管理者または Microsoft Purview データ ソース管理者は、Microsoft Purview ガバナンス ポータルで、アプリケーションからキャプチャされた監査と診断ログを監視する機能が必要です。 監査と診断情報は、実行されたアクションのタイムスタンプ付き履歴と、すべてのユーザーが Microsoft Purview アカウントに加えた変更で構成されます。 キャプチャされたアクティビティ履歴には、 Microsoft Purview ガバナンス ポータルとポータル の外部でのアクションが含まれます。 ポータルの外部のアクションには、書き込み操作を実行するための Microsoft Purview REST API の 呼び出しが含まれます。

このチュートリアルでは、監査ログを有効にする手順について説明します。 また、Azure Diagnostics イベント ハブを介して Microsoft Purview ガバナンス ポータルからストリーミング監査イベントを構成してキャプチャする方法についても説明します。

イベント カテゴリを監査する

現在キャプチャと分析に使用できる Microsoft Purview ガバナンス ポータル監査イベントの重要なカテゴリの一部を表に示します。

アクティビティ監査イベントの種類とカテゴリが追加されます。

カテゴリ アクティビティ 操作​​
管理 コレクション 作成する
管理 コレクション Update
管理 コレクション 削除
管理 役割の割り当て 作成する
管理 役割の割り当て Update
管理 役割の割り当て 削除
管理 スキャン ルール セット 作成する
管理 スキャン ルール セット Update
管理 スキャン ルール セット 削除
管理 分類ルール 作成する
管理 分類ルール Update
管理 分類ルール 削除
管理 スキャン 作成する
管理 スキャン Update
管理 スキャン 削除
管理 スキャン 実行
管理 スキャン キャンセル
管理 スキャン 作成する
管理 スキャン スケジュール
管理 データ ソース 登録
管理 データ ソース Update
管理 データ ソース 削除

監査と診断を有効にする

次のセクションでは、監査と診断を有効にするプロセスについて説明します。

Event Hubs の構成

Azure Resource Manager (ARM) テンプレート (GitHub) を使用して、Azure Event Hubs名前空間を作成します。 この自動 Azure ARM テンプレートは、必要な構成で Event Hubs インスタンスのデプロイと作成を完了します。

詳しい説明と手動セットアップの場合:

Microsoft Purview アカウントを Diagnostics イベント ハブに接続する

Event Hubs がデプロイされ、作成されたので、監査ログ診断 Microsoft Purview アカウントを Event Hubs に接続します。

  1. Microsoft Purview アカウントのホーム ページに移動します。 このページでは、概要情報がAzure portalに表示されます。 Microsoft Purview ガバナンス ポータルのホーム ページではありません。

  2. 左側のメニューで、[診断設定監視>] を選択します。

    [診断設定] の選択を示すスクリーンショット。

  3. [ 診断設定の追加] または [設定の編集] を選択します。 Microsoft Purview のコンテキストに複数の診断設定行を追加することはお勧めしません。 つまり、診断設定行が既にある場合は、[ 診断の追加] を選択しないでください。 代わりに [ 編集] を 選択します。

    [診断設定の追加または編集] 画面を示すスクリーンショット。

  4. 監査ログの収集を有効にするには、[ 監査 ] チェック ボックスと [ allLogs ] チェック ボックスをオンにします。 必要に応じて、アカウントの Data Map 容量ユニットとデータ マップ サイズ メトリックもキャプチャする場合は、[ AllMetrics ] を選択します。

    Microsoft Purview 診断設定の構成と診断の種類の選択を示すスクリーンショット。

Microsoft Purview アカウントの診断構成が完了しました。

監査ログの構成診断完了したら、Event Hubs のデータ キャプチャとデータ保持設定を構成します。

  1. Azure portalホーム ページに移動し、前に作成した Event Hubs 名前空間の名前を検索します。

  2. Event Hubs 名前空間に移動します。 [Event HubsCapture Data]\(Event Hubs キャプチャ データ\>) を選択します。

  3. 監査と診断をキャプチャしてストリーミングする Event Hubs 名前空間とイベント ハブの名前を指定します。 ストリーミング イベントの保持期間の [時間枠][サイズ ウィンドウ] の値を変更します。 [保存] を選択します。

    Event Hubs 名前空間と Event Hubs のキャプチャ設定を示すスクリーンショット。

  4. 必要に応じて、左側のメニューで [ プロパティ ] に移動し、[ メッセージの保持期間] を 1 日から 7 日間の任意の値に変更します。 保有期間の値は、スケジュールされたジョブの頻度またはストリーミング イベントを継続的にリッスンしてキャプチャするために作成したスクリプトによって異なります。 毎週 1 回キャプチャをスケジュールする場合は、スライダーを 7 日間に移動します。

    Event Hubs プロパティメッセージの保持期間を示すスクリーンショット。

  5. この段階では、Event Hubs の構成は完了です。 Microsoft Purview ガバナンス ポータルは、すべての監査履歴と診断データのストリーミングをこのイベント ハブに開始します。 キャプチャした診断イベントと監査イベントに対して、さらに分析と操作の読み取り、抽出、実行に進むことができます。

キャプチャされた監査イベントを読み取る

キャプチャされた監査を分析し、ログ データを診断するには:

  1. [Event Hubs] ページの [データの処理] に移動して、キャプチャされた監査ログと診断のプレビューを表示します。

    Event Hubs プロセス データの構成を示すスクリーンショット。

    Event Hubs の移動を示すスクリーンショット。

  2. JSON 出力の テーブル ビューと Raw ビューを切り替えます。

    Event Hubs での Microsoft Purview 監査イベントの探索を示すスクリーンショット。

  3. [ サンプル データのダウンロード ] を選択し、結果を慎重に分析します。

    Event Hubs のクエリとプロセス Microsoft Purview 監査 データを示すスクリーンショット。

この情報を収集する方法がわかったら、スケジュールされた自動スクリプトを使用して、Event Hubs の監査とデータの診断に関する詳細な分析を抽出、読み取り、実行できます。 独自のユーティリティとカスタム コードをビルドして、キャプチャされた監査イベントからビジネス価値を抽出することもできます。

これらの監査ログは、Power BI を使用して分析とレポートを行うために、Excel、任意のデータベース、Dataverse、または Synapse Analytics データベースに変換することもできます。

任意のプログラミング言語またはスクリプト言語を自由に使用してイベント ハブを読み取ることができますが、準備完了の Python ベースのスクリプトを次に示します。 Azure Storage で Event Hubs データをキャプチャし、Python (azure-eventhub) を使用して読み取る方法については、こちらの Python チュートリアルを参照してください。

次の手順

診断監査ログを有効にし、Microsoft Purview 体験を開始します。

Microsoft Purview: 自動新しいアカウント設定