アクティビティ ログに対してクエリを実行する
Azure portal で Azure Monitor アクティビティ ログをフィルター処理して、特定の情報を表示できます。 フィルターを使用すると、条件を満たすアクティビティ ログ データのみを確認できます。 フィルターを設定して、プライマリ サブスクリプションと運用仮想マシンに関するピーク営業時間中の重要なイベントについて、監視データを確認できます。
アクティビティ ログ フィルターについて知っておくべきこと
アクティビティ ログ内のどのようなデータを確認するかを制御するために設定できるフィルターをいくつか確認してみましょう。
サブスクリプション: 指定した 1 つ以上の Azure サブスクリプション名のデータを表示します。
期間: イベントの開始時刻と終了時刻を選択して指定した時間 (6 時間など) のデータを表示します。
イベントの重大度: 選択した重大度レベル ("情報"、"警告"、"エラー"、"重大" など) のイベントを表示します。
リソース グループ: 指定したサブスクリプションに含まれる、指定した 1 つ以上のリソース グループのデータを表示します。
リソース (名前): 指定したリソースのデータを表示します。
リソースの種類:
Microsoft.Compute/virtualmachinesなど、指定した種類のリソースのデータを表示します。操作名: 選択した Azure Resource Manager 操作 (
Microsoft.SQL/servers/Writeなど) のデータを表示します。イベント開始者: "呼び出し元" と呼ばれる、操作を実行したユーザーを指定して、その操作データを表示します。
フィルターのセットを定義したら、そのフィルター セットを Azure Monitor ダッシュボードにピン留めできます。 アクティビティ ログの検索結果を CSV ファイルとしてダウンロードすることもできます。
フィルターに加えて、[検索] ボックスにテキスト文字列を入力できます。 検索文字列は、Azure Monitor によって、フィルター設定に対応するすべてのイベントのすべてのフィールドについて、返されるデータと照合されます。
イベント カテゴリについて知っておくべきこと
次の表は、アクティビティ ログで確認できるイベントのカテゴリをまとめたものです。 イベントに関して表示される情報は、他のフィルター設定に基づいています。
| イベント カテゴリ | イベント データ | 例 |
|---|---|---|
| 管理 | Azure Resource Manager を介して実行されるすべての作成、更新、削除、アクションの操作と、フィルター処理されたサブスクリプション内のロールベースのアクセス制御 (RBAC) に対する変更 | create virtual machine delete network security group |
| サービス正常性 | フィルター処理されたサブスクリプションに接続されている Azure サービスとリソースに関するすべてのサービス正常性イベント ("アクションが必要"、"支援復旧"、"インシデント"、"メンテナンス"、"情報"、"セキュリティ" など) | SQL Azure in East US is experiencing downtime Azure SQL Data Warehouse Scheduled Maintence Complete |
| Resource Health | フィルター処理された Azure リソースに関するすべてのリソース正常性イベント。"使用可能"、"利用不可"、"低下"、"不明" などがあり、"プラットフォームが開始" または "ユーザーが開始" として識別される | Virtual Machine health status changed to unavailable Web App health status changed to available |
| Alert | フィルター処理されたサブスクリプションとリソースに関するすべての Azure アラートのアクティブ化 | CPU % on devVM001 has been over 80 for the past 5 minutes Disk read LessThan 100000 in the last 5 minutes |
| Autoscale | フィルター処理されたサブスクリプションに定義したいずれかの自動スケーリング設定に基づく、自動スケーリング エンジンの操作に関連するすべてのイベント | Autoscale scale up action failed |
| 推奨 | フィルター処理されたサブスクリプションとリソースに基づく、Web サイトや SQL サーバーなどの特定の Azure リソースの種類に関する推奨事項イベント | リソースをさらに活用する方法に関する推奨事項 |
| Security | フィルター処理されたサブスクリプションとリソースに影響を与える、Microsoft Defender for Cloud によって生成されたすべてのアラート | Suspicious double extension file executed |
| ポリシー | フィルター処理されたサブスクリプションとリソースに対して Azure Policy によって実行される、すべての効力アクション操作 (この場合、Azure Policy によって実行されるすべてのアクションがリソースに対する操作としてモデル化される) | Audit および Deny |