Az - Monitoring

Reading time: 9 minutes

Entra ID - Logs

Entra IDには3種類のログがあります：

• サインインログ：サインインログは、成功または失敗にかかわらず、すべての認証試行を記録します。これらは、IPアドレス、場所、デバイス情報、適用された条件付きアクセスポリシーなどの詳細を提供し、ユーザーの活動を監視し、疑わしいログイン行動や潜在的なセキュリティ脅威を検出するために不可欠です。
• 監査ログ：監査ログは、Entra ID環境内で行われたすべての変更の記録を提供します。これには、ユーザー、グループ、役割、またはポリシーの更新が含まれます。これらのログは、誰がいつ何を変更したかを確認できるため、コンプライアンスおよびセキュリティ調査にとって重要です。
• プロビジョニングログ：プロビジョニングログは、サードパーティサービス（オンプレミスのディレクトリやSaaSアプリケーションなど）を通じてテナントにプロビジョニングされたユーザーに関する情報を提供します。これらのログは、アイデンティティ情報がどのように同期されるかを理解するのに役立ちます。

Entra ID - Log Systems

• 診断設定：診断設定は、リソースから収集したいプラットフォームログおよび/またはメトリックのカテゴリのリストと、それらをストリーミングする1つ以上の宛先を指定します。宛先に対して通常の使用料金が発生します。さまざまなログカテゴリとその内容について詳しく学びます。
• 宛先：
• Analytics Workspace：Azure Log Analyticsを通じて調査し、アラートを作成します。
• ストレージアカウント：静的分析とバックアップ。
• Event hub：サードパーティのSIEMなどの外部システムにデータをストリーミングします。
• Monitor partner solutions：Azure Monitorと他の非Microsoft監視プラットフォームとの特別な統合。
• Workbooks：Workbooksは、テキスト、ログクエリ、メトリック、およびパラメータを組み合わせて、リッチなインタラクティブレポートを作成します。
• Usage & Insights：Entra IDで最も一般的な活動を確認するのに役立ちます。

Azure Monitor

Azure Monitorの主な機能は次のとおりです：

• アクティビティログ：Azureアクティビティログは、サブスクリプションレベルのイベントと管理操作をキャプチャし、リソースに対する変更とアクションの概要を提供します。
• アクティビティログは変更または削除できません。
• 変更分析：変更分析は、Azureリソース全体の構成および状態の変更を自動的に検出し、視覚化して、問題の診断や時間の経過に伴う変更の追跡を支援します。
• アラート：Azure Monitorからのアラートは、Azure環境内で指定された条件や閾値が満たされたときにトリガーされる自動通知です。
• Workbooks：Workbooksは、Azure Monitor内のインタラクティブでカスタマイズ可能なダッシュボードであり、さまざまなソースからのデータを組み合わせて視覚化し、包括的な分析を可能にします。
• Investigator：Investigatorは、ログデータやアラートを深く分析し、インシデントの原因を特定するのに役立ちます。
• Insights：Insightsは、アナリティクス、パフォーマンスメトリック、およびアクション可能な推奨事項（Application InsightsやVM Insightsのようなもの）を提供し、アプリケーションやインフラストラクチャの健康と効率を監視および最適化するのに役立ちます。

Log Analytics Workspaces

Log Analyticsワークスペースは、Azure Monitor内の中央リポジトリであり、Azureリソースおよびオンプレミス環境からのログおよびパフォーマンスデータを収集、分析、視覚化できます。以下は重要なポイントです：

• 中央集約データストレージ：診断ログ、パフォーマンスメトリック、およびアプリケーションやサービスによって生成されたカスタムログを保存するための中央の場所として機能します。
• 強力なクエリ機能：Kusto Query Language (KQL)を使用してクエリを実行し、データを分析し、インサイトを生成し、問題をトラブルシューティングできます。
• 監視ツールとの統合：Log Analyticsワークスペースは、Azure Monitor、Azure Sentinel、Application InsightsなどのさまざまなAzureサービスと統合されており、ダッシュボードを作成し、アラートを設定し、環境の包括的なビューを得ることができます。

要約すると、Log Analyticsワークスペースは、Azureにおける高度な監視、トラブルシューティング、およびセキュリティ分析に不可欠です。

リソースの診断設定から、データを分析ワークスペースに送信するようにリソースを構成できます。

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table