次の方法で共有

監査を使用して監査ログとレポートを分析する

  • [アーティクル]

適用対象: Azure SQL Database Azure Synapse Analytics

この記事では、Azure SQL DatabaseAzure Synapse Analytics の監査を使用した監査ログの分析の概要について説明します。 監査を使って、次に場所に格納されている監査ログを分析できます。

  • Log Analytics
  • Event Hubs
  • Azure Storage

Log Analytics を使用してログを分析する

監査ログを Log Analytics に書き込む場合:

  1. Azure Portal を使用します。

  2. 関連するデータベース リソースに移動します。

  3. データベースの [監査] ページの上部にある [監査ログの表示] を選択します。

    [監査ログの表示] オプションを選択できる Azure portal の [監査] メニューのスクリーンショット。

ログを表示するには、2 つの方法があります。

  • [監査レコード] ページの上部にある [Log Analytics] を選ぶと、Log Analytics ワークスペースでログ ビューが開き、時間の範囲と検索クエリをカスタマイズできます。

    Azure portal の [監査レコード] メニューでの [Log Analytics] の選択のスクリーンショット。

  • [監査レコード] ページの上部にある [ダッシュボードの表示] を選ぶと、監査ログ情報が表示されるダッシュボードが開き、[Security Insights] (セキュリティ分析情報)[Access to Sensitive Data] (機密データへのアクセス) にドリルダウンできます。 このダッシュボードは、データのセキュリティ分析情報を得るのに役立つように設計されています。 時間の範囲と検索クエリをカスタマイズすることもできます。

    Azure portal の [監査レコード] メニューでの [ダッシュボードの表示] の選択のスクリーンショット。

    監査ダッシュボードのスクリーンショット。

  • また、[Log Analytics] メニューから監査ログにアクセスすることもできます。 Log Analytics ワークスペースを開き、[全般] セクションで [ログ] を選びます。 監査ログを表示するには、search "SQLSecurityAuditEvents" などの単純なクエリから始めることができます。 ここから Azure Monitor ログを使って、監査ログのデータに対して詳細検索を実行することもできます。 Azure Monitor ログにより、統合された検索とカスタム ダッシュボードを使用してオペレーション インサイトがリアルタイムで得られるため、ワークロードやサーバー全体に散在する何百万件のレコードもすぐに分析できます。 Azure Monitor ログの検索言語とコマンドに関する有用な追加情報については、Azure Monitor ログ検索リファレンスに関するページをご覧ください。

Event Hubs を使用してログを分析する

監査ログを Event Hubs に書き込む場合:

  • Event Hubs の監査ログ データを使用するには、イベントを処理し、そのイベントをターゲットに書き込むようにストリームを設定する必要があります。 詳細については、「Azure Event Hubs のドキュメント」を参照してください。
  • Event Hubs の監査ログは Apache Avro イベントの本体でキャプチャされ、UTF-8 エンコードの JSON 形式を使用して格納されます。 監査ログを読み取るために、Avro ToolsまたはMicrosoft Fabric event streamsを処理する同様のツールを使用できます。

Azure ストレージ アカウントのログを使用してログを分析する

監査ログを Azure ストレージ アカウントに書き込むことを選択すると、複数の方法でログを表示できるようになります。

  • 監査ログは、設定時に選択したアカウントで集計されます。 Azure Storage Explorerなどのツールを使用して監査ログを調査できます。 Azure Storage では、監査ログは sqldbauditlogs という名前のコンテナー内に BLOB ファイルのコレクションとして保存されます。 ストレージ フォルダーの階層、命名規則、ログ形式の詳細については、「SQL Database 監査ログの形式」を参照してください。

    1. Azure Portal を使用します。

    2. 関連するデータベース リソースを開きます。

    3. データベースの [監査] ページの上部にある [監査ログの表示] を選択します。

      監査ログの表示方法を示すスクリーンショット。

      [監査レコード] ページが開き、ログを表示できます。

    4. [監査レコード] ページの上部にある [フィルター] を選んで、特定の日付を表示できます。

    5. [監査対象] を切り替えると、"サーバー監視ポリシー" で作成された監査レコードと "データベース監査ポリシー" で作成された監査レコードを切り替えることができます。

      監査レコードを表示するためのオプションを示すスクリーンショット。

  • システム関数 sys.fn_get_audit_file (T-SQL) を使って、表形式で監査ログ データを返します。 この関数の使用方法の詳細については、sys.fn_get_audit_file に関するページをご覧ください。

  • SQL Server Management Studio (SSMS 17 以降) で [監査ファイルの統合] を使用します。

    1. SSMS のメニューから、 [ファイル]>[開く]>[監査ファイルの統合] を選択します。

      [監査ファイルの統合] メニュー オプショを示すスクリーンショット。

    2. [監査ファイルの追加] ダイアログ ボックスが表示されます。 [追加] オプションのいずれかを選択して、ローカル ディスクから監査ファイルをマージするか、Azure Storage からインポートするかを選択します。 Azure Storage の詳細とアカウント キーを指定する必要があります。

    3. マージするすべてのファイルを追加した後、[OK] を選んでしてマージ操作を完了します。

    4. 統合されたファイルを SSMS で開くと、ファイルを表示および分析し、XEL または CSV ファイルまたはテーブルにエクスポートすることができます。

  • Power BI を使用します。 Power BI で監査ログのデータを表示および分析できます。 ダウンロード可能なテンプレートの詳細と、テンプレートへのアクセスについては、Power BI での監査ログ データの分析に関するページを参照してください。

  • ポータル経由で、あるいは Azure Storage Explorerなどのツールを利用して Azure Storage BLOB コンテナーからログ ファイルをダウンロードします。

    • ログ ファイルをローカルでダウンロードした後に、ファイルをダブルクリックし、SSMS でログを開き、表示し、分析します。
    • また、Azure Storage Explorer では、同時に複数のファイルをダウンロードすることもできます。 それには、特定のサブフォルダーを右クリックし、 [名前を付けて保存] を選択してローカル フォルダーに保存します。

  • その他の方法:

    • 複数のファイルまたはログ ファイルが含まれるサブフォルダーをダウンロードした後、前述の SSMS 監査ファイルの統合の指示に従って、ローカルでマージすることができます。
    • BLOB 監査ログをプログラムで表示します。PowerShell を使用して拡張イベント ファイルにクエリを実行します

関連項目