applies to:
Azure SQL DatabaseAzure Synapse Analytics
この記事では、Azure SQL Database および Azure Synapse Analytics の監査を使用した監査ログの分析の概要について説明します。 監査を使用して、次の場所に格納されている監査ログを分析できます。
- ログ解析
- Event Hubs
- Azure ストレージ
Log Analyticsを使用してログを分析する
監査ログをLog Analyticsに書き込む場合:
Azure ポータルで、SQL データベースを検索してデータベースを選択するか、SQL サーバー を検索してサーバーを選択します。
[ セキュリティ] の下のリソース メニューで、[ 監査] を選択します。
[監査] ページの上部にある [監査ログの表示] を選択します。
![監査ログの表示オプションを選択できるAzure ポータルの [監査] メニューのスクリーンショット。](media/auditing-analyze-audit-logs/view-audit-logs.png?view=azuresql)
![監査ログの表示オプションを選択できるAzure ポータルの [監査] メニューのスクリーンショット。](media/auditing-analyze-audit-logs/view-audit-logs.png?view=azuresql#lightbox)
注
[ 監査ログの表示 ] ボタンは、サーバー レベルとデータベース レベルの 監査 ページの両方に表示されます。 データベース リソースから選択すると、 そのデータベース に固有の監査レコードが表示されます。 サーバー リソースから選択すると、その サーバー 上のすべてのデータベースの監査レコードが表示されます。 確認する必要がある監査ログのスコープに基づいて、正しいリソース レベルに移動していることを確認します。
[監査レコード] ページからログを表示するには、次の 2 つの方法があります。
- ページの上部にある Log Analytics を選択して、Log Analytics ワークスペースでログ ビューを開きます。ここで、時間範囲と検索クエリをカスタマイズできます。
- ページの上部にある [ ダッシュボードの表示 ] を選択して、監査ログ情報を表示するダッシュボードを開きます。そこで、 Security Insights または 機密データへのアクセスにドリルダウンできます。 このダッシュボードは、データのセキュリティに関する分析情報を得るのに役立ちます。 時間の範囲と検索クエリをカスタマイズすることもできます。
ヒント
[ダッシュボードの表示] オプションは、データベース レベルの監査が有効になっているデータベース レベルの監査ページから監査レコードにアクセスする場合にのみ使用できます。 サーバー レベルの監査のみを構成した場合でも、次のセクションの手順を使用して、Log Analytics ワークスペースで監査データに直接クエリを実行できます。
Log Analyticsで監査ログを直接照会する
監査ページを移動せずに、Log Analytics ワークスペースから直接監査ログにアクセスすることもできます。 この方法は、サーバー レベルの監査のみがある場合や、複数のデータベースに対してカスタム クエリを実行する場合に便利です。
- Azure ポータルで、Log Analytics ワークスペースを開きます。
- [ 全般 ] セクションで、[ ログ] を選択します。
- 監査ログを表示する
search "SQLSecurityAuditEvents"など、簡単なクエリから始めます。
ここから、Azure Monitor ログを使用して、監査ログ データに対して高度な検索を実行できます。 Azure Monitorログでは、統合された検索とカスタム ダッシュボードを使用してリアルタイムの運用分析情報を取得し、すべてのワークロードとサーバーで数百万件のレコードを簡単に分析できます。 ログ検索言語とコマンドAzure Monitorの詳細については、Azure Monitor ログ検索リファレンスを参照してください。
Event Hubs を使用してログを分析する
監査ログを Event Hubs に書き込む場合:
- Event Hubs の監査ログ データを使用するには、イベントを処理し、そのイベントをターゲットに書き込むようにストリームを設定する必要があります。 詳細については、Azure Event Hubs ドキュメントを参照してください。
- Event Hubs の監査ログは Apache Avro イベントの本文でキャプチャされ、UTF-8 エンコードで JSON 形式を使用して格納されます。 監査ログを読み取るために、Avro Tools、Microsoft Fabric イベント ストリーム、またはこの形式を処理する同様のツールを使用できます。
Azure ストレージ アカウントのログを使用してログを分析する
Azure ストレージ アカウントに監査ログを書き込む場合は、ログを表示するために使用できるいくつかの方法があります。
監査ログは、設定時に選択したアカウントで集計されます。 監査ログを調べるには、Azure Storage Explorer などのツールを使用します。 Azure ストレージでは、監査ログは、sqldbauditlogs という名前のコンテナー内の BLOB ファイルのコレクションとして保存されます。 ストレージ フォルダーの階層、名前付け規則、およびログ形式の詳細については、 SQL Database 監査ログの形式を参照してください。
- Azure ポータルで、SQL データベースを検索してデータベースを選択するか、SQL サーバー を検索してサーバーを選択します。
- [ セキュリティ] の下のリソース メニューで、[ 監査] を選択します。
- [監査] ページの上部にある [監査ログの表示] を選択します。 [監査レコード] ページが開き、ログを表示できます。
- 特定の日付を表示するには、[監査レコード] ページの上部にある [フィルター] を選択します。
- [監査ソース] を切り替えることで、サーバー監査ポリシーによって作成された監査レコードとデータベース監査ポリシーを切り替えることができます。
システム関数
sys.fn_get_audit_file(T-SQL) を使用して、監査ログ データを表形式で返します。 この関数の使用方法の詳細については、 sys.fn_get_audit_fileを参照してください。SQL Server Management Studioで Merge Audit Files を使用します (SSMS 17 以降)。
[SSMS] メニューから[ファイル]>開く>監査ファイルのマージを選択します。
![[監査ファイルのマージ] メニュー オプションを示すスクリーンショット。](media/auditing-analyze-audit-logs/merge-audit-files.png?view=azuresql)
[ 監査ファイルの追加 ] ダイアログ ボックスが開きます。 Add オプションのいずれかを選択して、監査ファイルをローカル ディスクからマージするか、Azure Storageからインポートするかを選択します。 Azure Storageの詳細とアカウント キーを指定する必要があります。
マージするすべてのファイルが追加されたら、[ OK] を 選択してマージ操作を完了します。
統合されたファイルを SSMS で開くと、ファイルを表示および分析し、XEL または CSV ファイルまたはテーブルにエクスポートすることができます。
Power BIを使用します。 監査ログ データは、Power BIで表示および分析できます。 詳細については、「
Power BI を参照してください。ポータルまたは
Azure Storage Explorer 。- ログ ファイルをローカルでダウンロードした後に、ファイルをダブルクリックし、SSMS でログを開き、表示し、分析します。
- Azure Storage Explorerで複数のファイルを同時にダウンロードすることもできます。 これを行うには、特定のサブフォルダーを右クリックし、[ 名前を付けて保存] を選択してローカル フォルダーに保存します。
その他の方法:
- 複数のファイルまたはログ ファイルが含まれるサブフォルダーをダウンロードした後、前述の SSMS 監査ファイルの統合の指示に従って、ローカルでマージすることができます。
- BLOB 監査ログをプログラムで表示する: PowerShell を使用して 拡張イベント ファイルにクエリ を実行します。