OneLake 診断では、Microsoft Fabric 環境全体でデータにアクセスして使用する方法をエンド ツー エンドで可視化できます。 これにより、組織は、データ ガバナンス、運用上の分析情報、コンプライアンス レポートをサポートする"だれが何、いつ、どのようにアクセスしたか" などの重要な質問に答えることができます。
ワークスペース レベルで OneLake 診断を有効にすると、同じ容量内の任意のレイクハウスに JSON ログとしてデータ アクセス イベントがストリーミングされます。 これらのログを分析対応の Delta テーブルに変換できるため、チームは、使用パターン、上位アクセス項目、および時間の経過に伴う傾向を追跡するダッシュボードとレポートを作成できます。
Fabric 内のすべてのデータは OneLake で統合されているため、ワークスペース レベルの診断では、データの使用方法や場所に関係なく、データ アクティビティの一貫した信頼できるレコードが提供されます。 このレコードには次のものが含まれます。
- Fabric Web エクスペリエンスでのユーザー アクション
- API、パイプライン、分析エンジンを介したプログラムによるアクセス
- ソース ワークスペースからキャプチャされたイベントを含むワークスペース間のショートカット
この統合ログ記録アプローチにより、ショートカットまたはワークスペース間でデータにアクセスした場合でも、可視性が維持されます。
診断イベントは、Fabric ソースと非 Fabric ソースの両方に対してキャプチャされます。 Fabric UI と BLOB または Azure Data Lake Storage (ADLS) API を介してアクセスするために、すべての操作がログに記録されます。 Fabric ワークロード アクセスの場合は、一時的なアクセスが許可されたことが記録されるため、エンジン固有のログでさらに詳しく調べます。 この方法により、組織全体でデータがどのように使用されるかを把握しながら、効率的なログ記録が保証されます。
OneLake 診断でサポートされるシナリオの例
- セキュリティ調査: 承認されていないアクセスの試行や通常とは異なるパターンを特定するために、機密性の高いデータセットにアクセスしたユーザー、いつ、どこからアクセスしたかを追跡します。
- パフォーマンスのトラブルシューティング: 診断イベントとユーザー アクションまたはシステムの相互作用を関連付けることで、待機時間または障害の問題を診断します。
- 使用状況の分析と最適化: 最も頻繁にアクセスされるデータセット、だれによって、データ ガバナンスとリソースの最適化をサポートする頻度を把握します。
- 統合の監視: OneLake と (API またはコネクタを介して) 対話する外部システムを監視し、統合が期待どおりに機能していることを確認し、問題が発生したときに問題を診断します。
OneLake 診断の構成
[前提条件]
- OneLake 診断イベントを格納するレイクハウスを作成します。
- Lakehouse は、診断を有効にしたいワークスペースと同じ環境に配置する必要があります。
- ワークスペースが受信ネットワーク保護にプライベート リンクを使用する場合は、lakehouse と同じ仮想ネットワーク内にある必要があります。
- OneLake 診断を有効にするワークスペースの管理者であり、移行先の Lakehouse の寄稿者である必要があります。
OneLake 診断を有効にする
OneLake 診断を有効にするには、次の手順に従います。
- ワークスペースの設定を開きます。
- OneLake 設定タブに移動します。
- [ 診断イベントをレイクハウスに追加する] を [オン] に切り替えます。
- 診断イベントを格納するレイクハウスを選択します。
注
診断イベントがレイクハウスに流れ始めるまでに最大 1 時間かかります。
変更できない診断ログを有効にする
OneLake 診断イベントを不変にできます。つまり、不変の保持期間中に診断イベントを含む JSON ファイルを改ざんしたり削除したりすることはできません。 OneLake 診断の不変性は、Azure Blob Storage 機能の不変ストレージに基づいて構築されています。 詳細については、「 不変ストレージを使用してビジネス クリティカルな BLOB データを書き込み 1 回格納し、多くの (WORM) 状態を読み取る」を参照してください。
不変性では追加料金は発生しませんが、診断データがストレージに保持される期間に影響します。 不変期間中はファイルを削除できないため、新しい診断イベントが書き込まれるとストレージ コストが増加します。
診断用のデータレイクハウスを含むワークスペースで、変更不可期間を設定します。 不変期間は、このワークスペースに格納されているすべてのイベントに適用されます。
- 必要な不変期間を入力します。
- を選択してを適用します。
注
不変ポリシーを適用した後は、不変保持期間が経過するまでファイルを変更または削除することはできません。 一度設定すると変更できないため、ポリシーを適用する場合は注意が必要です。
OneLake の診断レイクハウスを変更する
診断イベントを格納するレイクハウスを変更できます。
Lakehouse を変更しても、既存の診断イベントには影響しません。 以前にキャプチャされた診断イベントは、元のレイクハウスに残ります。 新しいイベントは、新しく選択したレイクハウスに格納されます。
- ワークスペースの設定を開きます。
- OneLake 設定タブに移動します。
- レイクハウスを置き換える を選択します。
- 新しいレイクハウスを選択します。
OneLake 診断を無効にする
- ワークスペースの設定を開きます。
- OneLake 設定タブに移動します。
- [ 診断イベントをレイクハウスに追加する ] を オフに切り替えます。
OneLake は、診断レイクハウス情報を保存します。 診断を再度有効にすると、以前と同じレイクハウスが使用されます。
ベスト プラクティスの推奨事項
管理を簡素化し、アクセス制御を向上させるには、次の推奨事項に従います。
- 診断ログには専用ワークスペースを使用します。 同じ容量の複数のワークスペースで診断を有効にする場合は、1 つの Lakehouse でログを一元化して分析を容易にすることを検討してください。 専用ワークスペースは、アクセス許可を分離し、運用ワークロードが監査データを妨げることを防ぎます。
変更できない診断ログを有効にする場合は、次のプラクティスも考慮してください。
ワークスペース管理者ロールを制限します。 不変性の構成とワークスペース レベルの設定の管理を担当する、信頼できる小規模なグループにワークスペース管理者を制限します。 この職務の分離により、1 つのチームが診断アクティビティを生成したり、ログを格納する環境を制御したりできなくなります。
ワークスペースまたはレイクハウスの削除から保護します。 不変性はファイルの削除を防ぎますが、適切なアクセス許可を持つユーザーがワークスペースまたは lakehouse 自体を削除することを妨げることはありません。 管理者リストを小さくして、偶発的または意図的な削除のリスクを軽減します。
不変性の保持期間を組織のポリシーに合わせます。 監査、コンプライアンス、法的、調査の要件に合った不変期間を選択します。 一度適用すると不変性を短くしたり取り消したりすることはできませんので、保持期間に実際の義務が反映されていることを確認してください。
よく寄せられる質問 (FAQ)
宛先のレイクハウスが削除された場合はどうなりますか?
診断用に選択された lakehouse が削除された場合:
- lakehouseを指すすべてのワークスペースは、自動的に診断機能を無効にします。
- 以前にキャプチャされた診断データは削除されません。 診断データは、ワークスペース自体が削除されるまで、削除された Lakehouse のストレージに残ります。 診断を再開するには、同じワークスペース内の新しいレイクハウスを選択します。 OneLake は診断を再度有効にし、以前にキャプチャされたすべてのログにアクセスできます。
ワークスペースが削除された場合はどうなりますか?
- ワークスペースが削除されると、そのワークスペースの OneLake 診断も削除されます。
- ワークスペースが復元されると、診断データが復元されます。
- ワークスペースが完全に削除されると、関連付けられている診断イベントも完全に削除されます。
容量を変更するとどうなりますか?
- ワークスペースを別の容量に移動すると、診断ログが無効になります。
- 診断を再度有効にするには、新しいキャパシティ内の新しい Lakehouse を選択してください。
ワークスペースに対して BCDR を有効にするとどうなりますか?
ビジネス継続性とディザスター リカバリー (BCDR) を有効にすると、OneLake 診断データはセカンダリ リージョンにレプリケートされ、フェールオーバーが発生した場合は OneLake API 経由でアクセスできます。
OneLake 診断を監査できますか?
Yes. ワークスペースの監視を有効または無効にするか、lakehouse を更新すると、システムは Microsoft 365 セキュリティ ログで ModifyOneLakeDiagnosticSettings イベントをキャプチャします。 このイベントを使用すると、診断設定の変更を監査できます。
OneLake 診断で生成される使用量はどのくらいですか?
OneLake 診断の消費コストは、ストレージ アカウントにデータを送信する場合の Azure Storage 診断に相当します。 詳細については、「 OneLake の使用」を参照してください。
制限事項
OneLake 診断は、ワークスペース間の ワークスペース送信アクセス保護 (OAP) と互換性がありません。 OneLake 診断と OAP を連携させる必要がある場合は、同じワークスペース内のレイクハウスを選択する必要があります。
OneLake 診断を構成する場合、ワークスペースの選択では、選択内容を同じプライベート ネットワーク内のワークスペースに制限することで、ワークスペースのプライベート リンク構成が優先されます。 ただし、OneLake 診断はネットワークの変更に自動的に応答しません。
OneLake 診断イベント
Lakehouse の [ファイル] セクション内の DiagnosticLogs フォルダーには、OneLake 診断イベントが格納されます。 JSON ファイルは、次のパスを持つフォルダーに書き込まれます。 Files/DiagnosticLogs/OneLake/Workspaces/WorkspaceId/y=YYYY/m=MM/d=DD/h=HH/m=00/PT1H.json
JSON イベントには、次の属性が含まれています。
| プロパティ | Description |
|---|---|
| workspaceId | 診断が有効になっているワークスペースの GUID。 |
| アイテムID | OneLake 操作を実行した項目の GUID で、例としてレイクハウスなどのファブリック項目が挙げられます。 |
| アイテムタイプ | OneLake 操作を実行した項目の種類。 |
| tenantId | OneLake 操作を実行したテナント識別子。 |
| executingPrincipalId | OneLake 操作を実行した Microsoft Entra 原則の GUID。 |
| correlationId | OneLake 操作の GUID 関連付け識別子。 |
| オペレーション名称 | 現在実行中の OneLake 操作(内部のファブリック操作には該当しません)。 詳細については、「 操作」 セクションを参照してください。 |
| 操作カテゴリー | OneLake 操作の広範なカテゴリには、例えば「読み込み」などがあります。 |
| UPNの実行 | 操作を実行した Microsoft Entra の一意のプリンシパル名 (内部 Fabric 操作には指定されていません)。 |
| 実行するプリンシパルタイプ | ユーザーやサービス プリンシパルなど、使用されているプリンシパルの種類。 |
| アクセス開始時刻 | 操作が実行された時刻。 または、一時的なアクセスが提供されると、一時的なアクセスが開始された時刻です。 |
| アクセス終了時間 | 操作が完了した時刻。 または、一時的なアクセスが提供された場合、そのアクセスが終了した時間です。 |
| 発信元アプリ | 操作を実行したワークロード。 外部アクセスの場合、originatingApp はユーザー エージェント文字列です。 |
| serviceEndpoint | 使用されている OneLake サービス エンドポイント (DFS、BLOB、またはその他)。 |
| Resource | アクセスされるリソース (ワークスペースに対する相対リソース)。 |
| キャパシティID | OneLake 操作を実行した容量の識別子です。 |
| HTTPステータスコード | ユーザーに返された状態コード。 |
| isShortcut | ショートカットを使用してアクセスが実行されたかどうかを示します。 |
| 資源を通じてアクセスされた | データがアクセスされたリソース。 ショートカットを使用する場合、このリソースはショートカットの場所です。 |
| 発信者IPアドレス | 呼び出し元の IP アドレス。 |
個人データ
OneLake 診断イベントには、 executingUPN と callerIpAddressが含まれます。 このデータを編集するために、テナント管理者は、Fabric 管理ポータル の OneLake 診断ログに [エンドユーザー識別子を含める ] 設定を無効にすることができます。 無効にすると、これらのフィールドは新しい診断イベントから除外されます。
オペレーション
グローバル展開
| Operation | カテゴリ |
|---|---|
| ファイルを読むまたはBlobを取得する | Read |
| GetFileOrBlobProperties (ファイルまたはBlobのプロパティを取得) | Read |
| GetActionFileOrBlobプロパティを取得する | Read |
| CheckAccessFileOrBlob (アクセスファイルまたはブロブの確認) | Read |
| ファイルまたはブロブを削除 | 削除 |
BLOB 操作
| Operation | カテゴリ |
|---|---|
| GetBlockList(ブロックリストを取得) | Read |
| ListBlob | Read |
| GetBlob | Read |
| DeleteBlob | 削除 |
| UndeleteBlob | Write |
| GetBlobMetadata | Read |
| ブロブの賞味期限を設定する | Write |
| Blobメタデータを設定する | Write |
| SetBlobProperties | Write |
| Blob層を設定する | Write |
| LeaseBlob | Write |
| AbortCopyBlob | Write |
| PutBlockFromURL | Write |
| PutBlock | Write |
| PutBlockList | Write |
| AppendBlockFromURL | Write |
| AppendBlock | Write |
| AppendBlobSeal | Write |
| PutBlobFromURL | Write |
| CopyBlob | Write |
| PutBlob | Write |
| QueryBlobContents | Read |
| GetBlobProperties (ブロブのプロパティを取得) | Read |
| コンテナを作成 (CreateContainer) | Write |
| コンテナを削除する | 削除 |
| GetContainerMetadata | Read |
| GetContainerProperties | Read |
| コンテナメタデータの設定 (SetContainerMetadata) | Write |
| SetContainerAcl(コンテナのACL設定) | Write |
| LeaseContainer | Write |
| RestoreContainer | Write |
| SnapshotBlob | Write |
| 高速経路読み取りセッション作成 | Read |
| CreateFastPathWriteSession | Write |
DFS 操作
| Operation | カテゴリ |
|---|---|
| CreateFileSystem | Write |
| PatchFileSystem | Write |
| DeleteFileSystem | 削除 |
| ファイルシステムプロパティを取得 (GetFileSystemProperties) | Read |
| CreateDirectory(ディレクトリを作成する) | Write |
| CreateFile | Write |
| ディレクトリ削除 | 削除 |
| DeleteFile | 削除 |
| ファイルまたはディレクトリをリネーム | Write |
| ListFilePath | Read |
| ファイルにデータを追加する | Write |
| データをファイルに書き出す | Write |
| SetFileProperties | Write |
| ファイルのアクセス権を設定する | Write |
| ディレクトリのアクセス制御を設定する (SetAccessControlForDirectory) | Write |
| LeasePath | Write |
| パスステータスを取得する | Read |
| ファイルのアクセス制御リストを取得 | Read |
ファブリック操作
| Operation | カテゴリ |
|---|---|
| FabricWorkloadAccess | Read |