Azure Monitor アクティビティログデータを送信する

2025-06-20

Azure Monitor アクティビティログは、サブスクリプションレベルのイベントに関する分析情報を提供するプラットフォームログです。アクティビティログには、リソースが変更されたときやデプロイエラーが発生した場合などの情報が含まれます。 Azure portal で アクティビティログ を表示したり、PowerShell と Azure CLI を使用してエントリを取得したりできます。

この記事では、アクティビティログを表示して、さまざまな宛先に送信する方法について説明します。

注

アクティビティログのエントリはシステムによって生成されるため、変更または削除することはできません。
アクティビティログのエントリは、仮想マシンの再起動などのコントロールプレーンの変更を表しており、関連しないエントリは Azure リソースログに書き込む必要があります
通常、アクティビティログのエントリは、変更 (作成、更新、または削除操作) またはアクションが開始された結果です。リソースの詳細の読み取りに重点を置いた操作は、通常はキャプチャされません。

ヒント

デプロイ操作エラーからこの記事に指示された場合は、「一般的な Azure デプロイエラーのトラブルシューティング」を参照してください。

アクティビティログのエクスポート

Azure Monitor>Activity ログに移動し、[アクティビティログのエクスポート] を選択します。

注

任意の 1 つのサブスクリプションから最大 5 つのワークスペースに、アクティビティログを送信できます。
次の 1 つ以上の場所にアクティビティログを送信する診断設定を追加します。
- より複雑なクエリとアラートのための Log Analytics ワークスペース。
- Azure Event Hubs: Azure の外部にログを転送するため
- Azure Storage: より低コストの長期アーカイブのため
診断設定の作成方法の詳細については、「プラットフォームログとメトリックを異なる宛先に送信するための診断設定を作成する」を参照してください。
ヒント

アクティビティログデータを Log Analytics ワークスペースに送信すると、次の利点があります。
- Log Analytics ワークスペースへのログの送信は、既定の保持期間については無料です。
- さらに長い最大 12 年間の保持期間でログを Log Analytics ワークスペースに送信します。
- Log Analytics ワークスペースにエクスポートしたログは、Power BI で表示できます
- Log Analytics にエクスポートされたアクティビティログに関する分析情報が提供されます。

Log Analytics ワークスペースに送信する

アクティビティログを Log Analytics ワークスペースに送信して、Azure Monitor ログの機能を有効にします。この機能を使用すると、次のことができます。

アクティビティログデータを、Azure Monitor によって収集されたその他の監視データと関連付けることができます。
複数の Azure サブスクリプションおよびテナントのログエントリを 1 つの場所に統合して、まとめて分析できるようにします。
ログクエリを使用して複雑な分析を実行し、アクティビティログのエントリから詳細な分析情報を取得できます。
より複雑なアラートロジックのために、アクティビティエントリでログ検索アラートを使用できます。
アクティビティログエントリを、アクティビティログの保持期間よりも長く保存できます。
Log Analytics ワークスペースに格納されているアクティビティログデータのインジェストや保持の料金が発生ません。
Log Analytics 内での既定の保持期間は 90 日です。

Log Analytics ワークスペースでは、アクティビティログのデータは AzureActivity という名前のテーブルに格納されます。このテーブルは、Log Analytics のログクエリで取得できます。このテーブルの構造はログエントリのカテゴリによって異なります。テーブルのプロパティの説明については、Azure Monitor データリファレンスのページを参照してください。

たとえば、各カテゴリのアクティビティログレコードの数を表示するには、次のクエリを使用します。

AzureActivity
| summarize count() by CategoryValue

管理カテゴリのすべてのレコードを取得するには、次のクエリを使用します。

AzureActivity
| where CategoryValue == "Administrative"

重要

シナリオによっては、AzureActivity のフィールドの値が、大文字と小文字の違いだけで、それ以外の点では同じ値である場合があります。 AzureActivity のデータに対してクエリを実行する際には、文字列比較に大文字と小文字を区別しない演算子を使用する、または、比較を行う前にスカラー関数を使用してフィールドの大文字と小文字を統一するなどの配慮が必要です。例えば、フィールドに tolower() 関数を使用して常に小文字にする、または、文字列を比較する際に =~ 演算子を使用します。

Azure Event Hubs に送信する

たとえば、サードパーティの SIEM や他のログ分析ソリューションなど、Azure の外部にエントリを送信するには、アクティビティログを Azure Event Hubs に送信します。イベントハブからのアクティビティログイベントは、各ペイロードにレコードを格納する records 要素で JSON 形式で使用されます。スキーマはカテゴリによって異なり、「Azure アクティビティログのイベントスキーマ」で説明されています。

次のサンプル出力データは、アクティビティログのイベントハブからのものです。

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "___location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

Azure Storage への送信

監査、静的分析、またはバックアップのためにログデータを 90 日より長く保持する場合は、アクティビティログを Azure Storage アカウントに送信します。イベントを保持する必要があるのが 90 日以内の場合は、ストレージアカウントにアーカイブを設定する必要はありません。アクティビティログのイベントは Azure プラットフォームに 90 日間保持されます。

アクティビティログを Azure に送信すると、イベントが発生するとすぐに、ストレージアカウント内にストレージコンテナーが作成されます。コンテナー内の BLOB には、次の名前付け規則が使用されます。

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

たとえば、特定の BLOB には次のような名前が付けられることがあります。

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

各 PT1H.json BLOB には、BLOB URL で指定されている時間に受信したログファイルからのイベントを含む JSON オブジェクトが含まれています。現在の時間中、イベントは生成された時間に関係なく、受信されたときに PT1H.json ファイルに追加されます。 BLOB は 1 時間ごとに作成されるため、URL の分を示す数値 (m=00) は常に 00 です。

各イベントは、次の形式で PT1H.json ファイルに保存されます。この形式は、一般的な最上位スキーマを使用しますが、それ以外については、「アクティビティログのスキーマ」で説明されているようにカテゴリごとに固有の形式となっています。

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

CSV にエクスポート

Azure portal を使用してアクティビティログを CSV ファイルにエクスポートするには、[ CSV としてダウンロード ] を選択します。

重要

大量のログエントリがある場合、エクスポートに過剰な時間がかかる可能性があります。パフォーマンスを向上させるには、エクスポートの時間範囲を減らします。 Azure portal では、これは Timespan 設定で設定されます。

次の例のように、PowerShell または Azure CLI を使用して、アクティビティログを CSV ファイルにエクスポートすることもできます。

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

次の PowerShell スクリプトの例では、アクティビティログを 1 時間間隔で CSV ファイルにエクスポートし、それぞれを別のファイルに保存します。

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

アクティビティログイベントを取得する他の方法

次の方法を使用して、アクティビティログイベントにアクセスすることもできます。

PowerShell からアクティビティログを取得するには、Get-AzLog コマンドレットを使用します。「Azure Monitor PowerShell のサンプル」を参照してください。
CLI からアクティビティログエントリを取得するには、az monitor activity-log を使用します。 Azure Monitor CLI のサンプルをご覧ください。
REST クライアントからアクティビティログを取得するには、Azure Monitor REST API を使用します。

従来の収集方法

注

Azure アクティビティログソリューションは、アクティビティログを Log Analytics に転送するために使用されました。このソリューションは 2026 年 9 月 15 日に廃止され、診断設定に自動的に変換されます。

従来の収集方法を使用してアクティビティログを収集する場合は、次のように、アクティビティログを Log Analytics ワークスペースにエクスポートし、Data Sources - Delete API を使用してレガシコレクションを無効にすることをお勧めします。

Data Sources - List By Workspace API を使用してワークスペースに接続されているすべてのデータソースを一覧表示し、kind eq 'AzureActivityLog' を設定してアクティビティログをフィルター処理します。
API 応答から無効にする接続の名前をコピーします。
Data Sources - Delete API を使用して、特定のリソースのアクティビティログの収集を停止します。

従来のログプロファイルの管理 (廃止)

注

ログプロファイルは、アクティビティログをストレージアカウントと Event Hubs に転送するために使用されました。この方法は、2026 年 9 月 15 日に廃止されます。
この方法を使用している場合は、2025 年 9 月 15 日より前の診断設定に移行します。ログプロファイルの新規作成の許可は停止されます。

ログプロファイルは、ストレージまたはイベントハブにアクティビティログを送信するための従来の方法です。この方法を使用している場合は、機能およびリソースログとの整合性がより優れている、診断設定への移行を検討してください。

PowerShell
CLI

ログプロファイルが既に存在する場合は、最初に既存のログプロファイルを削除してから、新しいものを作成する必要があります。

Get-AzLogProfile を使用して、ログプロファイルが存在するかどうかを確認します。ログプロファイルが存在する場合は、Name プロパティをメモします。
Remove-AzLogProfile プロパティの値を使用してログプロファイルを削除するには、Name を使用します。
```
# For example, if the log profile name is 'default'
Remove-AzLogProfile -Name "default"
```

Add-AzLogProfile を使用して、新しいログプロファイルを作成します。

Add-AzLogProfile -Name my_log_profile -StorageAccountId /subscriptions/s1/resourceGroups/myrg1/providers/Microsoft.Storage/storageAccounts/my_storage -serviceBusRuleId /subscriptions/s1/resourceGroups/Default-ServiceBus-EastUS/providers/Microsoft.ServiceBus/namespaces/mytestSB/authorizationrules/RootManageSharedAccessKey -Location global,westus,eastus -RetentionInDays 90 -Category Write,Delete,Action

プロパティ	必須	説明
名前	イエス	ログプロファイルの名前。
StorageAccountId (ストレージアカウントID)	いいえ	アクティビティログの保存先となるストレージアカウントのリソース ID。
serviceBusRuleId	いいえ	イベントハブを作成する Service Bus 名前空間の Service Bus 規則 ID。この文字列の形式は `{service bus resource ID}/authorizationrules/{key name}` になります。
ロケーション	イエス	アクティビティログイベントを収集するリージョンのコンマ区切りリスト。
RetentionInDays	イエス	ストレージアカウントにイベントを保持する日数 (1 - 365 の範囲)。値が 0 の場合、ログは無期限に保存されます。
カテゴリ	いいえ	収集するイベントカテゴリのコンマ区切りリスト。指定できる値は、Write、Delete、Action です。

サンプルスクリプト

このサンプル PowerShell スクリプトは、ストレージアカウントとイベントハブの両方にアクティビティログを書き込むログプロファイルを作成します。

# Settings needed for the new log profile
$logProfileName = "default"
$locations = (Get-AzLocation).Location
$locations += "global"
$subscriptionId = "<your Azure subscription Id>"
$resourceGroupName = "<resource group name your Event Hub belongs to>"
$eventHubNamespace = "<Event Hub namespace>"
$storageAccountName = "<Storage Account name>"

# Build the service bus rule Id from the settings above
$serviceBusRuleId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.EventHub/namespaces/$eventHubNamespace/authorizationrules/RootManageSharedAccessKey"

# Build the Storage Account Id from the settings above
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

Add-AzLogProfile -Name $logProfileName -Location $locations -StorageAccountId $storageAccountId -ServiceBusRuleId $serviceBusRuleId

ログプロファイルが既に存在する場合は、最初に既存のログプロファイルを削除してから、ログファイルを作成する必要があります。

az monitor log-profiles list を使用して、ログプロファイルが存在するかどうかを確認します。
az monitor log-profiles delete --name "<log profile name> プロパティの値を使用してログプロファイルを削除するには、name を使用します。

az monitor log-profiles create を使用して、ログプロファイルを作成します。

az monitor log-profiles create --name "default" --___location null --locations "global" "eastus" "westus" --categories "Delete" "Write" "Action" --enabled false --days 0 --service-bus-rule-id "/subscriptions/<YOUR SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/namespaces/<Event Hub NAME SPACE>/authorizationrules/RootManageSharedAccessKey"

プロパティ	必須	説明
`name`	イエス	ログプロファイルの名前。
`storage-account-id`	イエス	アクティビティログの保存先となるストレージアカウントのリソース ID。
`locations`	イエス	アクティビティログイベントを収集するリージョンのスペース区切りリスト。 `az account list-locations --query [].name` を使って、サブスクリプションのすべてのリージョンのリストを表示します。
`days`	イエス	イベントを保持する日数 (1 ～ 365 の範囲)。値が 0 の場合、ログは無期限に (いつまでも) 保存されます。 0 の場合は、enabled パラメーターを False に設定する必要があります。
`enabled`	イエス	True または False です。アイテム保持ポリシーを有効または無効にするために使われます。 True の場合は、`days` パラメーターを 0 より大きい値にする必要があります。
`categories`	イエス	収集する必要があるイベントカテゴリのスペース区切りリスト。指定できる値は、Write、Delete、Action です。

データ構造の変更

アクティビティログのエクスポート操作では、従来のアクティビティログ送信方法と同じデータが送信されますが、AzureActivity テーブルの構造が若干変更されています。

更新されたスキーマでは、次の表の列は非推奨です。これらは、AzureActivity にまだ存在しますが、データを持ちません。これらの列の代わりになる列は新しいものではありませんが、非推奨の列と同じデータが格納されています。それらは形式が異なるため、それらを使用するログクエリの変更が必要になる場合があります。

アクティビティログ JSON	古い Log Analytics 列の名前 (非推奨)	新しい Log Analytics 列の名前	注記
カテゴリ	カテゴリ	CategoryValue
ステータス値は、 `success`、 `start`、 `accept`、 `failure`	活動状況 JSON と同じ値	活動状態値値は、`succeeded`、`started`、a`ccepted`、`failed` に変更されます	有効な値は左記のように変更されます。
サブステータス	アクティビティサブステータス	ActivitySubstatusValue
操作名	オペレーションネーム	操作名値	REST API は操作名の値をローカライズします。 Log Analytics UI には常に英語が表示されます。
リソースプロバイダー名	リソースプロバイダ	リソースプロバイダー値

重要

場合によっては、これらの列の値がすべて大文字になることがあります。これらの列を含むクエリがある場合は、=~ 演算子を使用して、大文字と小文字を区別しない比較を実行します。

更新されたスキーマの AzureActivity には、次の列が追加されています。

Authorization_d
Claims_d
Properties_d

次のステップ

詳細については、以下をご覧ください。

次の方法で共有

Azure Monitor アクティビティ ログ データを送信する

アクティビティ ログのエクスポート