Azure Monitor の診断設定

2025-07-24

Diagnostic settings in Azure Monitor allow you to collect resource logs and to send platform metrics and the activity log to different destinations. データを収集するリソースごとに個別の診断設定を作成します。各設定では、収集するリソースのデータと、そのデータの送信先を定義します。この記事では、診断設定の作成方法や、データの送信に使用できる宛先など、診断設定の詳細について説明します。

次のビデオでは、診断設定を使用してリソースプラットフォームログをルーティングする方法について説明します。ビデオの録画以降、診断設定に次の変更が加えられましたが、この記事ではこれらのトピックについて説明します。

Azure Monitor パートナー
Category groups

Sources

診断設定では、次の表のソースからデータを収集できます。各リンク先のソースとその形式によって収集されるデータの詳細については、リンクされた各記事を参照してください。

Data source	Description
Platform metrics	構成なしで自動的に収集されます。 Use a diagnostic setting to sent platform metrics to other destinations.
Activity log	構成なしで自動的に収集されます。 Use a diagnostic setting to sent activity log entries to other destinations.
Resource logs	既定では収集されません。リソースログを収集するための診断設定を作成します。

Destinations

診断設定は、次の表の宛先にデータを送信します。転送中のデータのセキュリティを確保するために、すべての宛先エンドポイントが TLS 1.2 をサポートするように構成されています。

1 つの診断設定では、各宛先を 1 つだけ定義することができます。特定の種類の複数の宛先 (たとえば、2 つの異なる Log Analytics ワークスペース) にデータを送信する場合は、複数の設定を作成します。各リソースには、最大 5 つの診断設定を作成できます。

診断設定で使用される宛先は、設定を作成する前に存在している必要があります。設定を構成するユーザーが両方のサブスクリプションに対して適切な Azure ロールベースのアクセス制御アクセス権を持っている場合、宛先はログを送信するリソースと同じサブスクリプションに属している必要はありません。 Azure Lighthouse を使用して、別の Microsoft Entra テナントに宛先を含めます。

Destination	Description	Requirements
Log Analytics ワークスペース	Retrieve data using log queries and workbooks. Use log alerts to proactively alert on data. さまざまな Azure リソースで使用されるテーブルについては、 Azure Monitor リソースログリファレンスを参照してください。	Log Analytics ワークスペース内のすべてのテーブルは、最初のデータがワークスペースに送信されるときに自動的に作成されるため、ワークスペース自体のみが存在する必要があります。
Azure Storage アカウント	監査、静的分析、またはバックアップ用に保存します。ストレージは他のオプションよりもコストが低く、無期限に保持できます。変更を防ぐために、変更できないストレージにデータを送信します。 Azure Blob Storage の不変ポリシーの設定と管理に関する説明に従って、ストレージアカウントの不変ポリシーを設定してください。	ストレージアカウントは、リソースがリージョンである場合に監視対象のリソースと同じリージョンに存在する必要があります。仮想ネットワークが有効になっている場合、診断設定からストレージアカウントにアクセスできません。ストレージアカウントで、このファイアウォール設定をバイパスするように [信頼された Microsoft サービスを許可する] を有効にして、Azure Monitor 診断設定サービスにストレージアカウントへのアクセス権が付与されるようにする必要があります。 Azure DNS ゾーンエンドポイント (プレビュー) と Premium ストレージアカウントは、移行先としてサポートされていません。 Standard ストレージアカウントはすべてサポートされています。
Azure Event Hubs	サードパーティの SIEM やその他の Log Analytics ソリューションなどの外部システムにデータをストリーミングします。	イベントハブは、リソースがリージョンである場合に監視対象のリソースと同じリージョンに存在する必要があります。仮想ネットワークが有効になっている場合、診断設定はイベントハブにアクセスできません。ストレージアカウントで、このファイアウォール設定をバイパスするように [信頼された Microsoft サービスを許可する] を有効にして、Azure Monitor 診断設定サービスにストレージアカウントへのアクセス権が付与されるようにする必要があります。イベントハブ名前空間の共有アクセスポリシーは、ストリーミングメカニズムに与えるアクセス許可を定義します。 Event Hubs へのストリーミングには、 `Manage`、 `Send`、および `Listen` のアクセス許可が必要です。ストリーミングを含むように診断設定を更新するには、その Event Hubs 承認規則に対する `ListKey` アクセス許可が必要です。
Azure Monitor パートナーソリューション	Azure Monitor と Microsoft 以外のその他の監視プラットフォームとの間で特殊な統合を行うことができます。ソリューションはパートナーによって異なります。	詳細については、 Azure Native ISV Services のドキュメントを参照してください。

診断設定の作成

診断設定は、次のいずれかの方法で作成できます。

次の手順を使用して、新しい診断設定を作成するか、Azure portal で既存の診断設定を編集します。

Azure portal で診断設定を構成する場所は、リソースによって異なります。
- For a single resource, select Diagnostic settings under Monitoring on the resource's menu.
- For one or more resources, select Diagnostic settings under Settings on the Azure Monitor menu and then select the resource.
- For the activity log, select Activity log on the Azure Monitor menu and then select Export Activity Logs. アクティビティログのレガシ構成を無効にしてください。
[ 診断設定の追加] を選択して新しい設定を追加するか 、編集設定 を選択して既存の設定を編集します。同じ種類の複数の宛先に送信する場合は、リソースに対して複数の診断設定が必要になる場合があります。
まだ設定されていない場合は、わかりやすい名前を付けます。
ルーティングするログとメトリック: ログの場合は、カテゴリグループを選択するか、後で指定した宛先に送信するデータのカテゴリごとに個々のチェックボックスをオンにします。カテゴリの一覧は、Azure サービスごとに異なります。 Select AllMetrics if you want to collect platform metrics.
Destination details: Select the checkbox for each destination that should be included in the diagnostic settings and then provide the details for each. 宛先として Log Analytics ワークスペースを選択した場合は、収集モードの指定が必要になる場合があります。 See Collection mode for details.

Use the New-AzDiagnosticSetting cmdlet to create a diagnostic setting with Azure PowerShell. パラメーターの説明については、このコマンドレットのドキュメントを参照してください。

Important

アクティビティログにはこのメソッドを使用できません。代わりに、Azure Monitor での Azure Resource Manager テンプレートを使用した診断設定の作成に関するページを参照して、Resource Manager テンプレートを作成し、それを PowerShell を使用してデプロイします。

次の PowerShell スクリプトの例では、キーコンテナーのすべてのログとメトリックを Log Analytics ワークスペースに送信する診断設定を作成します。

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Azure CLI を使用して診断設定を作成するには、az monitor diagnostic-settings create コマンドを使用します。パラメーターの説明については、このコマンドのドキュメントを参照してください。

Important

アクティビティログにはこのメソッドを使用できません。代わりに、Azure Monitor での Resource Manager テンプレートを使用した診断設定の作成に関するページを参照して、Resource Manager テンプレートを作成し、それを Azure CLI を使用してデプロイします。

次のサンプルスクリプトでは、3 つの宛先すべてにデータを送信する診断設定を作成します。 To specify resource-specific mode if the service supports it, add the export-to-resource-specific parameter with a value of true.`

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

次のサンプルテンプレートでは、すべての監査ログを Log Analytics ワークスペースに送信する診断設定を作成します。 apiVersionは、スコープ内のリソースに応じて変更できます。他のリソースのサンプルテンプレートについては、Azure Monitor の診断設定に関する Resource Manager テンプレートのサンプルを参照してください。

Template file

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

Parameter file

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Category groups

You can use category groups to collect resource logs based on predefined groupings instead of selecting individual log categories. Microsoft では、一般的なユースケースの監視に役立つグループを定義します。グループ内のカテゴリが更新されると、ログコレクションが自動的に変更されます。すべての Azure サービスでカテゴリグループが使用されるわけではありません。特定のリソースに対してカテゴリグループを使用できない場合、診断設定の作成時にこのオプションは使用できません。

診断設定でカテゴリグループを使用する場合、個々のカテゴリの種類を選択することはできません。現時点では、次の 2 つのカテゴリグループがあります。

allLogs: all categories for the resource.
audit: All resource logs that record customer interactions with data or the settings of the service. You don't need to select this category group if you select the allLogs category group.

Note

Azure SQL Database の診断設定で [監査] カテゴリを有効にしても、データベースの監査はアクティブになりません。データベース監査を有効にするには、Azure Database の監査ブレードから有効にする必要があります。

Metrics limitations

診断設定を使用して、すべてのメトリックを Log Analytics ワークスペースに送信できるわけではありません。 See the Exportable column in the list of supported metrics.

現在、診断設定では多次元メトリックはサポートされていません。ディメンションを持つメトリックは、フラット化された 1 次元メトリックとしてエクスポートされ、ディメンション値間で集計されます。 For example, the IOReadBytes metric on a blockchain can be explored and charted on a per-node level. 診断設定を使用してエクスポートすると、エクスポートされたメトリックには、すべてのノードのすべての読み取りバイトが表示されます。

特定のメトリックの制限を回避するには、 Metrics REST API を使用して手動で抽出し、ログインジェスト API を使用して Log Analytics ワークスペースにインポートします。

診断設定の削除

そのリソースを削除または名前変更する場合、またはリソースグループまたはサブスクリプション間で移行する場合は、リソースの診断設定を削除します。このリソースを再作成すると、削除されたリソースの診断設定を新しいリソースに適用できます。これにより、診断設定で定義されているリソースログの収集が再開されます。

Controlling costs

診断設定によって収集されるデータにはコストがかかる場合があります。コストは、選択した宛先と収集されるデータの量によって異なります。詳細については、「Azure Monitor の価格」を参照してください。

各サービスに必要なカテゴリのみを収集します。また、プラットフォームメトリックはすでにメトリックで収集されているため、Azure リソースからは収集しないことをお勧めします。ログクエリを使用してより複雑な分析を行うためにワークスペースにメトリックデータが必要な場合にのみ、診断データを構成してメトリックを収集するようにしてください。

診断設定では、選択したカテゴリ内で細かいフィルター処理を行うことはできません。変換を使用して、Log Analytics ワークスペースでサポートされているテーブルのデータをフィルター処理できます。詳細については、 Azure Monitor での変換に関するページを参照してください。

テレメトリが宛先に到達するまでの時間

診断設定を作成すると、90 分以内に選択した宛先へのデータのフローが開始されます。 Log Analytics ワークスペースにデータを送信すると、テーブルがまだ存在しない場合は自動的に作成されます。テーブルは、最初のログレコードを受信したときにのみ作成されます。 24 時間以内に情報が得つからない場合は、次のいずれかの問題が発生している可能性があります。

ログが生成されていない。
根本的なルーティングメカニズムに問題が発生している。

問題が発生している場合は、構成を無効にしてから再度有効化してください。問題が引き続き発生する場合は、Azure portal から Azure サポートにお問い合わせください。

Troubleshooting

メトリックカテゴリはサポートされていません
Resource Manager テンプレート、REST API、Azure CLI、または Azure PowerShell を使用すると、メトリックカテゴリ 'xxxx' はサポートされていません というようなエラーメッセージが表示されることがあります。 AllMetrics 以外のメトリックカテゴリは、限られた数の Azure サービスを除いてサポートされていません。 AllMetrics以外のメトリックカテゴリ名を削除し、デプロイを繰り返します。

resourceID の ASCII 以外の文字が原因で設定が消える
診断設定では、ASCII 以外の文字 (Preproduccón など) を持つリソース ID はサポートされていません。 Azure でリソースの名前を変更することはできないため、非 ASCII 文字を使用せずに新しいリソースを作成する必要があります。文字がリソースグループ内にある場合は、そのリソースを新しいグループに移動できます。

Inactive resources
リソースが非アクティブで、ゼロ値のメトリックをエクスポートしている場合、診断設定のエクスポートメカニズムは段階的にバックオフして、ゼロ値のエクスポートと保存という不要なコストを回避します。このバックオフにより、次のゼロ以外の値のエクスポートが遅延する可能性があります。この動作は、エクスポートされたメトリックにのみ適用され、メトリックベースのアラートや自動スケーリングには影響しません。

リソースが 1 時間非アクティブになると、エクスポートメカニズムは 15 分に戻ります。つまり、次のゼロ以外の値がエクスポートされるまでに最大 15 分の待機時間が発生する可能性があります。 7 日間の非アクティブ期間の後、最大 2 時間のバックオフ時間に達します。リソースがゼロ以外の値のエクスポートを開始すると、エクスポートメカニズムは元のエクスポート待機時間の 3 分に戻ります。

Application Insights のデータを複製する
ワークスペースベースの Application Insights アプリケーションの診断設定では、Application Insights 自体と同じデータが収集されます。これにより、コピー先がアプリケーションで使用されているのと同じ Log Analytics ワークスペースである場合、重複データが収集されます。 Application Insights の診断設定を作成して、別の Log Analytics ワークスペースまたは別の宛先にデータを送信します。