Azure Monitor のリソースログ

2025-07-22

Azure リソースログは、Azure リソースで実行される操作に関する分析情報を提供します。リソースログの内容は、リソースの種類ごとに異なります。リソースに対して実行された操作、それらの操作の状態、およびリソースの正常性とパフォーマンスを理解するのに役立つその他の詳細に関する情報を含めることができます。

リソースログの収集

既定では、リソースログは収集されません。それらを収集するには、各 Azure リソースの診断設定を作成する必要があります。詳細については、 Azure Monitor の診断設定を参照してください。以下の情報は、リソースログの送信先の詳細を示しています。

注

リソースログは完全にロスレスではありません。これらは、1 日あたりペタバイト単位のデータを大規模に手頃な価格で移動するように設計されたストアアンドフォワードアーキテクチャに基づいています。この機能には、プラットフォーム全体の冗長性と再試行が組み込まれていますが、トランザクションの保証は提供されません。データ損失の永続的なソースが特定されるたびに、その解決と将来の防止が優先されます。 Azure 全体に分散された一時的な繰り返しではないサービスの問題では、小さなデータ損失が引き続き発生する可能性があります。

目的地

診断設定を作成するときに、次の 1 つ以上の宛先にリソースログを送信することを選択できます。選択する宛先は、分析、保持、および他のシステムとの統合のニーズに基づいています。

次のセクションでは、各宛先のリソースログの詳細について説明します。

次の機能のために、リソースログを Log Analytics ワークスペースに送信します。

ログクエリを使用して、リソースログを他のログデータと関連付ける。
リソースログエントリからログアラートを作成します。
Power BI を使用してリソースログデータにアクセスします。

コレクションモード

リソースログによって使用される Log Analytics ワークスペース内のテーブルは、リソースの種類と、リソースが使用しているコレクションの種類によって異なります。リソースログには、次の 2 種類の収集モードがあります。

Azure 診断 - すべてのデータが AzureDiagnostics テーブルに書き込まれます。
リソース固有 - データは、リソースのカテゴリごとに個別のテーブルに書き込まれます。

リソース固有

リソース固有モードを使用するログの場合、診断設定で選択したログカテゴリごとに、選択したワークスペース内の個々のテーブルが作成されます。リソース固有のログには、Azure 診断ログよりも次の利点があります。

ログクエリ内のデータの操作が容易になる。
スキーマとその構造の検出の可能性が高まる。
インジェストの待ち時間とクエリ時間でパフォーマンスが向上する。
特定のテーブルに対して Azure ロールベースのアクセス制御権限を付与する機能が提供される。

リソース固有のログとテーブルの詳細については、「Azure Monitor でサポートされるリソースログのカテゴリ」を参照してください。

Azure 診断モード

Azure 診断モードでは、診断設定のすべてのデータが AzureDiagnostics テーブルに収集されます。この従来の方法は、現在、少数の Azure サービスで使用されています。複数の種類のリソースから同じテーブルにデータが送信されるため、そのスキーマは、収集されるすべての種類のデータ型のスキーマのスーパーセットになります。このテーブルの構造の詳細と、この潜在的に多数の列でどのように機能するかについては、AzureDiagnostics のリファレンスを参照してください。

AzureDiagnostics テーブルには、ログを生成したリソースの resourceId、ログのカテゴリ、ログが生成された時刻、およびリソース固有のプロパティが含まれます。

コレクションモードを選択する

ほとんどの Azure リソースでは、ユーザーに選択肢を与えることなく、Azure 診断またはリソース固有モードでワークスペースにデータが書き込まれます。詳細については、「Azure リソースログの共通およびサービス固有のスキーマ」を参照してください。

最終的にすべての Azure サービスで、リソース固有モードが使用されます。この移行の一環として、一部のリソースでは診断設定でモードを選択できます。リソース固有モードを使用すると、データの管理がしやすくなるため、新しい診断設定にはこのモードを指定してください。また、後で複雑な移行を回避するのにも役立ちます。

注

Azure Resource Manager テンプレートを使用してコレクションモードを設定する例については、「Azure Monitor の診断設定用の Resource Manager テンプレートのサンプル」を参照してください。

既存の診断設定をリソース固有モードに変更できます。この場合、既に収集されたデータは、ワークスペースの保持期間の設定に従って削除されるまで、AzureDiagnostics テーブル内に残ります。新しいデータは専用のテーブルに収集されます。両方のテーブルのデータに対してクエリを実行するには、union 演算子を使用します。

リソース固有モードをサポートしている Azure サービスに関するお知らせは、Azure の更新情報ブログを引き続きご覧ください。

リソースログを Azure の外部に送信するには、イベントハブに送信します。たとえば、リソースログは、サードパーティの SIEM またはその他のログ分析ソリューションに送信される場合があります。

イベントハブからのリソースログは、各ペイロードのレコードを含む records 要素を含む JSON 形式で消費されます。「Azure リソースログの共通およびサービス固有のスキーマ」で説明されているように、スキーマはリソースの種類によって異なります。

次のサンプル出力データは、リソースログの Azure Event Hubs からのものです。

{
    "records": [
        {
            "time": "2019-07-15T18:00:22.6235064Z",
            "workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
            "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330013509921957/ACTIONS/SEND_EMAIL",
            "category": "WorkflowRuntime",
            "level": "Error",
            "operationName": "Microsoft.Logic/workflows/workflowActionCompleted",
            "properties": {
                "$schema": "2016-04-01-preview",
                "startTime": "2016-07-15T17:58:55.048482Z",
                "endTime": "2016-07-15T18:00:22.4109204Z",
                "status": "Failed",
                "code": "BadGateway",
                "resource": {
                    "subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
                    "resourceGroupName": "JohnKemTest",
                    "workflowId": "2222cccc-33dd-eeee-ff44-aaaaaa555555",
                    "workflowName": "JohnKemTestLA",
                    "runId": "08587330013509921957",
                    "___location": "westus",
                    "actionName": "Send_email"
                },
                "correlation": {
                    "actionTrackingId": "3333dddd-44ee-ffff-aa55-bbbbbbbb6666",
                    "clientTrackingId": "08587330013509921958"
                }
            }
        },
        {
            "time": "2019-07-15T18:01:15.7532989Z",
            "workflowId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA",
            "resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/JOHNKEMTEST/PROVIDERS/MICROSOFT.LOGIC/WORKFLOWS/JOHNKEMTESTLA/RUNS/08587330012106702630/ACTIONS/SEND_EMAIL",
            "category": "WorkflowRuntime",
            "level": "Information",
            "operationName": "Microsoft.Logic/workflows/workflowActionStarted",
            "properties": {
                "$schema": "2016-04-01-preview",
                "startTime": "2016-07-15T18:01:15.5828115Z",
                "status": "Running",
                "resource": {
                    "subscriptionId": "AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E",
                    "resourceGroupName": "JohnKemTest",
                    "workflowId": "dddd3333-ee44-5555-66ff-777777aaaaaa",
                    "workflowName": "JohnKemTestLA",
                    "runId": "08587330012106702630",
                    "___location": "westus",
                    "actionName": "Send_email"
                },
                "correlation": {
                    "actionTrackingId": "ffff5555-aa66-7777-88bb-999999cccccc",
                    "clientTrackingId": "08587330012106702632"
                }
            }
        }
    ]
}

リソースログを Azure Storage に送信し、アーカイブ用に保持します。診断設定の作成後、有効にしたいずれかのログカテゴリのイベントが発生するとすぐ、ストレージアカウントにストレージコンテナーが作成されます。

注

アーカイブに代わる方法としては、低コストで長期保有の Log Analytics ワークスペースのテーブルにリソースログを送信します。

コンテナー内の BLOB には、次の名前付け規則が使用されます。

insights-logs-{log category name}/resourceId=/SUBSCRIPTIONS/{subscription ID}/RESOURCEGROUPS/{resource group name}/PROVIDERS/{resource provider name}/{resource type}/{resource name}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

ネットワークセキュリティグループの BLOB には、この例のような名前を付けることができます。

insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUP/TESTNSG/y=2016/m=08/d=22/h=18/m=00/PT1H.json

各 PT1H.json BLOB には、BLOB URL で指定されている時間に受信したログファイルからのイベントを含む JSON オブジェクトが含まれています。現在の時間中、イベントは生成された時間に関係なく、受信されたときに PT1H.json ファイルに追加されます。 BLOB は 1 時間ごとに作成されるため、URL の分を示す数値 (m=00) は常に 00 です。

PT1H.json ファイル内では、各イベントは、次の形式で保存されます。これには一般的な最上位スキーマが使用されますが、「リソースログのスキーマ」で説明されているように、各 Azure サービスに固有です。

注

ログは、生成された時間に関係なく、ログが受信された時刻に基づいて BLOB に書き込まれます。これは、特定の BLOB に、BLOB の URL で指定された時間外のログデータを含めることができることを意味します。古いテレメトリのアップロードがサポートされている Application Insights のようなデータソースの場合、BLOB には過去 48 時間のデータが含まれている可能性があります。新しい 1 時間の開始時に、新しいログが新しい時間の BLOB に書き込まれる間も、既存のログが前の時間の BLOB に書き込まれている可能性があります。

{"time": "2016-07-01T00:00:37.2040000Z","systemId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1","category": "NetworkSecurityGroupRuleCounter","resourceId": "/SUBSCRIPTIONS/AAAA0A0A-BB1B-CC2C-DD3D-EEEEEE4E4E4E/RESOURCEGROUPS/TESTRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/TESTNSG","operationName": "NetworkSecurityGroupCounters","properties": {"vnetResourceGuid": "{aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e}","subnetPrefix": "10.3.0.0/24","macAddress": "000123456789","ruleName": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/testresourcegroup/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/default-allow-rdp","direction": "In","type": "allow","matchedConnections": 1988}}

カテゴリとスキーマ

すべてのリソースログは、共通の最上位スキーマを共有します。各サービスは、独自のログの一意のプロパティを定義します。各サービスの共通スキーマとスキーマについては、Azure リソースログの共通スキーマとサービス固有のスキーマを参照してください。各サービスでサポートされているさまざまなカテゴリと、各カテゴリのスキーマへのリンクについては、Azure Monitor でサポートされているリソースログカテゴリを参照してください。

次の方法で共有

Azure Monitor のリソース ログ

リソース ログの収集

目的地

コレクション モード

リソース固有

Azure 診断モード

コレクション モードを選択する

カテゴリとスキーマ

次のステップ

フィードバック

その他のリソース

Azure Monitor のリソースログ

リソースログの収集

コレクションモード

コレクションモードを選択する