Azure Monitor のアクティビティログ

2025-07-22

Azure Monitor アクティビティログは、Azure リソースからのコントロールプレーンイベントのプラットフォームログです。これには、リソースが変更されたときやデプロイエラーが発生した場合などの情報が含まれます。アクティビティログを使用して、監視するリソースについてこの情報を確認または監査するか、イベントが作成されたときに事前に通知されるアラートを作成します。

ヒント

デプロイ操作エラーからこの記事に指示された場合は、「一般的な Azure デプロイエラーのトラブルシューティング」を参照してください。

アクティビティログエントリ

アクティビティログのエントリは既定で収集され、構成は必要ありません。これらはシステムによって生成され、変更または削除することはできません。通常、エントリは変更 (作成、更新、削除操作) または開始されたアクションの結果です。リソースの詳細の読み取りに重点を置いた操作は、通常はキャプチャされません。アクティビティログカテゴリの説明については、 Azure アクティビティログイベントスキーマに関するページを参照してください。

注

コントロールプレーン上の操作は、Azure リソースログに記録されます。これらは既定では収集されず、診断設定を収集する必要があります。

保持期間

アクティビティログイベントは Azure に 90 日間 保持され、削除されます。ボリュームに関係なく、この期間中のエントリに対して料金は発生しません。保持期間を長くするなど、より多くの機能を使用するには、診断設定を作成し、ニーズに基づいてエントリを別の場所にルーティングします。

アクティビティログの表示と取得

アクティビティログには、Azure portal のほとんどのメニューからアクセスできます。開くメニューによって、最初のフィルターが決まります。 [監視] メニューから開くと、サブスクリプションに対するフィルターのみが表示されます。リソースのメニューから開くと、フィルターはそのリソースに対して設定されます。いつでもフィルターを変更して、他のすべてのエントリを表示できます。フィルターにプロパティを追加するには、[フィルターの追加 ] を選択します。

次の方法を使用して、アクティビティログイベントにアクセスすることもできます。

PowerShell からアクティビティログを取得するには、Get-AzLog コマンドレットを使用します。「Azure Monitor PowerShell のサンプル」を参照してください。
CLI からアクティビティログエントリを取得するには、az monitor activity-log を使用します。 Azure Monitor CLI のサンプルをご覧ください。

REST クライアントからアクティビティログを取得するには、Azure Monitor REST API を使用します。

変更履歴を表示する

イベントによっては、変更履歴を表示することができます。そこには、そのイベントの間に発生した変更が表示されます。アクティビティログから、詳細を確認したいイベントを選びます。 [ 変更履歴 ] タブを選択すると、操作の時刻の最大 30 分前と後にリソースに対する変更が表示されます。

イベントに関連する変更がある場合は、表示される変更のリストから選ぶことができます。変更を選択すると、[ 変更履歴 ] ページが開きます。このページには、リソースに対する変更が表示されます。次の例では、VM のサイズが変更されていることがわかります。ページには、変更前と変更後の VM サイズが表示されます。変更履歴の詳細については、「リソースの変更を取得する」を参照してください。

アクティビティログの分析情報

アクティビティログ分析情報は、サブスクリプション内のリソースとリソースグループへの変更を監視する一連のダッシュボードを提供するブックです。ダッシュボードには、サブスクリプションでアクティビティを実行したユーザーまたはサービスとアクティビティの状態に関するデータも表示されます。

アクティビティログの分析情報を有効にするには、「アクティビティログのエクスポート」の説明に従って、アクティビティログを Log Analytics ワークスペースにエクスポートします。これにより、アクティビティログ分析情報によって使用される AzureActivity テーブルにイベントが送信されます。

アクティビティログの分析情報は、サブスクリプションまたはリソースレベルで開くことができます。サブスクリプションの場合は、[監視] メニューの [ワークブック] セクションから [アクティビティログの分析情報] を選択します。

個々のリソースの場合は、リソースのメニューの ワークブック セクションから アクティビティログの分析情報 を選択します。

アクティビティログのエクスポート

追加の保持時間と機能のために、アクティビティログエントリを他の宛先に送信する診断設定を作成します。診断設定を作成する詳細な手順については、Azure Monitor の診断設定を参照してください。

以下の情報は、リソースログの送信先の詳細を示しています。

次の機能のために、アクティビティログを Log Analytics ワークスペースに送信します。

ログクエリを使用して、アクティビティログを他のログデータと関連付ける。
アクティビティログアラートよりも複雑なロジックを使用できるログアラートを作成します。
Power BI を使用してアクティビティログデータにアクセスします。
90 日を超えるアクティビティログデータを保持します。

既定の保持期間が 90 日間のアクティビティログには、データインジェストまたはリテンション期間の料金が発生します。保持期間を最大 12 年まで増やすことができます。

Log Analytics ワークスペースのアクティビティログデータは、 AzureActivity というテーブルに格納されます。このテーブルの構造はログエントリのカテゴリによって異なります。

たとえば、各カテゴリのアクティビティログレコードの数を表示するには、次のクエリを使用します。

AzureActivity
| summarize count() by CategoryValue

管理カテゴリのすべてのレコードを取得するには、次のクエリを使用します。

AzureActivity
| where CategoryValue == "Administrative"

重要

シナリオによっては、AzureActivity のフィールドの値が、大文字と小文字の区別が異なるだけで、それ以外の点では同じ値である場合があります。 AzureActivity のデータに対してクエリを実行する際には、文字列比較に大文字と小文字を区別しない演算子を使用するか、比較を行う前に、スカラー関数を使用してフィールドの大文字と小文字の区別を統一します。例えば、フィールドに tolower() 関数を使用して常に小文字にする、または、文字列を比較する際に =~ 演算子を使用します。

アクティビティログを Azure Event Hubs に送信して、Azure の外部のエントリ (たとえば、サードパーティの SIEM やその他のログ分析ソリューション) に送信します。イベントハブからのアクティビティログイベントは、各ペイロードにレコードを格納する records 要素で JSON 形式で使用されます。スキーマはカテゴリによって異なり、「Azure アクティビティログのイベントスキーマ」で説明されています。

次のサンプル出力データは、アクティビティログのイベントハブからのものです。

{
    "records": [
        {
            "time": "2019-01-21T22:14:26.9792776Z",
            "resourceId": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
            "operationName": "microsoft.support/supporttickets/write",
            "category": "Write",
            "resultType": "Success",
            "resultSignature": "Succeeded.Created",
            "durationMs": 2826,
            "callerIpAddress": "111.111.111.11",
            "correlationId": "aaaa0000-bb11-2222-33cc-444444dddddd",
            "identity": {
                "authorization": {
                    "scope": "/subscriptions/s1/resourceGroups/MSSupportGroup/providers/microsoft.support/supporttickets/115012112305841",
                    "action": "microsoft.support/supporttickets/write",
                    "evidence": {
                        "role": "Subscription Admin"
                    }
                },
                "claims": {
                    "aud": "https://management.core.windows.net/",
                    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
                    "iat": "1421876371",
                    "nbf": "1421876371",
                    "exp": "1421880271",
                    "ver": "1.0",
                    "http://schemas.microsoft.com/identity/claims/tenantid": "ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
                    "http://schemas.microsoft.com/claims/authnmethodsreferences": "pwd",
                    "http://schemas.microsoft.com/identity/claims/objectidentifier": "2468adf0-8211-44e3-95xq-85137af64708",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn": "admin@contoso.com",
                    "puid": "20030000801A118C",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "9vckmEGF7zDKk1YzIY8k0t1_EAPaXoeHyPRn6f413zM",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname": "John",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname": "Smith",
                    "name": "John Smith",
                    "groups": "cacfe77c-e058-4712-83qw-f9b08849fd60,7f71d11d-4c41-4b23-99d2-d32ce7aa621c,31522864-0578-4ea0-9gdc-e66cc564d18c",
                    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": " admin@contoso.com",
                    "appid": "00001111-aaaa-2222-bbbb-3333cccc4444",
                    "appidacr": "2",
                    "http://schemas.microsoft.com/identity/claims/scope": "user_impersonation",
                    "http://schemas.microsoft.com/claims/authnclassreference": "1"
                }
            },
            "level": "Information",
            "location": "global",
            "properties": {
                "statusCode": "Created",
                "serviceRequestId": "50d5cddb-8ca0-47ad-9b80-6cde2207f97c"
            }
        }
    ]
}

監査、静的分析、またはバックアップのためにログデータを 90 日より長く保持する場合は、アクティビティログを Azure Storage アカウントに送信します。イベントを保持する必要があるのが 90 日以内の場合は、ストレージアカウントにアーカイブを設定する必要はありません。

アクティビティログをストレージに送信すると、イベントが発生するとすぐにストレージアカウントにストレージコンテナーが作成されます。コンテナー内の BLOB には、次の名前付け規則が使用されます。

insights-activity-logs/resourceId=/SUBSCRIPTIONS/{subscription ID}/y={four-digit numeric year}/m={two-digit numeric month}/d={two-digit numeric day}/h={two-digit 24-hour clock hour}/m=00/PT1H.json

たとえば、特定の BLOB には次のような名前が付けられることがあります。

insights-activity-logs/resourceId=/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/y=2020/m=06/d=08/h=18/m=00/PT1H.json

各 PT1H.json BLOB には、BLOB URL で指定された時間内に受信されたログファイルからのイベントを含む JSON オブジェクトが含まれています。現在の時間中、イベントは生成された時間に関係なく、受信されたときに PT1H.json ファイルに追加されます。 BLOB は 1 時間ごとに作成されるため、URL の分を示す数値 (m=00) は常に 00 です。

各イベントは、次の形式で PT1H.json ファイルに保存されます。この形式は、一般的な最上位スキーマを使用しますが、それ以外については、「アクティビティログのスキーマ」で説明されているようにカテゴリごとに固有の形式となっています。

{ "time": "2020-06-12T13:07:46.766Z", "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MY-RESOURCE-GROUP/PROVIDERS/MICROSOFT.COMPUTE/VIRTUALMACHINES/MV-VM-01", "correlationId": "bbbb1111-cc22-3333-44dd-555555eeeeee", "operationName": "Microsoft.Resourcehealth/healthevent/Updated/action", "level": "Information", "resultType": "Updated", "category": "ResourceHealth", "properties": {"eventCategory":"ResourceHealth","eventProperties":{"title":"This virtual machine is starting as requested by an authorized user or process. It will be online shortly.","details":"VirtualMachineStartInitiatedByControlPlane","currentHealthStatus":"Unknown","previousHealthStatus":"Unknown","type":"Downtime","cause":"UserInitiated"}}}

CSV にエクスポート

Azure portal を使用してアクティビティログを CSV ファイルにエクスポートするには、[ CSV としてダウンロード ] を選択します。

重要

大量のログエントリがある場合、エクスポートに過剰な時間がかかる可能性があります。パフォーマンスを向上させるには、エクスポートの時間範囲を減らします。 Azure portal では、これは Timespan 設定で設定されます。

次の例のように、PowerShell または Azure CLI を使用して、アクティビティログを CSV ファイルにエクスポートすることもできます。

az monitor activity-log list --start-time "2024-03-01T00:00:00Z" --end-time "2024-03-15T23:59:59Z" --max-items 1000 > activitylog.json

Get-AzActivityLog -StartTime 2021-12-01T10:30 -EndTime 2022-01-14T11:30 | Export-csv operations_logs.csv

次の PowerShell スクリプトの例では、アクティビティログを 1 時間間隔で CSV ファイルにエクスポートし、それぞれを別のファイルに保存します。

# Parameters
$subscriptionId = "Subscription ID here"  # Replace with your subscription ID
$startTime = [datetime]"2025-05-08T00:00:00" # Adjust as needed
$endTime = [datetime]"2025-05-08T12:00:00"  # Adjust as needed
$outputFolder = "\Logs"    # Change path as needed
 
# Ensure output folder exists
if (-not (Test-Path $outputFolder)) {
    New-Item -Path $outputFolder -ItemType Directory
}
 
# Set subscription context
Set-AzContext -SubscriptionId $subscriptionId
 
# Loop through 1-hour intervals
$currentStart = $startTime
while ($currentStart -lt $endTime) {
    $currentEnd = $currentStart.AddHours(1)
    $timestamp = $currentStart.ToString("yyyyMMdd-HHmm")
    $csvFile = Join-Path $outputFolder "ActivityLog_$timestamp.csv"
 
    Write-Host "Fetching logs from $currentStart to $currentEnd..."
    Get-AzActivityLog -StartTime $currentStart -EndTime $currentEnd |
        Export-Csv -Path $csvFile -NoTypeInformation
 
    $currentStart = $currentEnd
}
 
Write-Host "Export completed. Files saved to $outputFolder."

次のステップ

詳細については、以下をご覧ください。

次の方法で共有

Azure Monitor のアクティビティ ログ

アクティビティ ログ エントリ

保持期間

アクティビティ ログの表示と取得

変更履歴を表示する

アクティビティ ログの分析情報

アクティビティ ログのエクスポート