Azure Monitor の診断設定

2025-08-12

Azure Monitor の診断設定を使用すると、リソースログを収集し、プラットフォームメトリックとアクティビティログをさまざまな宛先に送信できます。データを収集するリソースごとに個別の診断設定を作成します。各設定では、収集するリソースのデータと、そのデータの送信先を定義します。この記事では、診断設定の作成方法や、データの送信に使用できる宛先など、診断設定の詳細について説明します。

次のビデオでは、診断設定を使用してリソースプラットフォームログをルーティングする方法について説明します。ビデオの録画以降、診断設定に次の変更が加えられましたが、この記事ではこれらのトピックについて説明します。

Azure Monitor パートナー
カテゴリグループ

Warning

そのリソースを削除または名前変更する場合、またはリソースグループまたはサブスクリプション間で移行する場合は、リソースの診断設定を削除します。診断設定が削除されず、このリソースが再作成された場合は、削除されたリソースの診断設定を新しいリソースに適用できます。これにより、診断設定で定義されているリソースログの収集が再開されます。

Sources

診断設定では、次の表のソースからデータを収集できます。各リンク先のソースとその形式によって収集されるデータの詳細については、リンクされた各記事を参照してください。

データソース	Description
プラットフォームのメトリック	構成なしで自動的に収集されます。診断設定を使用して、プラットフォームメトリックを他の宛先に送信します。
アクティビティログ	構成なしで自動的に収集されます。診断設定を使用して、アクティビティログエントリを他の宛先に送信します。
リソースログ	既定では収集されません。リソースログを収集するための診断設定を作成します。

Destinations

診断設定は、次の表の宛先にデータを送信します。転送中のデータのセキュリティを確保するために、すべての宛先エンドポイントが TLS 1.2 をサポートするように構成されています。

1 つの診断設定では、各宛先を 1 つだけ定義することができます。特定の種類の複数の宛先 (たとえば、2 つの異なる Log Analytics ワークスペース) にデータを送信する場合は、複数の設定を作成します。各リソースには、最大 5 つの診断設定を作成できます。

診断設定で使用される宛先は、設定を作成する前に存在している必要があります。設定を構成するユーザーが両方のサブスクリプションに対して適切な Azure ロールベースのアクセス制御アクセス権を持っている場合、宛先はログを送信するリソースと同じサブスクリプションに属している必要はありません。 Azure Lighthouse を使用して、別の Microsoft Entra テナントに宛先を含めます。

Destination	Description	Requirements
Log Analytics ワークスペース	ログクエリとワークブックを使用してデータを取得します。ログアラートを使用して、データに対して事前にアラートを生成します。さまざまな Azure リソースで使用されるテーブルについては、 Azure Monitor リソースログリファレンスを参照してください。	Log Analytics ワークスペース内のすべてのテーブルは、最初のデータがワークスペースに送信されるときに自動的に作成されるため、ワークスペース自体のみが存在する必要があります。
Azure Storage アカウント	監査、静的分析、またはバックアップ用に保存します。ストレージは他のオプションよりもコストが低く、無期限に保持できます。変更を防ぐために、変更できないストレージにデータを送信します。 Azure Blob Storage の不変ポリシーの設定と管理に関する説明に従って、ストレージアカウントの不変ポリシーを設定してください。	ストレージアカウントは、リソースがリージョンである場合に監視対象のリソースと同じリージョンに存在する必要があります。仮想ネットワークが有効になっている場合、診断設定からストレージアカウントにアクセスできません。ストレージアカウントで、このファイアウォール設定をバイパスするように [信頼された Microsoft サービスを許可する] を有効にして、Azure Monitor 診断設定サービスにストレージアカウントへのアクセス権が付与されるようにする必要があります。 Azure DNS ゾーンエンドポイント (プレビュー) と Premium ストレージアカウントは、移行先としてサポートされていません。 Standard ストレージアカウントはすべてサポートされています。
Azure Event Hubs	サードパーティの SIEM やその他の Log Analytics ソリューションなどの外部システムにデータをストリーミングします。	イベントハブは、リソースがリージョンである場合に監視対象のリソースと同じリージョンに存在する必要があります。仮想ネットワークが有効になっている場合、診断設定はイベントハブにアクセスできません。ストレージアカウントで、このファイアウォール設定をバイパスするように [信頼された Microsoft サービスを許可する] を有効にして、Azure Monitor 診断設定サービスにストレージアカウントへのアクセス権が付与されるようにする必要があります。イベントハブ名前空間の共有アクセスポリシーは、ストリーミングメカニズムに与えるアクセス許可を定義します。 Event Hubs へのストリーミングには、 `Manage`、 `Send`、および `Listen` のアクセス許可が必要です。ストリーミングを含むように診断設定を更新するには、その Event Hubs 承認規則に対する `ListKey` アクセス許可が必要です。
Azure Monitor パートナーソリューション	Azure Monitor と Microsoft 以外のその他の監視プラットフォームとの間で特殊な統合を行うことができます。ソリューションはパートナーによって異なります。	詳細については、 Azure Native ISV Services のドキュメントを参照してください。

診断設定の作成

診断設定は、次のいずれかの方法で作成できます。

Note

アクティビティログの診断設定を作成するには、「アクティビティログのエクスポート」を参照してください。

次の手順を使用して、新しい診断設定を作成するか、Azure portal で既存の診断設定を編集します。

リソースのメニューの [監視] セクションで [診断設定] を選択するか、[Azure Monitor] メニューの [設定] で [診断設定] を選択し、リソースを選択します。
[ 診断設定の追加] を選択して新しい設定を追加するか 、編集設定 を選択して既存の設定を編集します。同じ種類の複数の宛先に送信する場合は、リソースに対して複数の診断設定が必要になる場合があります。次の例はキーボールトリソースの設定を示していますが、他のリソースの設定画面も似たようなものになります。
まだ設定されていない場合は、わかりやすい名前を付けます。
ルーティングするログとメトリック: ログの場合は、カテゴリグループを選択するか、後で指定した宛先に送信するデータのカテゴリごとに個々のチェックボックスをオンにします。カテゴリの一覧は、Azure サービスごとに異なります。プラットフォームメトリックを収集する場合 は、[AllMetrics ] を選択します。
宛先の詳細: 診断設定に含める必要がある各宛先のチェックボックスをオンにし、それぞれの詳細を指定します。宛先として Log Analytics ワークスペースを選択した場合は、収集モードの指定が必要になる場合があります。詳細については、コレクションモードを参照してください。

New-AzDiagnosticSetting コマンドレットを使用して、Azure PowerShell で診断設定を作成します。パラメーターの説明については、このコマンドレットのドキュメントを参照してください。

Important

アクティビティログにはこのメソッドを使用できません。代わりに、Azure Monitor での Azure Resource Manager テンプレートを使用した診断設定の作成に関するページを参照して、Resource Manager テンプレートを作成し、それを PowerShell を使用してデプロイします。

次の PowerShell スクリプトの例では、キーコンテナーのすべてのログとメトリックを Log Analytics ワークスペースに送信する診断設定を作成します。

$KV = Get-AzKeyVault -ResourceGroupName <resource group name> -VaultName <key vault name>
$Law = Get-AzOperationalInsightsWorkspace -ResourceGroupName <resource group name> -Name <workspace name>  # LAW name is case sensitive

$metric = New-AzDiagnosticSettingMetricSettingsObject -Enabled $true -Category AllMetrics
$log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -CategoryGroup allLogs  # use audit for only audit logs
New-AzDiagnosticSetting -Name 'KeyVault-Diagnostics' -ResourceId $KV.ResourceId -WorkspaceId $Law.ResourceId -Log $log -Metric $metric -Verbose

Azure CLI を使用して診断設定を作成するには、az monitor diagnostic-settings create コマンドを使用します。パラメーターの説明については、このコマンドのドキュメントを参照してください。

Important

アクティビティログにはこのメソッドを使用できません。代わりに、Azure Monitor での Resource Manager テンプレートを使用した診断設定の作成に関するページを参照して、Resource Manager テンプレートを作成し、それを Azure CLI を使用してデプロイします。

次のサンプルスクリプトでは、3 つの宛先すべてにデータを送信する診断設定を作成します。サービスでサポートされている場合にリソース固有のモードを指定するには、export-to-resource-specific の値を持つtrue パラメーターを追加します。

az monitor diagnostic-settings create  \
--name KeyVault-Diagnostics \
--resource /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.KeyVault/vaults/mykeyvault \
--logs    '[{"category": "AuditEvent","enabled": true}]' \
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--storage-account /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--event-hub-rule /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.EventHub/namespaces/<event hub namespace>/authorizationrules/RootManageSharedAccessKey \
--event-hub <event hub name> \
--export-to-resource-specific true

次のサンプルテンプレートでは、すべての監査ログを Log Analytics ワークスペースに送信する診断設定を作成します。 apiVersionは、スコープ内のリソースに応じて変更できます。他のリソースのサンプルテンプレートについては、Azure Monitor の診断設定に関する Resource Manager テンプレートのサンプルを参照してください。

テンプレートファイル

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "scope": {
        "type": "string"
    },
    "workspaceId": {
        "type": "string"
    },
    "settingName": {
        "type": "string"
    }
},
  "resources": [
    {
      "type": "Microsoft.Insights/diagnosticSettings",
      "apiVersion": "2021-05-01-preview",
      "scope": "[parameters('scope')]",
      "name": "[parameters('settingName')]",
      "properties": {
       "workspaceId": "[parameters('workspaceId')]",
      "logs": [
             {
            "category": null,
            "categoryGroup": "audit",
            "enabled": true
          }
        ]
      }
    }
  ]
  }

パラメーターファイル

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "audit3"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

カテゴリグループ

カテゴリグループを使用すると、個々のログカテゴリを選択する代わりに、定義済みのグループに基づいてリソースログを収集できます。 Microsoft では、一般的なユースケースの監視に役立つグループを定義します。グループ内のカテゴリが更新されると、ログコレクションが自動的に変更されます。すべての Azure サービスでカテゴリグループが使用されるわけではありません。特定のリソースに対してカテゴリグループを使用できない場合、診断設定の作成時にこのオプションは使用できません。

診断設定でカテゴリグループを使用する場合、個々のカテゴリの種類を選択することはできません。現時点では、次の 2 つのカテゴリグループがあります。

allLogs: リソースのすべてのカテゴリ。
監査: 顧客とデータまたはサービスの設定との対話を記録するすべてのリソースログ。 allLogs カテゴリグループを選択する場合は、このカテゴリグループを選択する必要はありません。

Note

Azure SQL Database の診断設定で [監査] カテゴリを有効にしても、データベースの監査はアクティブになりません。データベース監査を有効にするには、Azure Database の監査ブレードから有効にする必要があります。

メトリクスの制約

診断設定を使用して、すべてのメトリックを Log Analytics ワークスペースに送信できるわけではありません。 サポートされているメトリックの一覧の [エクスポート可能] 列を参照してください。

現在、診断設定では多次元メトリックはサポートされていません。ディメンションを持つメトリックは、フラット化された 1 次元メトリックとしてエクスポートされ、ディメンション値間で集計されます。たとえば、ブロックチェーンに関する IOReadBytes メトリックは、ノードレベルごとに探索してグラフ化できます。診断設定を使用してエクスポートすると、エクスポートされたメトリックには、すべてのノードのすべての読み取りバイトが表示されます。

特定のメトリックの制限を回避するには、 Metrics REST API を使用して手動で抽出し、ログインジェスト API を使用して Log Analytics ワークスペースにインポートします。

コストの制御

診断設定によって収集されるデータにはコストがかかる場合があります。コストは、選択した宛先と収集されるデータの量によって異なります。詳細については、「Azure Monitor の価格」を参照してください。

各サービスに必要なカテゴリのみを収集します。また、プラットフォームメトリックはすでにメトリックで収集されているため、Azure リソースからは収集しないことをお勧めします。ログクエリを使用してより複雑な分析を行うためにワークスペースにメトリックデータが必要な場合にのみ、診断データを構成してメトリックを収集するようにしてください。

診断設定では、選択したカテゴリ内で細かいフィルター処理を行うことはできません。変換を使用して、Log Analytics ワークスペースでサポートされているテーブルのデータをフィルター処理できます。詳細については、 Azure Monitor での変換に関するページを参照してください。

テレメトリが宛先に到達するまでの時間

診断設定を作成すると、90 分以内に選択した宛先へのデータのフローが開始されます。 Log Analytics ワークスペースにデータを送信すると、テーブルがまだ存在しない場合は自動的に作成されます。テーブルは、最初のログレコードを受信したときにのみ作成されます。 24 時間以内に情報が得つからない場合は、次のいずれかの問題が発生している可能性があります。

ログが生成されていない。
根本的なルーティングメカニズムに問題が発生している。

問題が発生している場合は、構成を無効にしてから再度有効化してください。問題が引き続き発生する場合は、Azure portal から Azure サポートにお問い合わせください。

Troubleshooting

メトリックカテゴリはサポートされていません
Resource Manager テンプレート、REST API、Azure CLI、または Azure PowerShell を使用すると、メトリックカテゴリ 'xxxx' はサポートされていません というようなエラーメッセージが表示されることがあります。 AllMetrics 以外のメトリックカテゴリは、限られた数の Azure サービスを除いてサポートされていません。 AllMetrics以外のメトリックカテゴリ名を削除し、デプロイを繰り返します。

resourceID の ASCII 以外の文字が原因で設定が消える
診断設定では、ASCII 以外の文字 (Preproduccón など) を持つリソース ID はサポートされていません。 Azure でリソースの名前を変更することはできないため、非 ASCII 文字を使用せずに新しいリソースを作成する必要があります。文字がリソースグループ内にある場合は、そのリソースを新しいグループに移動できます。

非アクティブなリソース
リソースが非アクティブで、ゼロ値のメトリックをエクスポートしている場合、診断設定のエクスポートメカニズムは段階的にバックオフして、ゼロ値のエクスポートと保存という不要なコストを回避します。このバックオフにより、次のゼロ以外の値のエクスポートが遅延する可能性があります。この動作は、エクスポートされたメトリックにのみ適用され、メトリックベースのアラートや自動スケーリングには影響しません。

リソースが 1 時間非アクティブになると、エクスポートメカニズムは 15 分に戻ります。つまり、次のゼロ以外の値がエクスポートされるまでに最大 15 分の待機時間が発生する可能性があります。 7 日間の非アクティブ期間の後、最大 2 時間のバックオフ時間に達します。リソースがゼロ以外の値のエクスポートを開始すると、エクスポートメカニズムは元のエクスポート待機時間の 3 分に戻ります。

Application Insights のデータを複製する
ワークスペースベースの Application Insights アプリケーションの診断設定では、Application Insights 自体と同じデータが収集されます。これにより、コピー先がアプリケーションで使用されているのと同じ Log Analytics ワークスペースである場合、重複データが収集されます。 Application Insights の診断設定を作成して、別の Log Analytics ワークスペースまたは別の宛先にデータを送信します。

次の方法で共有

Azure Monitor の診断設定

Sources

Destinations

診断設定の作成

カテゴリ グループ

メトリクスの制約

コストの制御

テレメトリが宛先に到達するまでの時間

Troubleshooting

次のステップ

フィードバック

その他のリソース

カテゴリグループ