監査ログ、診断、アクティビティ履歴
このチュートリアルでは、Azure Event Hubsを使用してMicrosoft Purview データ マップの監査ログと診断 ログを有効にしてキャプチャするために必要なステップ バイ ステップ構成の一覧を示します。
Microsoft Purview 管理者または Microsoft Purview データ ソース管理者は、Microsoft Purview データ マップからキャプチャされた監査と診断ログを監視する機能が必要です。 監査と診断情報は、実行されたアクションのタイムスタンプ付き履歴と、すべてのユーザーが Microsoft Purview アカウントに加えた変更で構成されます。 キャプチャされたアクティビティ履歴には、Microsoft Purview ポータルまたは REST API を使用して行われたアクションが含まれます。
このチュートリアルでは、監査ログを有効にする手順について説明します。 また、Azure Diagnostics イベント ハブを介して Microsoft Purview ポータルからストリーミング監査イベントを構成してキャプチャする方法についても説明します。
監査と診断を有効にする
次のセクションでは、監査と診断を有効にするプロセスについて説明します。
Event Hubs の構成
Azure Resource Manager (ARM) テンプレート (GitHub) を使用して、Azure Event Hubs名前空間を作成します。 この自動 Azure ARM テンプレートは、必要な構成で Event Hubs インスタンスのデプロイと作成を完了します。
詳しい説明と手動セットアップの場合:
- Event Hubs: ARM テンプレートを使用して Event Hubs キャプチャを有効にする
- Event Hubs: Azure portalを使用して、イベント ストリーミングのキャプチャを手動で有効にする
Microsoft Purview アカウントを Diagnostics イベント ハブに接続する
Event Hubs がデプロイされ、作成されたので、監査ログ診断 Microsoft Purview アカウントを Event Hubs に接続します。
Microsoft Purview アカウントのホーム ページに移動します。 このページでは、概要情報がAzure portalに表示されます。 Microsoft Purview ガバナンス ポータルのホーム ページではありません。
左側のメニューで、[ 監視>診断設定] を選択します。
![[診断設定] の選択を示すスクリーンショット。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-e.png)
[ 診断設定の追加] または [設定の編集] を選択します。 Microsoft Purview のコンテキストに複数の診断設定行を追加することはお勧めしません。 つまり、診断設定行が既にある場合は、[ 診断の追加] を選択しないでください。 代わりに [ 編集] を 選択します。
![[診断設定の追加または編集] 画面を示すスクリーンショット。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-f.png)
監査ログの収集を有効にするには、[ 監査 ] チェック ボックスと [ allLogs ] チェック ボックスをオンにします。 必要に応じて、アカウントの Data Map 容量ユニットとデータ マップ サイズ メトリックもキャプチャする場合は、[ AllMetrics ] を選択します。
![[診断設定] の選択を示すスクリーンショット。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-e.png#lightbox)
![[診断設定の追加または編集] 画面を示すスクリーンショット。](media/tutorial-purview-audit-logs-diagnostics/azure-purview-diagnostics-audit-eventhub-f.png#lightbox)
Microsoft Purview アカウントの診断構成が完了しました。
監査ログの構成診断完了したら、Event Hubs のデータ キャプチャとデータ保持設定を構成します。
Azure portalホーム ページに移動し、前に作成した Event Hubs 名前空間の名前を検索します。
Event Hubs 名前空間に移動します。 [ Event Hubs>Capture Data] を選択します。
監査と診断をキャプチャしてストリーミングする Event Hubs 名前空間とイベント ハブの名前を指定します。 ストリーミング イベントの保持期間の [時間枠] と [サイズ ウィンドウ] の値を変更します。 [保存] を選択します。
必要に応じて、左側のメニューで [ プロパティ ] に移動し、[ メッセージの保持期間] を 1 日から 7 日間の任意の値に変更します。 保有期間の値は、スケジュールされたジョブの頻度またはストリーミング イベントを継続的にリッスンしてキャプチャするために作成したスクリプトによって異なります。 毎週 1 回キャプチャをスケジュールする場合は、スライダーを 7 日間に移動します。
この段階では、Event Hubs の構成は完了です。 Microsoft Purview ガバナンス ポータルは、すべての監査履歴と診断データのストリーミングをこのイベント ハブに開始します。 キャプチャした診断イベントと監査イベントに対して、さらに分析と操作の読み取り、抽出、実行に進むことができます。
キャプチャされた監査イベントを読み取る
キャプチャされた監査を分析し、ログ データを診断するには:
[Event Hubs] ページの [データの処理] に移動して、キャプチャされた監査ログと診断のプレビューを表示します。
JSON 出力の テーブル ビューと Raw ビューを切り替えます。
[ サンプル データのダウンロード ] を選択し、結果を慎重に分析します。
この情報を収集する方法がわかったら、スケジュールされた自動スクリプトを使用して、Event Hubs の監査とデータの診断に関する詳細な分析を抽出、読み取り、実行できます。 独自のユーティリティとカスタム コードをビルドして、キャプチャされた監査イベントからビジネス価値を抽出することもできます。
これらの監査ログは、Power BI を使用して分析とレポートを行うために、Excel、任意のデータベース、Dataverse、または Synapse Analytics データベースに変換することもできます。
任意のプログラミング言語またはスクリプト言語を自由に使用してイベント ハブを読み取ることができますが、準備完了の Python ベースのスクリプトを次に示します。 Azure Storage で Event Hubs データをキャプチャし、Python (azure-eventhub) を使用して読み取る方法については、こちらの Python チュートリアルを参照してください。
監査イベント カテゴリ
現在キャプチャと分析に使用できる Microsoft Purview ガバナンス ポータル監査イベントの重要なカテゴリの一部を表に示します。
アクティビティ監査イベントの種類とカテゴリが追加されます。
| カテゴリ | アクティビティ | 操作 |
|---|---|---|
| 管理 | コレクション | 作成 |
| 管理 | コレクション | Update |
| 管理 | コレクション | 削除 |
| 管理 | ロールの割り当て | 作成 |
| 管理 | ロールの割り当て | 更新 |
| 管理 | ロールの割り当て | 削除 |
| 管理 | スキャン ルール セット | 作成 |
| 管理 | スキャン ルール セット | Update |
| 管理 | スキャン ルール セット | 削除 |
| 管理 | 分類ルール | 作成 |
| 管理 | 分類ルール | 更新 |
| 管理 | 分類ルール | 削除 |
| 管理 | スキャン | 作成 |
| 管理 | スキャン | 更新 |
| 管理 | スキャン | 削除 |
| 管理 | スキャン | 実行 |
| 管理 | スキャン | キャンセル |
| 管理 | スキャン | 作成 |
| 管理 | スキャン | Schedule |
| 管理 | データ ソース | 登録 |
| 管理 | データ ソース | Update |
| 管理 | データ ソース | 削除 |