Azure AD サインイン ログ 取得方法まとめ

こんにちは。Azure Identity チームの三浦です。今回は Azure AD のサインイン ログ取得方法についてまとめました。

Azure AD のサインイン ログは Azure ポータルで確認するほかに次のような方法で確認することができます。

1. ポータルから CSV 形式のファイルをダウンロード
2. ポータルから取得したスクリプトを利用して CSV 形式のファイルを取得する
3. API を利用して CSV 形式のファイルを取得する
4. データをエクスポートし、 PowerBI で解析する
5. Log Analytics に統合する

それぞれ簡単に概要を紹介します。

なお、 Azure ポータルのサインインからログを確認することを含めて Azure AD テナントに Azure AD Premium のライセンスが必要ですのでご注意ください。

1. ポータルから CSV 形式のファイルをダウンロード

Azure のポータルからは CSV 形式でサインイン ログをダウンロードすることができます。ここで注意しなければいけないことが 2 点あります。

1) 5000 件までしか取得できない。

FAQ にもありますが、 5000 件までしか入手できません。

2) 日本語環境で文字化けする

ダウンロードした CSV ファイルには BOM (Byte Order Mark の略で Unicode 判別のために利用する情報) が含まれていません。

そのため、ダウンロードしたファイルをそのまま Excel で開くと文字化けします。

一旦ダウンロードした CSV ファイルを notepad.exe で開き、上書き保存すると BOM が付与されるため、その後は日本語が正しく表示されます。

2. ポータルから取得したスクリプトを利用して CSV 形式のファイルを取得する

ポータルから CSV 形式でファイルを生成するための PowerShell スクリプトを入手することができます。

このスクリプトはカスタマイズ可能ですので、毎回 Azure ポータルにアクセスして CSV をダウンロードしなくともスクリプトの実行によりサインインログを入手できます。
このスクリプトを実行するためには、予め Azure の PowerShell モジュールのインストール (PowerShell を管理者で開き install-module azure の実行でインストール) と Set-ExcecutionPolicy unrestricted を実行してスクリプトの実行制限を解除しておく必要があります。

3. API を利用して CSV 形式のファイルを取得する

2 と同じような目的となりますが、私たちのブログで紹介しているスクリプトでも CSV ファイルとして取得できます。

Microsoft Graph API を利用して Azure AD のサインイン アクティビティ レポートを CSV ファイルで取得する PowerShell スクリプト Azure AD Reporting API を利用して PowerShell より Azure AD のサインイン アクティビティ レポートと監査アクティビティ レポートを CSV ファイルで取得する方法

4. データをエクスポートし、 PowerBI で解析する

PowerBI には Azure AD のサインイン ログを解析するためのコンテンツ パックが用意されています。

このコンテンツ パックを利用することで、簡単に視覚化されたサインインのデータの確認が可能です。具体的な手順については、 Azure Active Directory Power BI コンテンツ パックの使用方法 を参照ください。

5. Log Analytics に統合する

Azure サブスクリプションをお持ちでしたら是非 Log Analytics と Azure AD のサインインログの統合についても検討してみてください。

2019/1 の時点でまだ Public Preview ですが、 Azure Security Center や Application Insights の機能も利用可能です。詳細、具体的な手順については、こちらの公開情報を参照してみてください。

Azure Monitor (プレビュー) を使用して Azure AD のログを Log Analytics と統合する