診断設定

AzureActivity

AzureMetrics

Data Collection Rule（データ収集ルール）

診断設定とよく似た機能です。モニター＞データ収集ルールで設定可能です。
上記で述べた「診断設定」とは違い、外部的なリソースに関するログではなく、より内部的なデータが格納されます。Log Analyticsワークスペースで閲覧する際のクエリは、

Event

です。

下記はDCRにて送信されたLog Analyticsワークスペース内のデータのひとつです。

たとえば「Azure Policyに違反している」「Azure Update Managerで指示されたアップデートが行われた」などのように、Azureリソースに関連したものではなく、その内部のサービスや設定に関してのログです。それゆえに送られるものとしてはVMに関する内容が主となります。

以下をご参照ください。
learn.microsoft.com

3-1.診断設定をつける

まずは、どの診断設定をつけるかを判断します。

各ポリシーにはそれぞれ効果があり、これはエラーログが発生する条件のようなものです。たとえば「保留中の再起動がある Windows VM の監査」というポリシーには「auditIfNotExists」効果があり、これらをMicrosoft Learnで引くと以下のようになります。

auditIfNotExists は、リソース プロバイダーがリソースの作成または更新要求を処理し、成功状態コードを返した後に実行されます。 （中略） 新しいリソースと更新されたリソースの場合、Azure Policy はアクティビティ ログに Microsoft.Authorization/policies/audit/action 操作を追加し、リソースを非準拠としてマークします。 トリガーされると、 if 条件を満たすリソースは、非準拠としてマークされているリソースです。

以下参考資料
learn.microsoft.com

リソースを基準とした動きを記録するため、アクティビティログに記録されます。したがって、今回はアクティビティログから診断設定を作る必要があります。

診断設定の詳細は上記のように設定しました。

policy以外に設定することも可能ですが、蓄積が起きるたびに課金が発生する従量課金制のため、必要なデータのみに絞ることをおすすめします。

3-2.クエリをつくってみる

続いてLog Analyticsワークスペースにきちんとログが蓄積されていることを確認し、要件通りのデータが取得できるかを確認します。

まずはAzure Policyのコンプライアンス結果全体が届いているかを確認します。
以下のクエリを実行してみます。

//テーブルを指定
AzureActivity
//「カテゴリ」の値が「Policy」であるものを指定
| where CategoryValue == "Policy"

実行結果は以下です。

指定通り「ログカテゴリ」ヘッダーの値に「Policy」が入っているものが蓄積されていることがわかります。クエリを作成する際のひな形は

{テーブル名}
| (演算子)<条件式>

です。テーブル名や条件を明確にし、条件を絞り込みます。

では本番です。全体のログから、指定したポリシーに関するログのみを選んで抽出してみます。
以下は2025/8/21から2025/8/22の間に発生したアクティビティログです。
いくつか「Audit Action」に関するログが発生しています。

赤い四角で囲んだ時間のみをクエリで抽出し、これがLog Analyticsワークスペースに蓄積されているかを確認してみます。
検索条件を以下に決め、クエリを作成します。

• 設定したポリシーのもの →#1
• 状態が「成功」のもの →#2
• 実行が2025/8/21から2025/8/22のもの →#3
• ポリシー効果が「auditIfNotExists」のもの →#4

結果は以下のようになりました。
※サブスクリプションIDとリソースグループ名が含まれている箇所があったため、マスクをかけている場所があります。

日付、出力数、出力内容が前画像にて赤く四角く囲んだ部分と一致しています。また、内容で絞ったことで日付に依存しなくてもデータ数が絞れています。

以下は出力に使用したスクリプトです。

// テーブル名を指定
AzureActivity
// カテゴリの値（Value）が「Policy」であるものを指定
| where CategoryValue == "Policy"
// Propetiesヘッダー内に指定のポリシー割り当てIDがあるものを指定 →#1
| where Properties contains {ポリシーの割り当てID}
// アクティビティの状態が「成功」であるものを指定 →#2
| where ActivityStatusValue == "Success"
// 時間範囲を2025/8/21から2025/8/22の間に指定 →#3
| where TimeGenerated >= datetime(2025-08-21) and TimeGenerated < datetime(2025-08-22)
// 「Properties」フィールド内の値をJSON配列として解析し、「props」として追加 →#4
| extend props = parse_json(Properties)
// 「props」フィールド内にある「policies」データを文字列変換したうえでJSONファイルとして解析、「policiesArray」として追加 →#4
| extend policiesArray = parse_json(tostring(props.policies))
// 「policiesArray」各要素を「policy」フィールドとして展開 →#4
| mv-expand policy = policiesArray
//「policy」フィールド内の「policyDefinitionEffect」カラムの内容が「auditIfNotExists」なものを指定 →#4
| where policy.policyDefinitionEffect contains "auditIfNotExists"

条件と文章がひとつひとつ対応していることがわかります。

データの形によっては#4のように形を変換してデータを探しに行く必要があります。
たとえば今回、「Properties」フィールドのデータの内部は以下のようになっています。
※個人情報等につながる部分にマスクをかけている場所があります。

これを一部文字に起こし、簡易化すると以下のようになります。

Properties:
{
"isComplianceCheck":"False",
"resourceLocation":"japaneast",
~~(中略)~~
"policies":[
{"policyDefinitionId":"{ポリシーの定義ID}",
"policyAssignmentId":"{ポリシーの割り当てID}",
~~(以下略)~~
}
]
}

Log Analyticsワークスペースでは、ログはJSON形式で保存され、それぞれカラム名：データの形で格納されます。そのため、ものによってはデータ自体もJSON形式の配列型で保存されます。たとえば今例で言うと「policies」が当てはまります。
クエリの条件式では基本的には文字列を参照します。データの中身がJSON形式の配列となっている場合、「条件に合致しない」と判断されてしまいます。toString関数やparse_json関数など、文字列の変換や解析形式を指定する関数を使用し、クエリの基本型に合わせて条件式を作成するのがコツです。

このように、クエリを利用したデータ取得は「どこから設定するのか」「何のデータが必要か」を事前に決めたうえで設定を行い、また格納されているデータを確認しながら少しずつ行っていきます。データ型の取得・把握も大切です。
どんな形でデータが格納されているかの確認方法は、Log Analyticsワークスペースで実際にクエリを実行してみることが一番早いと思います。
まずは、

AzureActivity
| where ResourceGroup contains "{リソースグループ名}"

など、確実にわかっている要件を用いて絞り込み、データの全体的な形を見てみることをおすすめします。