セキュリティにおいてサインイン(ログイン)ログはとても大切です。不審なサインインを検出したり、ログの証跡をたどるときに重宝します。
現在EntraID無料版を利用しています。サインインログの保存期間はなんと7日!短すぎるにもほどがあるでしょ!ですので、他の場所へログを保管したいと思います。
サインインログの保管方法
サインインログを保管するためにAzureサービスの Log Analytics を利用します。ログの保管・監視サービスには Microsoft Sentinel もありますが、ものすごくコストがかかるようなので手軽に管理できる Log Analytics にしました。
Microsoft Azure ポータルサイトにアクセスします。
「その他のサービス」を選択します。
「モニター」の中に「Log Analytics ワークスペース」を選択します。
Log Analytics ワークスペースのページが開きます。「+作成」を選択します。
サブスクリプションとリソースグループを選択します。名前を自由に決めて下さい。リージョンは「Japan East」にしました。「確認と作成」ボタンを押して完成です。
EntraID管理画面を開きます。
「監視と正常性」の「診断結果」を選択します。右ペインの「診断設定を追加する」を選択します。
「診断設定の名前」を自由に決めます。取得したいログを選択します。「SignInLogs」がサインインログです。その他にも「AuditLogs」「 NonInteractiveUsersignInlogs」なども取得すると良いでしょう。
宛先の詳細を「Log Analytics ワークスペースへの送信」にチェックを入れて「サブスクリプション」と先ほど作成した「Log Analytics ワークスペース」を選択してください。
「保存」したら完成です!
サインインログの保存期間の変更
Log Analytics でのログ保存期間はデフォルトでは30日となっています。少し短いので長期保存できるように変更します。
右側ペインの「設定」→「使用量と推定コスト」を選択してください。上部にある「データ保持」を選びます。
スライダーを動かして保有期間を変更してOKを押せば完了です!
ログの閲覧方法
ログの閲覧は Microsoft Azure ポータルから行います。作成した Log Analytics を選択して下さい。左ペインの「ログ」を選びます。
テーブルアイコンを選択します。「LogManagement」の「SigninLogs」を実行してください。
直近24時間のサインイン成功失敗ログの一覧が表示されます。
サインイン失敗だけを表示させるような絞り込みもできます。KQLも利用できます。
まとめ
サインインログの保管は Microsoft Azure の Log Analytics を利用する。
ログをただ保管できるだけではあまり意味がありません。不審なサインインがあったときにアラートが発生するようにしたいですね。
コメント