Azure SQL Database の監査ログは Azure SQL Database および Azure Synapse Analytics の監査を設定する に記載されている次のストレージに出力することができます。
- Azure Storage
- Log Analytics
- Event Hub
Log Analytics に監査ログの取得を開始した場合、最初のログが取得されるまで、それなりに時間がかかります。
この挙動について、どのドキュメントを確認すればよいかが気になったので調べてみました。
Log Analytics に監査ログが取得されるまでの時間
Log Analytics に監査ログが取得されるまでの時間については次のドキュメントで確認をすることになるのではないでしょうか。
診断設定を作成すると、90 分以内に選択した宛先へのデータのフローが開始されます。
Delay or Outage: No active outage is reported. However, audit logs can take up to 60?90 minutes to appear in Log Analytics or Blob Storage after an event is triggered. If you’re testing with UPDATE or SELECT statements, be sure to wait a full cycle and check again.
取得が開始されるまで、最大で 90 程度の時間がかかるという記載があり、診断設定を有効にしてから取得するまで、実際に数 10 分は時間がかかることが多いようでした。
データの取得が開始されると、平均待機時間 に記載されている時間で取り込まれたデータが使用できるようになります。
待機時間は、データが監視対象のシステムで作成される時間と Azure Monitor で分析に使用できるようになる時間を指します。 ログ データを取り込むための平均待機時間は "20 秒から 3 分" です。 特定のデータに対する具体的な待機時間は、この記事で説明するいくつかの要因によって異なります。
インジェスト時間のチェック に記載されている方法を使用することで、送信されたデータがどの程度の時間でクエリできるようになったかを確認することができます。
次の画像は、実際に取得しているデータのインジェスト時間を取得したものですが、上述の 20 秒から 3 分の期間内となっていました。
Log Analytics のデータでアラートを投げる場合、イベントの発生からアラートが発火するまではこの程度時間がかかるということを考慮しておく必要があるかと。