はじめに

実は私、Azureのアクティビティログを集める癖があるんです。
…いえ、マジメな話をすると、アクティビティログを分析して、「いつもと違う操作」とか「予定に無かった操作」が無いかチェックする、というようなことをやっています。

Azureのアクティビティログを診断設定でExportし、それをEventhubsに入れて、そこから後続の処理基盤に流して…という当然"自動"の処理なので、普段は中身を細かく眺めることもないのですが、今年の9月頃にイベントのスキーマが大きめに（！）変わったので、気づいたことを備忘として残します。

ドキュメント上の表記

ドキュメント上の説明では、下記の通りとなっています。
https://docs.microsoft.com/ja-jp/azure/azure-monitor/essentials/activity-log-schema

私はよく、「operationName」や「resourceId」を確認し、「予定通りの作業なのか／いきなりNSGに穴あけするようなヤカラが居ないのか／勝手にPolicyが解除されたりしてないか」…といったチェックを出来るようにしています。
Azureのセキュリティスタンダードでも、やった方がイイと書かれている統制だったと思います。

大きな変更点

「破壊的変更」ではないのですが、2021/9頃から、下のキーが追加されるようになりました。

"ReleaseVersion"ということで、文字通り読めばSchemaのバージョンのように見えます。
中身のValueとしても"6.2021.35.11+6cb1461.release_2021w35"ということで、リリースバージョンのように見えています。

その後の傾向

ざっと傾向を追っていくと、週ごとに最後の"w35"の部分がインクリメントされ、かつバージョンらしき文字列が変わっていきます。
ということで、どやらリリースされた週数とバージョンを表しているようです。
週次でバージョンアップされていくとは…
イベントの種類にもよりますが、"Properties"キーの中身のデータの持ち方が変わるような…傾向などは読めていませんが、この中身を管理するようなもの好きにとっては、既に破壊的変更なのかもしれません。

おわりに

今のところ私がチェックするような大事なキーには変更は入ってきませんが、週次でアップデートされるとなるといつ既存の仕組みが動かなくなるかヒヤヒヤものです。
あまり作りこんでしまうのも考え物ですね。