【正しい順序】

1. ステップ 1: Log Analytics Workspace を作成
2. ステップ 2: SQL Server で Auditing を有効化 + Log Analytics 連携
3. ステップ 3: KQL クエリで監査イベント検索 + 動作確認
4. ステップ 4: アラートルール作成 + Action Group で通知設定

【各ステップの理由】

• ステップ 1 Log Analytics Workspace を作成: 監査ログ保存先となる Workspace を作成します。リージョン / 保持期間 / 料金プランを選択します。
• ステップ 2 SQL Server で Auditing を有効化 + Log Analytics 連携: SQL Server の Auditing 設定で Log Analytics Workspace を出力先として選択 + Audit Action Group を設定します。
• ステップ 3 KQL クエリで監査イベント検索 + 動作確認: AzureDiagnostics | where Category == 'SQLSecurityAuditEvents' 等の KQL でログ取得確認します。
• ステップ 4 アラートルール作成 + Action Group で通知設定: 監査イベントの条件 (失敗ログイン回数 / 機密テーブル参照 等) でアラート + Action Group (メール / Teams / Webhook) を設定します。

【誤った順序の問題点】

• アラート → Auditing 有効化: Auditing がないとアラート対象のログが生成されません。
• Auditing 有効化 → Workspace 作成: Workspace が無いと Auditing の出力先が指定できません。

【参考】

Auditing + LA + Alert