REST API を使用して NSG フローログを管理する

[アーティクル]
03/28/2024

ネットワークセキュリティグループのフローログは、ネットワークセキュリティグループを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。ネットワークセキュリティグループのフローログの詳細については、NSG フローログの概要に関するページを参照してください。

この記事では、REST API を使用してフローログの有効化、無効化、クエリを実行する方法を説明します。 Azure portal、PowerShell、Azure CLI、または ARM テンプレートを使用して NSG フローログを管理する方法を学ぶことができます。

この記事では、以下を行う方法について説明します。

フローログ (バージョン 2) を有効にする
フローのログを無効にする
フローのログの状態を照会する

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
ARMClient から REST API を使用して、フローログを有効にしたり無効にしたり照会したりする方法を紹介しています。 ARMClient は、Azure Resource Manager API を呼び出すための簡単なコマンドラインツールです。ツールをインストールするには、ARMClient に関するページを参照してください。 NSG フローログ REST API の詳細な仕様については、フローログ (REST API) に関する記事を参照してください。

重要

Network Watcher に対して REST API 呼び出しを実行するとき、要求 URI のリソースグループ名は Network Watcher を含むリソースグループを指します。診断アクションを実行しているリソースではありません。

Azure の資格情報を使用して ARMClient にサインインします。

armclient login

Insights プロバイダーの登録

ネットワークセキュリティグループを通過するトラフィックを正しくログに記録するために、Microsoft.Insights プロバイダーが登録されている必要があります。 Microsoft.Insights プロバイダーが登録されているかどうか不明な場合は、Providers - Register REST API を使用して登録します。

$subscriptionId = "00000000-0000-0000-0000-000000000000"
armclient post "https://management.azure.com//subscriptions/${subscriptionId}/providers/Microsoft.Insights/register?api-version=2021-04-01"

NSG フローログの有効化

フローログのバージョン 2 を有効にするコマンドを次の例に示します。バージョン 1 の場合は、'version' フィールドを '1' に置き換えます。

$subscriptionId = "00000000-0000-0000-0000-000000000000"
$targetUri = "" # example /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName/providers/Microsoft.Network/networkSecurityGroups/{nsgName}"
$storageId = "/subscriptions/00000000-0000-0000-0000-000000000000/{resourceGroupName/providers/Microsoft.Storage/storageAccounts/{saName}"
$resourceGroupName = "NetworkWatcherRG"
$networkWatcherName = "NetworkWatcher_westcentralus"
$requestBody = @"
{
    'targetResourceId': '${targetUri}',
    'properties': {
    'storageId': '${storageId}',
    'enabled': 'true',
    'retentionPolicy' : {
			days: 5,
			enabled: true
		},
    'format': {
        'type': 'JSON',
        'version': 2
    }
	}
}
"@

armclient post "https://management.azure.com/subscriptions/${subscriptionId}/ResourceGroups/${resourceGroupName}/providers/Microsoft.Network/networkWatchers/${networkWatcherName}/configureFlowLog?api-version=2022-11-01" $requestBody

前の例で返される応答は次のとおりです。

{
  "targetResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}",
  "properties": {
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{saName}",
    "enabled": true,
    "retentionPolicy": {
      "days": 5,
      "enabled": true
    },
    "format": {
    "type": "JSON",
    "version": 2
    }
  }
}

注意

前の例で使用した Network Watchers - Set Flow Log Configuration REST API は古いものであり、間もなく非推奨となる可能性があります。
代わりに、新しい Flow Logs - Create Or Update REST API を使用することをお勧めします。

NSG フローログを無効にする

フローのログを無効にするには、次の例を使用します。この呼び出しは、enabled プロパティが false に設定されている点を除き、フローのログを有効にする場合と同じです。

$subscriptionId = "00000000-0000-0000-0000-000000000000"
$targetUri = "" # example /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName/providers/Microsoft.Network/networkSecurityGroups/{nsgName}"
$storageId = "/subscriptions/00000000-0000-0000-0000-000000000000/{resourceGroupName/providers/Microsoft.Storage/storageAccounts/{saName}"
$resourceGroupName = "NetworkWatcherRG"
$networkWatcherName = "NetworkWatcher_westcentralus"
$requestBody = @"
{
    'targetResourceId': '${targetUri}',
    'properties': {
    'storageId': '${storageId}',
    'enabled': 'false',
    'retentionPolicy' : {
			days: 5,
			enabled: true
		},
    'format': {
        'type': 'JSON',
        'version': 2
    }
	}
}
"@

armclient post "https://management.azure.com/subscriptions/${subscriptionId}/ResourceGroups/${resourceGroupName}/providers/Microsoft.Network/networkWatchers/${networkWatcherName}/configureFlowLog?api-version=2022-11-01" $requestBody

前の例で返される応答は次のとおりです。

{
  "targetResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}",
  "properties": {
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{saName}",
    "enabled": false,
    "retentionPolicy": {
      "days": 5,
      "enabled": true
    },
    "format": {
    "type": "JSON",
    "version": 2
    }
  }
}

注意

前の例で使用した Network Watchers - Set Flow Log Configuration REST API は古いものであり、間もなく非推奨となる可能性があります。
新しい Flow Logs - Create Or Update REST API を使用して、フローログと Flow Logs - Delete REST API を無効にして、フローログリソースを削除することが推奨されます。

フローのログを照会する

次の REST 呼び出しでは、ネットワークセキュリティグループのフローのログの状態を照会します。

$subscriptionId = "00000000-0000-0000-0000-000000000000"
$targetUri = "" # example /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName/providers/Microsoft.Network/networkSecurityGroups/{nsgName}"
$resourceGroupName = "NetworkWatcherRG"
$networkWatcherName = "NetworkWatcher_westcentralus"
$requestBody = @"
{
    'targetResourceId': '${targetUri}',
}
"@

armclient post "https://management.azure.com/subscriptions/${subscriptionId}/ResourceGroups/${resourceGroupName}/providers/Microsoft.Network/networkWatchers/${networkWatcherName}/queryFlowLogStatus?api-version=2022-11-01" $requestBody

次の例は、返される応答を示しています。

{
  "targetResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}",
  "properties": {
    "storageId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{saName}",
    "enabled": true,
   "retentionPolicy": {
      "days": 5,
      "enabled": true
    },
    "format": {
    "type": "JSON",
    "version": 2
    }
  }
}

注意

前の例で使用した Network Watchers - Get Flow Log Status REST API には、Network Watcher のリソースグループに追加の "閲覧者" アクセス許可が必要です。また、この API は古いものであり、間もなく非推奨となる可能性があります。
代わりに、新しい Flow Logs - Get REST API を使用することが推奨されます。

フローのログをダウンロードする

フローのログの保存場所は作成時に定義されます。ストレージアカウントに保存されているフローログにアクセスする際の便利なツールが Microsoft Azure Storage Explorer です。詳細については、「Storage Explorer の概要」を参照してください。

ストレージアカウントが指定されている場合、パケットキャプチャファイルは、次の場所にあるストレージアカウントに保存されます。

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

次のステップ

Azure 組み込みポリシーを使用して NSG フローログを監査またはデプロイする方法については、「Azure Policy を使用して NSG フローログを管理する」を参照してください。
トラフィック分析については、トラフィック分析に関するページを参照してください。

REST API を使用して NSG フロー ログを管理する

前提条件

ARMClient でサインインします