Azure portal を使用して仮想ネットワーク フロー ログを作成、変更、有効化、無効化、または削除する
仮想ネットワーク フロー ログは、Azure 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 仮想ネットワーク フロー ログの詳細については、仮想ネットワーク フロー ログの概要に関するページを参照してください。
この記事では、Azure portal を使用して仮想ネットワーク フロー ログを作成、変更、有効化、無効化、または削除する方法について説明します。 また、PowerShell または Azure CLI を使用して仮想ネットワーク フロー ログを管理する方法についても説明します。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
Insights プロバイダー。 詳細については、「Insights プロバイダーを登録する」を参照してください。
仮想ネットワーク。 仮想ネットワークを作成する必要がある場合は、Azure portal を使用した仮想ネットワークの作成に関するページを参照してください。
Azure ストレージ アカウント。 ストレージ アカウントを作成する必要がある場合は、Azure portal を使用したストレージ アカウントの作成に関するページを参照してください。
Insights プロバイダーの登録
仮想ネットワークを通過するトラフィックを正しくログに記録するために、Microsoft.Insights プロバイダーが登録されている必要があります。 Microsoft.Insights プロバイダーが登録されているかどうか不明な場合は、次の手順に従って Azure portal でその状態を確認します。
ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。 検索結果で [サブスクリプション] を選択します。
[サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。
[設定] で、[リソース プロバイダー] を選択します。
フィルター ボックスに「insight」と入力します。
表示されるプロバイダーの状態が [登録済み] になっていることを確認します。 状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。
フロー ログの作成
仮想ネットワーク、サブネット、またはネットワーク インターフェイスのフロー ログを作成します。 このフロー ログは、Azure ストレージ アカウントに保存されます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、[+ 作成] または青い [フロー ログの作成] ボタンを選択します。
[フロー ログの作成] の [基本] タブで、次の値を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション ログに記録する仮想ネットワークの Azure サブスクリプションを選択します。 フロー ログの種類 [仮想ネットワーク] を選択し、[+ ターゲット リソースの選択] を選択します (使用できるオプションは、[仮想ネットワーク]、[サブネット]、[ネットワーク インターフェイス] です)。
フロー ログが必要なリソースを選んで、[選択の確認] を選択します。フロー ログ名 フロー ログの名前を入力するか、既定の名前をそのまま使用します。 Azure portal では、フロー ログの既定の名前として {ResourceName}-{ResourceGroupName}-flowlog を使用します。 インスタンスの詳細 サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。 ストレージ アカウント フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。 保有期間 (日) ログのリテンション期間を入力します (このオプションは、Standard 汎用 v2 ストレージ アカウントでのみ使用できます)。 (フロー ログ データをストレージ アカウントから手動で削除するまで) ストレージ アカウントにデータを無期限に保持する場合は、「0」を入力します。 価格の詳細については、「Azure Storage の価格」をご覧ください。 ![Azure portal の仮想ネットワーク フロー ログの作成の [基本] タブを示すスクリーンショット。](media/vnet-flow-logs-portal/create-vnet-flow-log-basics.png)
Note
ストレージ アカウントが別のサブスクリプションにある場合、ログに記録しているリソース (仮想ネットワーク、サブネット、またはネットワーク インターフェイス) とストレージ アカウントは、同じ Microsoft Entra テナントに関連付けられている必要があります。 各サブスクリプションで使用するアカウントは、必要なアクセス許可を持っている必要があります。
トラフィック分析を有効にするには、[次へ: 分析] ボタンを選択するか、[分析] タブを選択します。次の値を入力または選択します。
設定 Value トラフィック分析を有効にする フロー ログのトラフィック分析を有効にするには、このチェック ボックスをオンにします。 トラフィック分析の処理間隔 必要な処理間隔を選択します。使用可能なオプションは、[1 時間ごと] と [10 分ごと] です。 既定の処理間隔は 1 時間ごとです。 詳細については、トラフィック分析に関する記事を参照してください。 サブスクリプション Log Analytics ワークスペースの Azure サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 Azure portal では、defaultresourcegroup-{Region} リソース グループに DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics ワークスペースが既定で作成されます。 
Note
Log Analytics ワークスペースを作成して選択する場合は、「Log Analytics ワークスペースを作成する」を参照してください
[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
![Azure portal の仮想ネットワーク フロー ログの作成の [基本] タブを示すスクリーンショット。](media/vnet-flow-logs-portal/create-vnet-flow-log-basics.png#lightbox)
トラフィック分析を有効または無効にする
フロー ログのトラフィック分析を有効にして、フロー ログ データを分析します。 トラフィック分析は、仮想ネットワークのトラフィック パターンに関する分析情報を提供します。 フロー ログのトラフィック分析はいつでも有効または無効にすることができます。
フロー ログのトラフィック分析を有効にするには、次の手順に従います。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、トラフィック分析を有効にするフロー ログを選択します。
[フロー ログの設定] で、[トラフィック分析を有効にする] チェックボックスをオンにします。
次の値を入力または選択します。
設定 Value トラフィック分析の処理間隔 必要な処理間隔を選択します。使用可能なオプションは、[1 時間ごと] と [10 分ごと] です。 既定の処理間隔は 1 時間ごとです。 詳細については、トラフィック分析に関する記事を参照してください。 サブスクリプション Log Analytics ワークスペースの Azure サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 Azure portal では、defaultresourcegroup-{Region} リソース グループに DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics ワークスペースが既定で作成されます。 
[保存] をクリックして変更を適用します。
フロー ログのトラフィック分析を無効にするには、前の手順 1 から 3 を実行し、[トラフィック分析を有効にする] チェックボックスをオフにして、[保存] を選択します。
フロー ログを変更する
フロー ログは、作成後に構成して変更できます。 たとえば、ストレージ アカウントまたは Log Analytics ワークスペースを変更できます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、変更するフロー ログを選択します。
[フローのログ設定] では、次のいずれかの設定を変更できます。
- ストレージ アカウント:フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。 別のサブスクリプションからストレージ アカウントを選ぶこともできます。 ストレージ アカウントが別のサブスクリプションにある場合、ログに記録しているリソース (仮想ネットワーク、サブネット、またはネットワーク インターフェイス) とストレージ アカウントは、同じ Microsoft Entra テナントに関連付けられている必要があります。
- リテンション期間 (日数): ストレージ アカウントのリテンション期間を変更します (このオプションは、Standard 汎用 v2 ストレージ アカウントでのみ使用できます)。 フロー ログ データをストレージ アカウントからデータを手動で削除するまでストレージ アカウントに無期限に保持する場合は、「0」を入力します。
- トラフィック分析: フロー ログのトラフィック分析を有効または無効にします。 詳細については、トラフィック分析に関する記事を参照してください。
- トラフィック分析の処理間隔: トラフィック分析の処理間隔を変更します (トラフィック分析が有効になっている場合)。 使用可能なオプションは、1 時間ごとおよび 10 分ごとです。 既定の処理間隔は 1 時間ごとです。 詳細については、トラフィック分析に関する記事を参照してください。
- Log Analytics ワークスペース: フロー ログを保存する Log Analytics ワークスペースを変更します (トラフィック分析が有効になっている場合)。 詳細については、「Log Analytics ワークスペースの概要」を参照してください。 別のサブスクリプションから Log Analytics ワークスペースを選ぶこともできます。
[保存] をクリックして変更を適用します。
すべてのフロー ログを一覧表示する
サブスクリプションまたはサブスクリプションのグループ内のすべてのフロー ログを一覧表示できます。 リージョン内のすべてのフロー ログを一覧表示することもできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Subscription equals] (サブスクリプションが次に等しい) フィルターを選択して、1 つ以上のサブスクリプションを選択します。 [Location equals] (場所が次に等しい) などの他のフィルターを適用すると、リージョン内のすべてのフロー ログを一覧表示できます。
フロー ログ リソースの詳細を表示する
サブスクリプションまたはサブスクリプションのグループでフロー ログの詳細を表示できます。 リージョン内のすべてのフロー ログを一覧表示することもできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、表示するフロー ログを選択します。
[フローのログ設定] では、フロー ログ リソースの設定を表示できます。
![Azure portal の [フローのログ設定] ページのスクリーンショット。.](media/vnet-flow-logs-portal/flow-log-settings.png)
[破棄] を選択して、変更を加えずに設定ページを閉じます。
![Azure portal の [フローのログ設定] ページのスクリーンショット。.](media/vnet-flow-logs-portal/flow-log-settings.png#lightbox)
フローのログをダウンロードする
フロー ログのデータは、フロー ログを保存したストレージ アカウントからダウンロードできます。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果で [ストレージ アカウント] を選択します。
ログの格納に使用したストレージ アカウントを選択します。
[データ ストレージ] で、[コンテナー] を選択します。
insights-logs-flowlogflowevent コンテナーを選択します。
insights-logs-flowlogflowevent で、ダウンロードする
PT1H.jsonファイルが表示されるフォルダー階層まで移動します。 仮想ネットワーク フロー ログ ファイルは、次のパスになります。https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonPT1H.jsonファイルの右側にある省略記号 [...] を選んでから、[ダウンロード] を選びます。
Note
ストレージ アカウントからフロー ログにアクセスしてダウンロードする別の方法として、Azure Storage Explorer を使用できます。 詳細については、「Storage Explorer の概要」を参照してください。
フロー ログの構造については、仮想ネットワーク フロー ログのログ形式に関するページを参照してください。
フロー ログを無効にする
仮想ネットワーク フロー ログを削除せずに一時的に無効にできます。 フロー ログを無効にすると、関連付けられている仮想ネットワークのフロー ログが停止します。 ただし、フロー ログ リソースは、そのすべての設定および関連付けと共に残ります。 いつでも再び有効にして、構成された仮想ネットワークのフロー ログを再開することができます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、無効にするフロー ログのチェックボックスをオンにします。
[無効にする] を選択します。
Note
フロー ログに対してトラフィック分析が有効になっている場合は、フロー ログを無効にする前にトラフィック分析を無効にする必要があります。 トラフィック分析を無効にするには、「トラフィック分析を有効または無効にする」を参照してください。
フロー ログを有効にする
以前に無効にした仮想ネットワーク フロー ログを有効にして、以前に選択したのと同じ設定でフロー ログを再開できます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、有効にするフロー ログのチェックボックスをオンにします。
有効にするを選択します。
フロー ログを削除する
仮想ネットワーク フロー ログを完全に削除できます。 フロー ログを削除すると、その設定と関連付けがすべて削除されます。 同じ仮想ネットワークに対してフロー ログをもう一度開始するには、それに対して新しいフロー ログを作成する必要があります。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、削除するフロー ログのチェックボックスをオンにします。
[削除] を選択します。
Note
フロー ログを削除しても、ストレージ アカウントからフロー ログ データは削除されません。 ストレージ アカウントに格納されているフロー ログ データは、構成されているアイテム保持ポリシーに従うか、手動で削除されるまでストレージ アカウントに保存されます。
関連するコンテンツ
- トラフィック分析については、トラフィック分析に関するページを参照してください。
- Azure 組み込みポリシーを使用してトラフィック分析を監査または有効にする方法については、「Azure Policy を使用してトラフィック分析を管理する」を参照してください。