編集

次の方法で共有


Network Watcher に関してよく寄せられる質問 (FAQ)

この記事では、Azure Network Watcher について最もよく寄せられる質問に回答します。

全般

Network Watcher とは

Network Watcher には、メトリックを監視、診断、表示し、IaaS (サービスとしてのインフラストラクチャ) リソース (仮想マシン、仮想ネットワーク、アプリケーション ゲートウェイ、ロード バランサー、Azure 仮想ネットワーク内のその他のリソースを含む) のログを有効または無効にする、一連のツールが用意されています。 PaaS (サービスとしてのプラットフォーム) インフラストラクチャを監視したり、Web/モバイル分析を取得したりするためのソリューションではありません。

Network Watcher で提供されるツール

Network Watcher には、3 つの主要な機能セットがあります。

  • 監視
    • トポロジ ビューには、仮想ネットワーク内のリソースと、リソース間のリレーションシップが表示されます。
    • 接続モニターを使用すると、Azure の内部と外部のエンドポイント間の接続と待機時間を監視できます。
  • ネットワーク診断ツール
    • IP フロー検証を使用すると、仮想マシン レベルでトラフィックのフィルター処理に関する問題を検出できます。
    • NSG 診断を使用すると、仮想マシン、仮想マシン スケール セット、またはアプリケーション ゲートウェイのレベルでトラフィックのフィルター処理に関する問題を検出できます。
    • 次ホップは、トラフィックのルートを検証してルーティングの問題を検出するのに役立ちます。
    • 接続のトラブルシューティングを実行すると、仮想マシンと Bastion ホスト、アプリケーション ゲートウェイ、または別の仮想マシンとの間の 1 回限りの接続と待機時間のチェックを実行できます。
    • パケット キャプチャを使用して、仮想マシンのトラフィックをキャプチャできます。
    • VPN のトラブルシューティングでは、VPN ゲートウェイと接続に対して複数の診断チェックを実行し、問題のデバッグに役立てることができます。
  • Traffic

詳細については、Network Watcher の概要を参照してください。

Network Watcher の価格のしくみ

さまざまな Network Watcher コンポーネントの価格の詳細については、「Network Watcher の価格」を参照してください。

現在どのリージョンで Network Watcher がサポートされ、使用できますか?

Network Watcher をサポートするリージョンについては、Network Watcher のリージョンに関するページを参照してください。

Network Watcher を使用するために必要なアクセス許可は何ですか?

Network Watcher の各機能に必要なアクセス許可の詳細な一覧については、Network Watcher を使用するために必要な Azure RBAC のアクセス許可に関する記事を参照してください。

Network Watcher を有効化する方法

Network Watcher サービスは、すべてのサブスクリプションで自動的に有効になります。 Network Watcher の自動有効化をオプトアウトした場合は、手動で Network Watcher を有効にする必要があります。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。

Network Watcher デプロイ モデルは何ですか?

Network Watcher の親リソースは、各リージョンで一意のインスタンスを使用してデプロイされます。 既定の名前付け形式: NetworkWatcher_RegionName。 例:NetworkWatcher_centralus は、"米国中部" リージョンの Network Watcher リソースです。 PowerShell または REST API を使用して、Network Watcher インスタンスの名前をカスタマイズできます。

Azure ではリージョンごとに Network Watcher の 1 つのインスタンスしか許可されないのはなぜですか?

Network Watcher の機能を使用するには、各サブスクリプションでリージョンごとに Network Watcher を 1 回ずつ有効にする必要があります。 Network Watcher インスタンスをリージョン内に作成することで、そのリージョン内で Network Watcher が有効になります。

Network Watcher リソースを管理するにはどうすればよいですか?

Network Watcher リソースは、Network Watcher のバックエンドサービスを表し、Azure によって完全に管理されます。 ただし、Network Watcher リソースを作成または削除し、特定のリージョンで有効または無効にできます。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。

Network Watcher をあるリージョンから別のリージョンに移動することはできますか?

いいえ、Network Watcher リソースまたはその子リソースのリージョン間での移動はサポートされていません。 詳細については、ネットワークリソースの移動操作のサポートに関する記事を参照してください。

Network Watcher インスタンスを 1 つのリソース グループから別のリソース グループに移動できますか?

はい。リソース グループ間での Network Watcher リソースの移動がサポートされています。 詳細については、ネットワークリソースの移動操作のサポートに関する記事を参照してください。

NetworkWatcherRG とは何ですか?

NetworkWatcherRG は、Network Watcher リソース用に自動的に作成されるリソース グループです。 たとえば、NetworkWatcherRG リソース グループには、Network Watcher リージョン インスタンスとネットワーク セキュリティ グループ フロー ログ リソースが作成されます。 PowerShellAzure CLI、または REST API を使用して、Network Watcher リソース グループの名前をカスタマイズできます。

Network Watcher で顧客データが格納されますか?

Azure Network Watcher では、接続モニターを除いて、顧客データは格納されません。 接続モニターにより顧客データが格納されます。これは、リージョン内のデータ所在地の要件を満たすために、Network Watcher によって 1 つのリージョンに自動的に格納されます。

Network Watcher でのリソース制限とは?

Network Watcher には次の制限があります。

リソース 制限
各サブスクリプションのリージョンあたりの Network Watcher インスタンス数 1 (リージョン内の 1 つのインスタンスが、そのリージョン内のサービスにアクセスできる)
各サブスクリプションのリージョンあたりの接続モニター数 100
接続モニターあたりのテスト グループの最大数 20
接続モニターあたりのソースとターゲットの最大数 100
接続モニターあたりのテスト構成の最大数 20
各サブスクリプションのリージョンあたりのパケット キャプチャ セッション数 10,000 (保存されたキャプチャの数ではなく、セッション数のみが対象)
サブスクリプションごとの VPN トラブルシューティング操作数 1 (一度の操作の数)

サービスの可用性と冗長性

Network Watcher ゾーンに回復性はありますか?

はい、Network Watcher サービスは、既定ではゾーン回復性を備えています。

どのように Network Watcher サービスにゾーン回復性を構成しますか?

ゾーン回復性を有効にするために、構成は必要ありません。 Network Watcher リソースのゾーン回復性は、既定で使用できるようになっており、サービス自体によって管理されます。

Network Watcher Agent

Network Watcher Agent をインストールする必要があるのはなぜですか?

Network Watcher Agent は、仮想マシンからトラフィックを生成またはインターセプトするすべての Network Watcher 機能に必要です。

Network Watcher Agent が必要なのはどの機能ですか?

パケット キャプチャ、接続のトラブルシューティング、接続モニターの機能には、Network Watcher 拡張機能が必要です。

Network Watcher Agent の最新バージョンは何ですか?

Network Watcher 拡張機能の最新バージョンは 1.4.3422.1 です。 詳細については、Azure Network Watcher 拡張機能を最新バージョンに更新する を参照してください。

Network Watcher Agent はどのポートを使用しますか?

  • Linux: Network Watcher Agent は、ポート port 50000 から始まり port 65535 に達するまでの利用可能なポートを使用します。
  • Windows: Network Watcher Agent は、利用可能なポートのクエリが実行されたときにオペレーティング システムが返すポートを使用します。

Network Watcher Agent はどの IP アドレスと通信しますか?

Network Watcher Agent では、port 80 経由での 169.254.169.254 への、port 8037 経由での 168.63.129.16 への送信 TCP 接続が必要です。 エージェントは、これらの IP アドレスを使用して Azure プラットフォームと通信します。

接続モニター

接続モニターはクラシック VM をサポートしていますか?

いいえ。接続モニターはクラシック VM をサポートしていません。 詳細については、クラシックから Azure Resource Manager への IaaS リソースの移行に関するページを参照してください。

トポロジが装飾されていないか、ホップに情報がない場合は、どうなりますか?

トポロジは、宛先 Azure リソースと接続モニター リソースが同じリージョンにある場合にのみ Azure 以外から Azure へと装飾できます。

接続モニターの作成が次のエラーで失敗した場合はどうなりますか: "We don't allow creating different endpoints for the same VM"?

同じ Azure VM を、同じ接続モニター内の異なる構成で使用することはできません。 たとえば、同じ接続モニターで、同じ VM をフィルターありとフィルターなしで使用することはサポートされていません。

テスト エラーの理由に "表示するものがありません" と表示された場合、どうなりますか?

接続モニター ダッシュボードに表示される問題は、トポロジの検出またはホップ探索中に見つかったものです。 % loss または RTT に設定されているしきい値に到達したにも関わらず、ホップで問題が見つからない場合があります。

既存の接続モニター (クラシック) を最新の接続モニターに移行するとき、外部エンドポイント テストが TCP プロトコルでのみ移行された場合は、どうなりますか?

接続モニター (クラシック) にはプロトコルの選択オプションはありません。 接続モニター (クラシック) のテストは TCP プロトコルのみを使用しており、これが移行時に、新しい接続モニターのテストで TCP 構成を作成する理由です。

接続モニターで Azure Monitor エージェントと Arc エージェントを使用するには制限がありますか?

現在、関連付けられている Log Analytics ワークスペースで Azure Monitor エージェントと Arc エージェントをエンドポイントが使用する場合、リージョンの境界があります。 この制限の結果、関連付けられている Log Analytics ワークスペースは Arc エンドポイントと同じリージョンに存在する必要があります。 個々のワークスペースに取り込まれたデータは、1 つのビューに統合できます。「Azure Monitor 内の Log Analytics ワークスペース、アプリケーション、リソース全体のデータにクエリを実行する」を参照してください。

フロー ログ

フロー ログは何を行いますか?

フロー ログを使用すると、ネットワーク セキュリティ グループまたは Azure 仮想ネットワークを通過する Azure IP トラフィックに関する 5 タプル フロー情報をログに記録できます。 生のフロー ログが Azure Storage アカウントに書き込まれます。 そこから、必要に応じて、さらに処理、分析、クエリ、またはエクスポートを行うことができます。

フロー ログは、ネットワークの待機時間やパフォーマンスに影響しますか?

フロー ログのデータは、ネットワーク トラフィックのパスの外部で収集されるため、ネットワークのスループットや待機時間には影響しません。 ネットワーク パフォーマンスに影響を及ぼす危険性がまったく生じずに、フロー ログを作成または削除できます。

NSG フロー ログと NSG 診断の違いは何ですか?

ネットワーク セキュリティ グループ フロー ログは、ネットワーク セキュリティ グループを通過するトラフィックをログに記録します。 一方、NSG 診断では、トラフィックが通過しているすべてのネットワーク セキュリティ グループと、このトラフィックに適用される各ネットワーク セキュリティ グループの規則が返されます。 NSG 診断を使用して、ネットワーク セキュリティ グループの規則が想定どおりに適用されていることを確認してください。

ネットワーク セキュリティ グループ フロー ログを使用して ESP および AH トラフィックをログに記録できますか?

いいえ、ネットワーク セキュリティ グループ フロー ログでは、ESP プロトコルと AH プロトコルはサポートされていません。

フロー ログを使用して ICMP トラフィックをログに記録できますか?

いいえ、ネットワーク セキュリティ グループ フロー ログと仮想ネットワーク フロー ログでは、ICMP プロトコルはサポートされていません。

フロー ログが有効になっているネットワーク セキュリティ グループを削除できますか?

はい。 関連付けられているフロー ログ リソースも削除されます。 フロー ログ データは、フロー ログで構成された保持期間のストレージ アカウントに保持されます。

フロー ログが有効になっているネットワーク セキュリティ グループを別のリソース グループまたはサブスクリプションに移動できますか?

はい。ただし、関連付けられているフロー ログ リソースを削除する必要があります。 ネットワーク セキュリティ グループを移動した後、フロー ログを再作成して、そのグループでのフロー ログを有効にすることができます。

フロー ログが有効になっているネットワーク セキュリティ グループまたは仮想ネットワークとは異なるサブスクリプションのストレージ アカウントを使用できますか?

はい。このサブスクリプションがネットワーク セキュリティ グループの同じリージョンにあり、ネットワーク セキュリティ グループまたは仮想ネットワークのサブスクリプションの同じ Microsoft Entra テナントに関連付けられている限り、別のサブスクリプションのストレージ アカウントを使用できます。

ファイアウォールの背後にあるストレージ アカウントでネットワーク セキュリティ グループ フロー ログを使用するにはどうしたらよいですか?

ファイアウォールの背後にあるストレージ アカウントを使用するには、信頼できる Microsoft サービスからストレージ アカウントにアクセスするための例外を指定する必要があります。

  1. ポータルの上部にある検索ボックスにストレージ アカウントの名前を入力して、ストレージ アカウントに移動します。
  2. [Security + networking] (セキュリティとネットワーク) で、[Networking] (ネットワーク) を選択し、[Firewalls and virtual networks] (ファイアウォールと仮想ネットワーク) を選択します。
  3. [公衆ネットワーク アクセス][選択した仮想ネットワークと IP アドレスから有効] を選びます。 次に、[例外] で、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] の横のボックスをオンにします。
  4. ストレージ アカウントを使用してターゲット ネットワーク セキュリティ グループのフロー ログを作成することで、ネットワーク セキュリティ グループ フロー ログを有効にします。 詳細については、「フロー ログを作成する」を参照してください。

数分後にストレージ ログを確認できます。 更新されたタイム スタンプまたは作成された新しい JSON ファイルが表示されているはずです。

ストレージ アカウントのアクティビティ ログに 403 エラーが表示される理由

Network Watcher には、ファイアウォールの背後にあるストレージ アカウントに接続するときに使用する組み込みのフォールバック メカニズムがあります (ファイアウォールが有効)。 キーを使用してストレージ アカウントへの接続が試行され、失敗した場合はトークンに切り替わります。 この場合、ストレージ アカウントのアクティビティ ログに 403 エラーが記録されます。

Network Watcher は、プライベート エンドポイントが有効になっているストレージ アカウントにネットワーク セキュリティ グループ フロー ログ データを送信できますか?

はい、Network Watcher では、プライベート エンドポイントで有効になっているストレージ アカウントへのネットワーク セキュリティ グループ フロー ログ データの送信がサポートされています。

サービス エンドポイントの背後にあるストレージ アカウントでネットワーク セキュリティ グループ フロー ログを使用するにはどうしたらよいですか?

ネットワーク セキュリティ グループ フロー ログはサービス エンドポイントと互換性があります。追加の構成は不要です。 詳細については、「サービス エンドポイントの有効化」を参照してください。

フロー ログのバージョン 1 と 2 の違いは何ですか?

フロー ログ バージョン 2 では、"フロー状態" という概念が導入されており、転送されるバイトとパケットに関する情報が保存されます。 詳細については、「ネットワーク セキュリティ グループ フロー ログの形式」を参照してください。

読み取り専用ロックを持つネットワーク セキュリティ グループのフロー ログを作成できますか?

いいえ、ネットワーク セキュリティ グループの読み取り専用ロックを使用すると、対応するネットワーク セキュリティ グループ フロー ログを作成できなくなります。

削除できないロックを持つネットワーク セキュリティ グループのフロー ログを作成できますか?

はい、ネットワーク セキュリティ グループの削除不可ロックによって、対応するネットワーク セキュリティ グループ フロー ログの作成または変更が妨げられることはありません。

ネットワーク セキュリティ グループのフロー ログを自動化できますか?

はい、AZURE Resource Manager テンプレート (ARM テンプレート) を使用してネットワーク セキュリティ グループ フロー ログを自動化できます。 詳細については、「Azure Resource Manager (ARM) テンプレートを使用して NSG のフロー ログを構成する」を参照してください。