Azure portal を使用して NSG フロー ログを管理する
ネットワーク セキュリティ グループのフロー ログは、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 ネットワーク セキュリティ グループのフロー ログの詳細については、NSG フロー ログの概要に関するページを参照してください。
この記事では、Azure portal を使用して NSG フロー ログを作成、変更、無効化、または削除する方法について説明します。 PowerShell、Azure CLI、REST API、または ARM テンプレートを使用して NSG フロー ログを管理する方法を説明します。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
Insights プロバイダー。 詳細については、「Insights プロバイダーを登録する」を参照してください。
ネットワーク セキュリティ グループ。 ネットワーク セキュリティ グループを作成する必要がある場合は、ネットワーク セキュリティ グループの作成、変更、または削除に関するページを参照してください。
Azure ストレージ アカウント。 ストレージ アカウントを作成する必要がある場合は、PowerShell を使用したストレージ アカウントの作成に関するページを参照してください。
Insights プロバイダーの登録
ネットワーク セキュリティ グループを通過するトラフィックを正しくログに記録するために、Microsoft.Insights プロバイダーが登録されている必要があります。 Microsoft.Insights プロバイダーが登録されているかどうか不明な場合は、その状態を確認します。
ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。 検索結果で [サブスクリプション] を選択します。
[サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。
[設定] で、[リソース プロバイダー] を選択します。
フィルター ボックスに「insight」と入力します。
表示されるプロバイダーの状態が [登録済み] になっていることを確認します。 状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。
フロー ログの作成
ネットワーク セキュリティ グループのフロー ログを作成します。 この NSG フロー ログは、Azure ストレージ アカウントに保存されます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、[+ 作成] または青い [フロー ログの作成] ボタンを選択します。
[フロー ログの作成] で、次の値を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション ログに記録するネットワーク セキュリティ グループの Azure サブスクリプションを選択します。 ネットワーク セキュリティ グループ [+ リソースの選択] を選択します。
[ネットワーク セキュリティ グループの選択] で、[myNSG] を選択します。 次に、[選択の確認] を選択します。フロー ログ名 フロー ログの名前を入力するか、既定の名前をそのまま使用します。 この例では、myNSG-myResourceGroup-flowlog が既定の名前です。 インスタンスの詳細 サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。 ストレージ アカウント フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。 保有期間 (日) ログの保有期間を入力します。 フロー ログ データをストレージ アカウントから削除するまでストレージ アカウントに無期限に保持する場合は、「0」を入力します。 価格の詳細については、「Azure Storage の価格」をご覧ください。 注意
ストレージ アカウントが別のサブスクリプションにある場合は、ネットワーク セキュリティ グループとストレージ アカウントを同じ Azure Active Directory テナントに関連付ける必要があります。 各サブスクリプションで使用するアカウントは、必要なアクセス許可を持っている必要があります。
[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
フロー ログとトラフィック分析ワークスペースを作成する
ネットワーク セキュリティ グループのフロー ログを作成し、トラフィック分析を有効にします。 NSG フロー ログは、Azure ストレージ アカウントに保存されます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、[+ 作成] または青い [フロー ログの作成] ボタンを選択します。
[フロー ログの作成] で、次の値を入力するか選びます。
設定 値 プロジェクトの詳細 サブスクリプション ログに記録するネットワーク セキュリティ グループの Azure サブスクリプションを選択します。 ネットワーク セキュリティ グループ [+ リソースの選択] を選択します。
[ネットワーク セキュリティ グループの選択] で、[myNSG] を選択します。 次に、[選択の確認] を選択します。フロー ログ名 フロー ログの名前を入力するか、既定の名前をそのまま使用します。 Azure portal では{network-security-group}-{resource-group}-flowlog フロー ログが NetworkWatcherRG リソース グループに既定で作成されます。 インスタンスの詳細 サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。 ストレージ アカウント フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。 保有期間 (日) ログの保有期間を入力します。 フロー ログ データをストレージ アカウントから削除するまでストレージ アカウントに無期限に保持する場合は、「0」を入力します。 価格の詳細については、「Azure Storage の価格」をご覧ください。 注意
ストレージ アカウントが別のサブスクリプションにある場合は、ネットワーク セキュリティ グループとストレージ アカウントを同じ Azure Active Directory テナントに関連付ける必要があります。 各サブスクリプションで使用するアカウントは、必要なアクセス許可を持っている必要があります。
[次へ: 分析] ボタンを選択するか、[分析] タブを選択します。その後、次の値を入力または選択します。
設定 値 フロー ログのバージョン フロー ログのバージョンを選択します。 Azure portal を使用してフロー ログを作成すると、バージョン 2 が既定で選択されます。 フロー ログのバージョンの詳細については、NSG フロー ログのログ形式に関するページを参照してください。 Traffic Analytics Traffic Analytics を有効にする フロー ログのトラフィック分析を有効にするには、このチェック ボックスをオンにします。 Traffic Analytics の処理間隔 必要な処理間隔を選択します。使用可能なオプションは、[1 時間ごと] と [10 分ごと] です。 既定の処理間隔は 1 時間ごとです。 詳細については、Traffic Analytics に関する記事を参照してください。 サブスクリプション Log Analytics ワークスペースの Azure サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 Azure portal では defaultresourcegroup-{Region} リソース グループに DefaultWorkspace-{subscription-id}-{region} Log Analytics ワークスペースが既定で作成されて選択されます。 [Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
フロー ログを変更する
フロー ログのプロパティは、作成後に変更できます。 たとえば、フロー ログのバージョンを変更したり、トラフィック分析を無効にしたりできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、変更するフロー ログを選択します。
[フローのログ設定] では、次のいずれかの設定を変更できます。
- フロー ログのバージョン: フロー ログのバージョンを変更します。 使用可能なバージョンは、バージョン 1 とバージョン 2 です。 Azure portal を使用してフロー ログを作成すると、バージョン 2 が既定で選択されます。 フロー ログのバージョンの詳細については、NSG フロー ログのログ形式に関するページを参照してください。
- ストレージ アカウント:フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。
- 保有期間 (日): ストレージ アカウントの保有期間を変更します。 フロー ログ データをストレージ アカウントからデータを手動で削除するまでストレージ アカウントに無期限に保持する場合は、「0」を入力します。
- トラフィック分析: フロー ログのトラフィック分析を有効または無効にします。 詳細については、Traffic Analytics に関する記事を参照してください。
- トラフィック分析の処理間隔: トラフィック分析の処理間隔を変更します (トラフィック分析が有効になっている場合)。 使用可能なオプションは、1 時間ごとおよび 10 分ごとです。 既定の処理間隔は 1 時間ごとです。 詳細については、Traffic Analytics に関する記事を参照してください。
- Log Analytics ワークスペース: フロー ログを保存する Log Analytics ワークスペースを変更します (トラフィック分析が有効になっている場合)。
すべてのフロー ログを一覧表示する
サブスクリプションまたはサブスクリプションのグループ内のすべてのフロー ログを一覧表示できます。 リージョン内のすべてのフロー ログを一覧表示することもできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Subscription equals] (サブスクリプションが次に等しい) フィルターを選択して、1 つ以上のサブスクリプションを選択します。 [Location equals] (場所が次に等しい) などの他のフィルターを適用すると、リージョン内のすべてのフロー ログを一覧表示できます。
フロー ログ リソースの詳細を表示する
サブスクリプションまたはサブスクリプションのグループでフロー ログの詳細を表示できます。 リージョン内のすべてのフロー ログを一覧表示することもできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、表示するフロー ログを選択します。
[フローのログ設定] では、フロー ログ リソースの設定を表示できます。
フローのログをダウンロードする
フローのログの保存場所は作成時に定義されます。 ストレージ アカウントからフロー ログにアクセスしてダウンロードするには、Azure Storage Explorer を使用できます。 詳細については、「Storage Explorer の概要」を参照してください。
ストレージ アカウントに保存される NSG フロー ログ ファイルは、次のパスに従います。
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
フロー ログの構造については、NSG フロー ログのログ形式に関するページを参照してください。
フロー ログを無効にする
NSG フロー ログを削除せずに一時的に無効にできます。 フロー ログを無効にすると、関連付けられているネットワーク セキュリティ グループのフロー ログが停止します。 ただし、フロー ログ リソースは、そのすべての設定および関連付けと共に残ります。 いつでも再び有効にして、構成されたネットワーク セキュリティ グループのフロー ログを再開することができます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、無効にするフロー ログのチェックボックスをオンにします。
[無効にする] を選択します。
Note
フロー ログに対してトラフィック分析が有効になっている場合は、フロー ログを無効にする前にそれを無効にする必要があります。 トラフィック分析を無効にするには、「フロー ログを変更する」を参照してください。
フロー ログを削除する
NSG フロー ログを完全に削除できます。 フロー ログを削除すると、その設定と関連付けがすべて削除されます。 同じネットワーク セキュリティ グループに対してフロー ログをもう一度開始するには、それに対して新しいフロー ログを作成する必要があります。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果で [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、削除するフロー ログのチェックボックスをオンにします。
[削除] を選択します。
Note
フロー ログを削除しても、ストレージ アカウントからフロー ログ データは削除されません。 ストレージ アカウントに格納されているフロー ログ データは、構成されているアイテム保持ポリシーに従うか、アイテム保持ポリシーが構成されていない場合は手動で削除されるまでストレージ アカウントに保存されます。
次のステップ
- Azure 組み込みポリシーを使用して NSG フロー ログを監査またはデプロイする方法については、「Azure Policy を使用して NSG フロー ログを管理する」を参照してください。
- トラフィック分析については、トラフィック分析に関するページを参照してください。