重要
2027 年 9 月 30 日に、ネットワーク セキュリティ グループ (NSG) フロー ログは廃止されます。 この提供終了の一環として、2025 年 6 月 30 日以降新しい NSG フロー ログを作成できなくなります。 NSG フロー ログの制限を克服するために、仮想ネットワーク フロー ログに移行することをお勧めします。 提供終了日を過ぎると、NSG フロー ログで有効になっているトラフィック分析はサポートされなくなり、サブスクリプション内の既存の NSG フロー ログ リソースが削除されます。 ただし、NSG フロー ログ のレコードは削除されないため、それぞれの保持ポリシーに従い続けます。 詳細については、公式告知を参照してください。
ネットワーク セキュリティ グループのフロー ログは、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 ネットワーク セキュリティ グループのフロー ログの詳細については、「NSG フロー ログの概要を参照してください。
この記事では、Azure portal、PowerShell、Azure CLI を使用して、ネットワーク セキュリティ グループ フロー ログを作成、変更、有効化、無効化、または削除する方法について説明します。
[前提条件]
アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成できます。
インサイト提供者 詳細については、「Insights プロバイダーを登録する」を参照してください。
ネットワーク セキュリティ グループ。 ネットワーク セキュリティ グループを作成する必要がある場合は、ネットワーク セキュリティ グループの作成、変更、または削除に関するページを参照してください。
Azure ストレージ アカウント。 ストレージ アカウントを作成する必要がある場合は、Azure portal を使用したストレージ アカウントの作成に関するページを参照してください。
Insights プロバイダーを登録する
仮想ネットワークを通過するトラフィックを正しくログに記録するために、Microsoft.Insights プロバイダーが登録されている必要があります。 Microsoft.Insights プロバイダーが登録されているかどうか不明な場合は、次の手順に従って Azure portal でその状態を確認します。
ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。 検索結果で [サブスクリプション] を選択します。
[サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。
[設定] で、[リソース プロバイダー] を選択します。
フィルター ボックスに「insight」と入力します。
表示されるプロバイダーの状態が [登録済み] になっていることを確認します。 状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。
フロー ログの作成
ネットワーク セキュリティ グループのフロー ログを作成します。 フロー ログは、Azure ストレージ アカウントに保存されます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、[+ 作成] または青い [フロー ログの作成] ボタンを選択します。
![Azure portal の [フロー ログ] ページのスクリーンショット。](media/flow-logs.png)
[フロー ログの作成] の [基本] タブで、次の値を入力するか選びます。
設定 価値 プロジェクトの詳細 サブスクリプション ログに記録するネットワーク セキュリティ グループの Azure サブスクリプションを選択します。 フロー ログの種類 [ネットワーク セキュリティ グループ] を選択してから、[+ ターゲット リソースの選択] を選択します。
ログをフローするネットワーク セキュリティ グループを選択し、[選択の確認] を選択します。フロー ログ名 フロー ログの名前を入力するか、既定の名前をそのまま使用します。 Azure portal では、フロー ログの既定の名前として {ResourceName}-{ResourceGroupName}-flowlog を使用します。 この記事で使用する既定の名前は、myNSG-myResourceGroup-flowlog です。 インスタンスの詳細 サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。 ストレージ アカウント フロー ログを保存するストレージ アカウントを選択します。 新しいストレージ アカウントを作成する場合は、[新しいストレージ アカウントの作成] を選択します。 保有期間 (日) ログのリテンション期間を入力します (このオプションは、Standard 汎用 v2 ストレージ アカウントでのみ使用できます)。 (フロー ログ データをストレージ アカウントから手動で削除するまで) ストレージ アカウントにデータを無期限に保持する場合は、「0」を入力します。 価格の詳細については、「Azure Storage の価格」をご覧ください。 
トラフィック分析を有効にするには、[次へ: 分析] ボタンを選択するか、[分析] タブを選択します。次の値を入力または選択します。
設定 価値 フロー ログのバージョン ネットワーク セキュリティ グループ フロー ログのバージョンを選択します。使用可能なオプションは、[バージョン 1] と [バージョン 2] です。 既定のバージョンはバージョン 2 です。 詳細については、「ネットワーク セキュリティ グループのフローのログ記録」を参照してください。 トラフィック分析を有効にする フロー ログのトラフィック分析を有効にするには、このチェック ボックスをオンにします。 トラフィック分析の処理間隔 必要な処理間隔を選択します。使用可能なオプションは、[1 時間ごと] と [10 分ごと] です。 既定の処理間隔は 1 時間ごとです。 詳細については、トラフィック分析に関する記事を参照してください。 サブスクリプション Log Analytics ワークスペースの Azure サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 Azure portal では、defaultresourcegroup-{Region} リソース グループに DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics ワークスペースが既定で作成されます。 
注
既定のものとは異なる Log Analytics ワークスペースを作成および選択するには、「Log Analytics ワークスペースを作成する」を参照してください。
[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
![Azure portal の [フロー ログ] ページのスクリーンショット。](media/flow-logs.png#lightbox)
注
ストレージ アカウントが別のサブスクリプションにある場合は、ネットワーク セキュリティ グループとストレージ アカウントを同じ Microsoft Entra テナントに関連付ける必要があります。 各サブスクリプションで使用するアカウントは、必要なアクセス許可を持っている必要があります。
重要
ストレージ アカウントには、Microsoft サービスまたは特定の仮想ネットワークのみにネットワーク アクセスを制限するネットワーク 規則を含めてはなりません。
トラフィック分析を有効または無効にする
フロー ログのトラフィック分析を有効にして、フロー ログ データを分析します。 トラフィック分析は、仮想ネットワークのトラフィック パターンに関する分析情報を提供します。 フロー ログのトラフィック分析はいつでも有効または無効にすることができます。
注
トラフィック分析を有効または無効にするだけでなく、他のフロー ログ設定を変更することもできます。
フロー ログのトラフィック分析を有効にするには、次の手順に従います。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、トラフィック分析を有効にするフロー ログを選択します。
[フロー ログの設定] の [トラフィック分析] で、[トラフィック分析を有効にする] チェックボックスをオンにします。
次の値を入力または選択します。
設定 価値 サブスクリプション Log Analytics ワークスペースの Azure サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 Azure portal では、defaultresourcegroup-{Region} リソース グループに DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics ワークスペースが既定で作成されます。 トラフィック ログの間隔 必要な処理間隔を選択します。使用可能なオプションは、[1 時間ごと] と [10 分ごと] です。 既定の処理間隔は 1 時間ごとです。 詳細については、トラフィック分析に関する記事を参照してください。 
[保存] を選択して変更を適用します。
フロー ログのトラフィック分析を無効にするには、前の手順 1 から 3 を実行し、[トラフィック分析を有効にする] チェックボックスをオフにして、[保存] を選択します。
すべてのフロー ログを一覧表示する
サブスクリプションまたはサブスクリプションのグループ (Azure portal) 内のすべてのフロー ログを一覧表示できます。 リージョン内のすべてのフロー ログを一覧表示することもできます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
フィルター「Subscription equals」を選択して、1 つ以上のサブスクリプションを選びます。 Location equals などの他のフィルターを適用して、リージョン内のすべてのフロー ログを一覧表示できます。
フロー ログ リソースの詳細を表示する
フロー ログの詳細を表示できます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、表示するフロー ログを選択します。
[フローのログ設定] では、フロー ログ リソースの設定を表示できます。
![Azure portal の [フローのログ設定] ページのスクリーンショット。.](media/nsg-flow-logs-manage/flow-log-settings.png)
[キャンセル] を選択すると、変更は行われず設定ページが閉じます。
![Azure portal の [フローのログ設定] ページのスクリーンショット。.](media/nsg-flow-logs-manage/flow-log-settings.png#lightbox)
フロー ログをダウンロードする
フロー ログのデータは、フロー ログを保存したストレージ アカウントからダウンロードできます。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果から [ストレージ アカウント] を選択します。
ログの格納に使用したストレージ アカウントを選択します。
[データ ストレージ] で、[コンテナー] を選択します。
insights-logs-networksecuritygroupflowevent コンテナーを選択します。
insights-logs-networksecuritygroupflowevent で、ダウンロードする
PT1H.jsonファイルが表示されるまでフォルダー階層を移動します。 NSG フロー ログ ファイルは、次のパスに従います。https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonファイルの右側にある省略記号
PT1H.jsonを選んでから、[ダウンロード] を選びます。
注
ストレージ アカウントからフロー ログにアクセスしてダウンロードする別の方法として、Azure Storage Explorer を使用できます。 詳細については、「 Storage Explorer の概要 」と「 Storage Explorer を使用した BLOB のダウンロード」を参照してください。
フロー ログの構造については、NSG フロー ログのログ形式に関するページを参照してください。
フロー ログを無効にする
フロー ログは、削除せずに一時的に無効にすることができます。 フロー ログを無効にすると、関連付けられているネットワーク セキュリティ グループのフロー ログが停止します。 ただし、フロー ログ リソースは、そのすべての設定および関連付けと共に残ります。 いつでも再び有効にして、構成されたネットワーク セキュリティ グループのフロー ログを再開することができます。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、無効にするフロー ログのチェックボックスをオンにします。
無効にするを選択します。
注
フロー ログに対してトラフィック分析が有効になっている場合は、フロー ログを無効にする前にそれを無効にする必要があります。 トラフィック分析を無効にするには、「トラフィック分析を有効または無効にする」を参照してください。
フロー ログを削除する
仮想ネットワーク フロー ログを完全に削除できます。 フロー ログを削除すると、その設定と関連付けがすべて削除されます。 同じリソースに対してフロー ログを再度開始するには、新しいフロー ログを作成する必要があります。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。
[ログ] の下の [フロー ログ] を選択します。
[Network Watcher | フロー ログ] で、削除するフロー ログのチェックボックスをオンにします。
を選択して、を削除します。
注
フロー ログを削除しても、ストレージ アカウントからフロー ログ データは削除されません。 ストレージ アカウントに格納されているフロー ログ データは、構成されたアイテム保持ポリシーに従うか、手動で削除されるまでストレージ アカウントに保存されます。