Azure Virtual Network Manager のイベント ログのオプション
Azure Virtual Network Manager は、ほかの多くの Azure サービスと同様に、データの収集と分析に Azure Monitor を使用します。 Azure Virtual Network Manager では、各ネットワーク マネージャーのイベント ログが提供されます。 イベント ログの保存と表示には、Azure Monitor の Log Analytics ツール、Azure portal、ストレージ アカウントを使用できます。 これらのログを、イベント ハブまたはパートナー ソリューションに送信することもできます。
重要
Azure Virtual Network Manager は、Virtual Network Manager とハブ アンド スポークの接続構成で一般提供されています。 メッシュ接続の構成は、パブリック プレビューのままです。
セキュリティ管理者ルールを使用したセキュリティ構成は、次のリージョンで一般提供されています。
- 英国南部
- 米国東部
- 東日本
- 北ヨーロッパ
- 東アジア
- オーストラリア東部
- 米国中西部
他のすべてのリージョンでは、パブリック プレビューのままです。
このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
サポートされるログのカテゴリ
Azure Virtual Network Manager には現在、次のログ カテゴリが用意されています。
- ネットワーク グループ メンバーシップの変更
- 特定の仮想ネットワークのネットワーク グループ メンバーシップが変更された場合に追跡します。 つまり、仮想ネットワークがネットワーク グループに追加されり、ネットワーク グループから削除されたりすると、ログが出力されます。 これは、時間の経過とともにネットワーク グループ メンバーシップが変わるのを追跡し、特定の仮想ネットワークのネットワーク グループ メンバーシップのスナップショットを取得するために使用できます。
- 規則コレクションの変更
- 特定の仮想ネットワークに適用されているセキュリティ管理規則コレクションのセットが変更された場合に追跡します。 規則コレクションの対象となっているネットワーク グループを通じて、仮想ネットワークにデプロイされたすべての規則コレクションに対してログが生成されます。 デプロイ プロセスを通じてネットワーク グループから規則コレクションを削除すると、影響を受ける各仮想ネットワークのログも生成されます。 このスキーマを使用すると、一定期間に特定の仮想ネットワークにデプロイされた規則コレクションを追跡できます。
- 仮想ネットワークが複数のネットワーク マネージャーからセキュリティ管理規則コレクションを受信している場合、それぞれの規則コレクションの変更について、ネットワーク マネージャーごとにログが個別に出力されます。
- 既に規則コレクションがデプロイされているネットワーク グループの仮想ネットワークが追加または削除された場合、適用された規則コレクションの状態を示すログがその仮想ネットワークに対して出力されます。
ネットワーク グループ メンバーシップ変更の属性
このカテゴリは、ネットワーク グループ メンバーシップの変更ごとに 1 つのログを出力します。 そのため、仮想ネットワークがネットワーク グループに追加またはネットワーク グループから削除されると、その特定の仮想ネットワークに対するその 1 つの追加または削除に関連するログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された datetime。 |
| resourceId | ネットワーク マネージャーのサブネット リソース ID |
| location | 仮想ネットワーク リソースの場所。 |
| operationName | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/virtualNetworks/networkGroupMembership/write 操作です。 |
| category | このログのカテゴリ 常に NetworkGroupMembershipChange です。 |
| resultType | 成功または失敗した操作を示します。 |
| correlationId | ログの関連付けまたはデバッグに役立つ GUID。 |
| level | 常に Info です。 |
| properties | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| メッセージ | ネットワーク グループ メンバーシップの変更が成功したか失敗したかを示す静的メッセージ。 |
| MembershipId | 仮想ネットワークの既定のメンバーシップ ID。 |
| GroupMemberships | 仮想ネットワークが属するネットワーク グループのコレクション。 仮想ネットワークは複数のネットワーク グループに同時に所属できるため、このプロパティ内に複数の NetworkGroupId と Sources が表示される場合があります。 |
| MemberResourceIds | ネットワーク グループに追加またはネットワークグループから削除された仮想ネットワークのリソース ID。 |
GroupMemberships 属性内には、いくつかの入れ子になった属性があります。
| GroupMemberships の属性 | 説明 |
|---|---|
| NetworkGroupId | 仮想ネットワークが属するネットワーク グループの ID。 |
| Sources | 仮想ネットワークがネットワーク グループのメンバーである方法のコレクション。 |
Sources 属性内には、いくつかの入れ子になった属性があります。
| Sources の属性 | 説明 |
|---|---|
| Type | 仮想ネットワークが手動で追加された (StaticMembership) か、Azure Policy (Policy) を使用して条件付きで追加されたかを示します。 |
| StaticMemberId | Type 値が StaticMembership の場合、このプロパティが表示されます。 |
| PolicyAssignmentId | Type 値が Policy の場合、このプロパティが表示されます。 Azure Policy 定義をネットワーク グループに関連付ける Azure Policy 割り当ての ID。 |
| PolicyDefinitionId | Type 値が Policy の場合、このプロパティが表示されます。 ネットワーク グループのメンバーシップの条件を含む Azure Policy 定義の ID。 |
規則コレクションの変更の属性
このカテゴリは、仮想ネットワークごとに、セキュリティ管理規則コレクションの変更ごとに 1 つのログを出力します。 そのため、セキュリティ管理規則コレクションがそのネットワーク グループを通じて仮想ネットワークに適用または削除されると、その特定の仮想ネットワークの規則コレクションの変更に関連付けられたログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された datetime。 |
| resourceId | ネットワーク マネージャーのサブネット リソース ID |
| location | 仮想ネットワーク リソースの場所。 |
| operationName | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/networkManagers/securityAdminRuleCollections/write operation です。 |
| category | このログのカテゴリ 常に RuleCollectionChange です。 |
| resultType | 成功または失敗した操作を示します。 |
| correlationId | ログの関連付けまたはデバッグに役立つ GUID。 |
| level | 常に Info です。 |
| properties | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| TargetResourceIds | 規則コレクションの適用で変更が発生した仮想ネットワークのリソース ID。 |
| メッセージ | 規則コレクションの変更が成功したか失敗したかを示す静的メッセージ。 |
| AppliedRuleCollectionIds | ログが出力された時点で仮想ネットワークに適用されていたセキュリティ管理規則コレクションのコレクション。 仮想ネットワークは複数のネットワーク グループに所属できるため、複数の規則コレクションが同時に適用され、複数の規則コレクション ID が一覧表示される場合があります。 |
ログへのアクセス
イベント ログの使用方法に応じて、Log Analytics ワークスペースまたはストレージ アカウントをログ イベントの格納用に設定する必要があります。
- Log Analytics ワークスペースの作成方法をご確認ください。
- ストレージ アカウントの作成方法をご確認ください。
Log Analytics ワークスペースまたはストレージ アカウントを設定するときは、リージョンを選択する必要があります。 ストレージ アカウントを使用する場合は、ログにアクセスする仮想ネットワーク マネージャーと同じリージョンに属する必要があります。 Log Analytics ワークスペースを使用している場合は、任意のリージョンに存在できます。
イベントにアクセスするネットワーク マネージャーは、Log Analytics ワークスペースまたはストレージに使用されるストレージ アカウントと同じサブスクリプションに属する必要はありませんが、アクセス許可によって、異なるサブスクリプションのログにアクセスする機能が制限される場合があります。
Note
ログが生成されるためには、ネットワーク グループの仮想ネットワークを少なくとも 1 つ追加または削除する必要があります。 ネットワーク グループ メンバーシップの変更が発生してから数分後に、このイベントのログが生成されます。
次のステップ
- Azure portal を使用して Azure Virtual Network Manager インスタンスを作成する方法を確認します。
- Azure Virtual Network Manager のネットワーク グループについて詳しく学習します。