チュートリアル:Azure portal を使用して仮想マシンへの送受信ネットワークトラフィックをログに記録する

[アーティクル]
11/08/2023

ネットワークセキュリティグループのフローログは、ネットワークセキュリティグループを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。ネットワークセキュリティグループのフローログの詳細については、NSG フローログの概要に関するページを参照してください。

このチュートリアルでは、NSG フローログを使って、ネットワークインターフェイスに関連付けられているネットワークセキュリティグループを通過する仮想マシンのネットワークトラフィックをログする方法について説明します。

チュートリアルで作成されるリソースを示す図。

このチュートリアルでは、次の作業を行う方法について説明します。

仮想ネットワークの作成
ネットワークインターフェイスに関連付けられたネットワークセキュリティグループを使用して仮想マシンを作成する
Microsoft.insights プロバイダーを登録する
Network Watcher NSG のフローログを使用してネットワークセキュリティグループのフローログを有効にする
ログに記録されたデータをダウンロードする
ログに記録されたデータを表示する

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。お持ちでない場合は、開始する前に無料アカウントを作成してください。

仮想ネットワークの作成

このセクションでは、仮想マシン用のサブネットを 1 つ持つ myVNet 仮想ネットワークを作成します。

Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果から、[仮想ネットワーク] を選択します。

[+ 作成] を選択します。 [仮想ネットワークの作成] の [基本] タブで、次の値を入力するか選びます。

設定	値
プロジェクトの詳細
サブスクリプション	Azure サブスクリプションを選択します。
リソースグループ	[新規作成] を選択します。 [名前] に「myResourceGroup」と入力します。 [OK] を選択します。
インスタンスの詳細
名前	「myVNet」と入力します。
リージョン	[(米国) 米国東部] を選択します。

[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。

仮想マシンの作成

このセクションでは、myVM 仮想マシンを作成します。

ポータルの上部にある検索ボックスに「仮想マシン」と入力します。検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。

[仮想マシンの作成] の [基本] タブに次の値を入力するか選択します。

設定	値
プロジェクトの詳細
サブスクリプション	Azure サブスクリプションを選択します。
リソースグループ	[myResourceGroup] を選択します。
インスタンスの詳細
仮想マシン名	「myVM」と入力します。
リージョン	[(米国) 米国東部] を選択します。
可用性オプション	[インフラストラクチャ冗長は必要ありません] を選択します。
セキュリティの種類	[Standard] を選択します。
Image	[Windows Server 2022 Datacenter: Azure Edition - x64 Gen2] を選択します。
サイズ	サイズを選択するか、既定の設定のままにします。
管理者アカウント
ユーザー名	ユーザー名を入力します。
Password	パスワードを入力します。
パスワードの確認	パスワードを再入力します。

[ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

[ネットワーク] タブで、次の値を選びます。

設定	値
ネットワークインターフェイス
仮想ネットワーク	[myVNet] を選択します。
Subnet	[mySubnet] を選択します。
パブリック IP	(新規) myVM-ip を選択します。
NIC ネットワークセキュリティグループ	[Basic] を選択します。この設定により、myVM-nsg という名前のネットワークセキュリティグループが作成され、myVM 仮想マシンのネットワークインターフェイスに関連付けられます。
パブリック受信ポート	[選択したポートを許可する] を選択します。
受信ポートの選択	[RDP (3389)] を選択します。

注意事項

RDP ポートをインターネットに対して開いたままにしておくことは、テストにのみお勧めします。運用環境では、RDP ポートへのアクセスを特定の IP アドレスまたは IP アドレスの範囲に制限することをお勧めします。 RDP ポートへのインターネットアクセスをブロックし、Azure Bastion を使用して、Azure ポータルから仮想マシンに安全に接続することもできます。

[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
デプロイが完了したら、[リソースに移動] を選んで myVM の [概要] ページに移動します。
[接続] を選んでから、[RDP] を選びます。
[RDP ファイルのダウンロード] を選択して、ダウンロードしたファイルを開きます。
[接続] を選んでから、前の手順で作成したユーザー名とパスワードを入力します。メッセージが表示されたら、証明書を受け入れます。

Insights プロバイダーの登録

NSG フローのログ記録には、Microsoft.Insights プロバイダーが必要です。その状態を調べるには、次の手順のようにします。

ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。検索結果で [サブスクリプション] を選択します。
[サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。
サブスクリプションの [設定] で、[リソースプロバイダー] を選びます。
フィルターボックスに「insight」と入力します。
表示されるプロバイダーの状態が [登録済み] になっていることを確認します。状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。

ストレージアカウントの作成

このセクションでは、フローログの格納に使うストレージアカウントを作成します。

ポータルの上部にある検索ボックスに、「ストレージアカウント」と入力します。検索結果で [ストレージアカウント] を選択します。

[+ 作成] を選択します。 [ストレージアカウントの作成] の [基本] タブで、次の値を入力するか選びます。

設定	値
プロジェクトの詳細
サブスクリプション	Azure サブスクリプションを選択します。
リソースグループ	[myResourceGroup] を選択します。
インスタンスの詳細
ストレージアカウント名	一意の名前を入力します。このチュートリアルでは mynwstorageaccount を使用します。
リージョン	[(米国) 米国東部] を選択します。このストレージアカウントは、仮想マシンおよびそのネットワークセキュリティグループと同じリージョンに存在する必要があります。
パフォーマンス	[Standard] を選択します。 NSG フローログでは、Standard レベルのストレージアカウントのみがサポートされます。
冗長性	ローカル冗長ストレージ (LRS) または持続性の要件に一致する別のレプリケーション戦略を選択します。

[確認] タブを選ぶか、下部にある [確認] ボタンを選びます。
設定を確認し、 [作成] を選択します。

NSG フローログを作成する

このセクションでは、このチュートリアルで前に作成したストレージアカウントに保存される NSG フローログを作成します。

ポータルの上部にある検索ボックスに、「network watcher」と入力します。検索結果で [Network Watcher] を選択します。
[ログ] の下の [フローログ] を選択します。
[Network Watcher | フローログ] で、[+ 作成] または青い [フローログの作成] ボタンを選択します。

[フローログの作成] で、次の値を入力するか選びます。

設定	値
プロジェクトの詳細
サブスクリプション	ログに記録するネットワークセキュリティグループの Azure サブスクリプションを選択します。
ネットワークセキュリティグループ	[+ リソースの選択] を選択します。 [ネットワークセキュリティグループの選択] で、"myVM-nsg" を選択します。次に、[選択の確認] を選択します。
フローログ名	既定値の [myVM-nsg-myResourceGroup-flowlog] のままにします。
インスタンスの詳細
サブスクリプション	ストレージアカウントの Azure サブスクリプションを選択します。
ストレージアカウント	前の手順で作成したストレージアカウントを選択します。このチュートリアルでは mynwstorageaccount を使用します。
保有期間 (日)	フローログデータをストレージアカウントから削除するまではストレージアカウントに無期限に保持するには、「0」を入力します。アイテム保持ポリシーを適用するには、保持期間を日数で入力します。ストレージの価格の詳細については、Azure Storage の価格に関する記事をご覧ください。

Azure portal の NSG フローログ作成ページのスクリーンショット。

Note

Azure portal では、NetworkWatcherRG リソースグループに NSG フローログが作成されます。

[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
デプロイが完了したら、[リソースに移動] を選択して、フローログが作成され、[フローログ] ページに一覧表示されていることを確認します。
myVM 仮想マシンとの RDP セッションに戻るします。
Microsoft Edge を開き、 www.bing.com に移動します。

フローログをダウンロードする

このセクションでは、前に選んだストレージアカウントに移動し、前のセクションで作成した NSG フローログをダウンロードします。

ポータルの上部にある検索ボックスに、「ストレージアカウント」と入力します。検索結果で [ストレージアカウント] を選択します。
mynwstorageaccount または前にログを保存するために作成して選んだストレージアカウントを選びます。
[データストレージ] で、[コンテナー] を選択します。
[insights-logs-networksecuritygroupflowevent] コンテナーを選択します。

このコンテナーで、PT1H.json ファイルの場所までフォルダー階層内を移動します。 NSG ログファイルは、次の名前付け規則に従うフォルダー階層に書き込まれます。

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

PT1H.json ファイルの右側にある省略記号 [...] を選んでから、[ダウンロード] を選びます。

Note

Azure Storage Explorer を使用して、ストレージアカウントにあるフローログにアクセスしてダウンロードすることができます。詳細については、「Storage Explorer の概要」を参照してください。

フローログを表示する

任意のテキストエディターを使って、ダウンロードした PT1H.json ファイルを開きます。次の例は、ダウンロードした PT1H.json ファイルから取得したセクションであり、ルール DefaultRule_AllowInternetOutBound によって処理されるフローを示しています。

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

flowTuples のコンマで区切られた情報を次に示します。

サンプルデータ	データが表す内容	説明
1677455097	タイムスタンプ	フローが発生したときのタイムスタンプ (UNIX EPOCH 形式)。前の例の日付は、2023 年 2 月 26 日午後 11:44:57 UTC/GMT に変換されます。
10.0.0.4	送信元 IP アドレス	フローが発生したソース IP アドレス。 10.0.0.4 は、前に作成した VM のプライベート IP アドレスです。
13.107.21.200	宛先 IP アドレス	フローが送信された宛先 IP アドレス。13.107.21.200 は `www.bing.com` の IP アドレスです。トラフィックは Azure の外部に送信されるため、セキュリティ規則 DefaultRule_AllowInternetOutBound によってフローが処理されました。
49982	発信元ポート	フローが発生したソースポート。
443	宛先ポート	フローが送信された宛先ポート。
T	Protocol	フローのプロトコル。 T: TCP。
O	Direction	フローの方向。 O: アウトバウンド。
A	決定	セキュリティ規則によって行われた決定。 A: 許可。
C	フロー状態 (バージョン 2 のみ)	フローの状態。 C: 継続中。フローが進行中です。
7	送信されたパケット数 (バージョン 2 のみ)	最後の更新以降に宛先に送信された TCP パケットの合計数。
1158	送信されたバイト数 (バージョン 2 のみ)	最後の更新以降に送信元から宛先に送信された TCP パケットのバイト数の合計。パケットのバイト数には、パケットヘッダーとペイロードが含まれます。
12	受信されたパケット数 (バージョン 2 のみ)	最後の更新以降に宛先から受信した TCP パケットの合計数。
8143	受信されたバイト数 (バージョン 2 のみ)	最後の更新以降に宛先から受信した TCP パケットバイト数の合計。パケットのバイト数には、パケットヘッダーとペイロードが含まれます。

リソースをクリーンアップする

myResourceGroup とそれに含まれるすべてのリソースが不要になったら、それらを削除します:

ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。検索結果から [myResourceGroup] を選択します。
[リソースグループの削除] を選択します。
[リソースグループの削除] に「myResourceGroup」と入力し、[削除] を選択します。
[削除] を選択して、リソースグループとそのすべてのリソースの削除を確認します。

注意

myVM-nsg-myResourceGroup-flowlog フローログは NetworkWatcherRG リソースグループにありますが、myVM-nsg ネットワークセキュリティグループを削除した後 (myResourceGroup リソースグループを削除することによって) 削除されます。

NSG フローログの詳細については、「ネットワークセキュリティグループのフローのログ記録」を参照してください。
NSG フローログを作成、変更、有効化、無効化、または削除する方法については、NSG フローログを管理するを参照してください。
トラフィック分析については、トラフィック分析の概要を参照してください。

チュートリアル:Azure portal を使用して仮想マシンへの送受信ネットワーク トラフィックをログに記録する

前提条件

仮想ネットワークの作成

仮想マシンの作成

Insights プロバイダーの登録

ストレージ アカウントの作成

NSG フロー ログを作成する

フロー ログをダウンロードする

フロー ログを表示する