Azure Monitor の Azure ネットワーク監視ソリューションAzure networking monitoring solutions in Azure Monitor

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

Azure Monitor には、ネットワークを監視することを目的とした次のソリューションが用意されています。Azure Monitor offers the following solutions for monitoring your networks:

  • ネットワーク パフォーマンス モニター (NPM)Network Performance Monitor (NPM) to
    • ネットワークの正常性の監視Monitor the health of your network
  • Azure Application Gateway 分析によるレビューAzure Application Gateway analytics to review
    • Azure Application Gateway のログAzure Application Gateway logs
    • Azure Application Gateway のメトリックAzure Application Gateway metrics
  • クラウド ネットワークのネットワーク アクティビティを監視および監査するためのソリューションSolutions to monitor and audit network activity on your cloud network

ネットワーク パフォーマンス モニター (NPM)Network Performance Monitor (NPM)

ネットワーク パフォーマンス モニター管理ソリューションは、ネットワークの正常性、可用性、到達の可能性を監視するネットワーク監視ソリューションです。The Network Performance Monitor management solution is a network monitoring solution, that monitors the health, availability and reachability of networks. 次の 2 点間の接続を監視する目的で使用します。It is used to monitor connectivity between:

  • パブリック クラウドとオンプレミスPublic cloud and on-premises
  • データ センターとユーザー拠点 (支社)Data centers and user locations (branch offices)
  • 多層アプリケーションの各種階層をホストするサブネット間。Subnets hosting various tiers of a multi-tiered application.

詳細については、ネットワーク パフォーマンス モニターに関するページを参照してください。For more information, see Network Performance Monitor.

ネットワーク セキュリティ グループ分析Network Security Group analytics

  1. 管理ソリューションを Azure Monitor に追加します。Add the management solution to Azure Monitor, and
  2. 診断を有効にして、Azure Monitor の Log Analytics ワークスペースに診断結果をリダイレクトします。Enable diagnostics to direct the diagnostics to a Log Analytics workspace in Azure Monitor. Azure Blob Storage にログを書き込む必要はありません。It is not necessary to write the logs to Azure Blob storage.

診断ログが有効になっていない場合、そのリソースのダッシュボード ブレードは空白であり、エラー メッセージが表示されます。If diagnostic logs are not enabled, the dashboard blades for that resource are blank and display an error message.

Azure Application Gateway 分析Azure Application Gateway analytics

  1. 診断を有効にして、Azure Monitor の Log Analytics ワークスペースに診断結果をリダイレクトします。Enable diagnostics to direct the diagnostics to a Log Analytics workspace in Azure Monitor.
  2. Application Gateway のブック テンプレートを使用して、リソースの詳細な概要を使用します。Consume the detailed summary for your resource using the workbook template for Application Gateway.

Application Gateway に対して診断ログが有効になっていない場合は、既定のメトリック データのみがブック内に設定されます。If diagnostic logs are not enabled for Application Gateway, only the default metric data would be populated within the workbook.

注意

2017 年 1 月、Application Gateway とネットワーク セキュリティ グループから Log Analytics ワークスペースへのログ送信をサポートする方法が変更になりました。In January 2017, the supported way of sending logs from Application Gateways and Network Security Groups to a Log Analytics workspace changed. Azure Networking Analytics (非推奨) ソリューションが表示される場合は、「旧バージョンの Networking Analytics ソリューションからの移行」を参照して手順に従ってください。If you see the Azure Networking Analytics (deprecated) solution, refer to migrating from the old Networking Analytics solution for steps you need to follow.

Azure Networking データ収集の詳細の確認Review Azure networking data collection details

Azure Application Gateway とネットワーク セキュリティ グループの診断ログは、Azure Application Gateway 分析とネットワーク セキュリティ グループ分析の管理ソリューションによって直接収集されます。The Azure Application Gateway analytics and the Network Security Group analytics management solutions collect diagnostics logs directly from Azure Application Gateways and Network Security Groups. Azure Blob Storage にログを記述する必要はありません。データ収集のエージェントも不要です。It is not necessary to write the logs to Azure Blob storage and no agent is required for data collection.

次の表は、Azure Application Gateway 分析とネットワーク セキュリティ グループ分析におけるデータの収集に関して、その手段と各種情報をまとめたものです。The following table shows data collection methods and other details about how data is collected for Azure Application Gateway analytics and the Network Security Group analytics.

プラットフォームPlatform 直接エージェントDirect agent Systems Center Operations Manager エージェントSystems Center Operations Manager agent AzureAzure Operations Manager が必要かOperations Manager required? 管理グループによって送信される Operations Manager エージェントのデータOperations Manager agent data sent via management group 収集の頻度Collection frequency
AzureAzure ログの際when logged

Azure Application Gateway の診断を Azure Portal で有効にするEnable Azure Application Gateway diagnostics in the portal

  1. Azure portal で、監視する Application Gateway リソースに移動します。In the Azure portal, navigate to the Application Gateway resource to monitor.

  2. [診断設定] を選択して、次のページを開きます。Select Diagnostics Settings to open the following page.

    Application Gateway リソースの診断設定構成のスクリーンショット。

    診断設定を構成するためのページのスクリーンショット。 Screenshot of the page for configuring Diagnostics settings.

  3. [Log Analytics への送信] チェックボックスをオンにします。Click the checkbox for Send to Log Analytics.

  4. 既存の Log Analytics ワークスペースを選択するか、ワークスペースを作成します。Select an existing Log Analytics workspace, or create a workspace.

  5. 収集するログの種類ごとに [ログ] の下のチェックボックスをオンにます。Click the checkbox under Log for each of the log types to collect.

  6. [保存] をクリックして、Azure Monitor への診断のログ記録を有効にします。Click Save to enable the logging of diagnostics to Azure Monitor.

PowerShell を使用した Azure ネットワーク診断を有効にするEnable Azure network diagnostics using PowerShell

次の PowerShell スクリプトは、アプリケーション ゲートウェイに対するリソース ログを有効にする方法の例を示しています。The following PowerShell script provides an example of how to enable resource logging for application gateways.

$workspaceId = "/subscriptions/d2e37fee-1234-40b2-5678-0b2199de3b50/resourcegroups/oi-default-east-us/providers/microsoft.operationalinsights/workspaces/rollingbaskets"

$gateway = Get-AzApplicationGateway -Name 'ContosoGateway'

Set-AzDiagnosticSetting -ResourceId $gateway.ResourceId  -WorkspaceId $workspaceId -Enabled $true

Azure Monitor Network Insights を使用した Azure Application Gateway 分析へのアクセスAccessing Azure Application Gateway analytics via Azure Monitor Network insights

Application Insights には、Application Gateway リソース内の [Insights](分析情報) タブからアクセスできます。Application insights can be accessed via the insights tab within your Application Gateway resource.

Application Gateway Insights のスクリーンショットScreenshot of Application Gateway insights

[詳細なメトリックの表示] タブを使用すると、Application Gateway のデータが要約された事前設定済みのブックが表示されます。The "view detailed metrics" tab will open up the pre-populated workbook summarizing the data from your Application Gateway.

Application Gateway ブックのスクリーンショット Screenshot of Application Gateway workbook

Azure Monitor Network Insights ブックを使用した新機能New capabilities with Azure Monitor Network Insights workbook

注意

Azure Monitor Insights ブックに関連する追加コストはありません。There are no additional costs associated with Azure Monitor Insights workbook. Log Analytics ワークスペースは、引き続き使用量に従って課金されます。Log Analytics workspace will continue to be billed as per usage.

Network Insights ブックを使用すると、次のような、Azure Monitor および Log Analytics の最新の機能を活用できます。The Network Insights workbook allows you to take advantage of the latest capabilities of Azure Monitor and Log Analytics including:

新しいブック ソリューションの機能の詳細については、「ブックの概要」を確認してくださいTo find more information about the capabilities of the new workbook solution check out Workbooks-overview

Azure Gateway 分析ソリューションから Azure Monitor ブックへの移行Migrating from Azure Gateway analytics solution to Azure Monitor workbooks

注意

Azure Monitor Network Insights ブックは、Application Gateway リソースのメトリックおよびログ分析にアクセスするための推奨されたソリューションです。Azure Monitor Network Insights workbook is the recommended solution for accessing metric and log analytics for your Application Gateway resources.

  1. Log Analytics ワークスペースにログを格納するために診断設定が有効になっていることを確認します。Ensure diagnostics settings are enabled to store logs into a Log Analytics workspace. 既に構成されている場合、Azure Monitor Network Insights ブックは同じ場所からデータを消費することができ、追加の変更は不要です。If it is already configured, Azure Monitor Network Insights workbook will be able to consume data from the same location and no additional changes are required.

注意

以前のすべてのデータは、診断設定が最初に有効になった時点からブック内で既に使用可能です。All past data is already available within the workbook from the point diagnostic settings were originally enabled. データ転送は必要ありません。There is no data transfer required.

  1. Application Gateway リソースの 既定の分析情報ブックにアクセスします。Access the default insights workbook for your Application Gateway resource. Application Gateway 分析ソリューションでサポートされている既存のすべての分析情報が、ブックに既に存在しています。All existing insights supported by the Application Gateway analytics solution will be already present in the workbook. メトリックおよびログ データに基づいて、カスタムの 視覚化を追加することでこれを拡張できます。You can extend this by adding custom visualizations based on metric & log data.

  2. すべてのメトリックおよびログ分析情報を確認できるようになると、ワークスペースから Azure Gateway 分析ソリューションをクリーンアップするために、ソリューションのリソース ページからソリューションを削除できます。After you are able to see all your metric and log insights, to clean up the Azure Gateway analytics solution from your workspace, you can delete the solution from the solution resource page.

Azure Application Gateway 分析ソリューションの削除オプションのスクリーンショット。 Screenshot of the delete option for Azure Application Gateway analytics solution.

Azure Monitor の Azure ネットワーク セキュリティ グループ分析ソリューションAzure Network Security Group analytics solution in Azure Monitor

Azure ネットワーク セキュリティ グループ分析のシンボル

注意

Traffic Analyticsによって機能が置き換えられたので、ネットワーク セキュリティ グループ分析ソリューションは、コミュニティ サポートに移動します。The Network Security Group analytics solution is moving to community support since its functionality has been replaced by Traffic Analytics.

  • ソリューションは Azure クイック スタート テンプレートで利用可能になっており、まもなく Azure Marketplace では利用できなくなります。The solution is now available in Azure Quickstart Templates and will soon no longer be available in the Azure Marketplace.
  • ソリューションを自身のワークスペースに既に追加している既存のお客様については、変更せずに機能し続けます。For existing customers who already added the solution to their workspace, it will continue to function with no changes.
  • Microsoft は引き続き、診断設定を使用したワークスペースへの NSG リソース ログの送信をサポートします。Microsoft will continue to support sending NSG resource logs to your workspace using Diagnostics Settings.

ネットワーク セキュリティ グループに関しては、次のログがサポートされます。The following logs are supported for network security groups:

  • NetworkSecurityGroupEventNetworkSecurityGroupEvent
  • NetworkSecurityGroupRuleCounterNetworkSecurityGroupRuleCounter

ソリューションのインストールと構成Install and configure the solution

Azure Networking Analytics ソリューションのインストールと構成は、次の手順で行います。Use the following instructions to install and configure the Azure Networking Analytics solution:

  1. Solutions Gallery からの Azure Monitor ソリューションの追加に関するページに説明されている手順に従って Azure ネットワーク セキュリティ グループ分析ソリューションを有効にします。Enable the Azure Network Security Group analytics solution by using the process described in Add Azure Monitor solutions from the Solutions Gallery.
  2. 監視するネットワーク セキュリティ グループのリソースの診断ログを有効にします。Enable diagnostics logging for the Network Security Group resources you want to monitor.

Azure Portal で Azure ネットワーク セキュリティ グループの診断を有効にするEnable Azure network security group diagnostics in the portal

  1. Azure Portal で、監視するネットワーク セキュリティ グループのリソースに移動します。In the Azure portal, navigate to the Network Security Group resource to monitor

  2. [診断ログ] を選択して、次のページを開きます。Select Diagnostics logs to open the following page

    [診断を有効にする] オプションが表示されているネットワーク セキュリティ グループのリソースの [診断ログ] ページのスクリーンショット。

  3. [診断を有効にする] をクリックして、次のページを開きます。Click Turn on diagnostics to open the following page

    診断設定を構成するためのページのスクリーンショット。

  4. 診断を有効にするには、 [状態] の下の [オン] をクリックします。To turn on diagnostics, click On under Status

  5. [Send to Log Analytics] (Log Analytics に送信) のチェックボックスをクリックします。Click the checkbox for Send to Log Analytics

  6. 既存の Log Analytics ワークスペースを選択するか、ワークスペースを作成します。Select an existing Log Analytics workspace, or create a workspace

  7. 収集するログの種類ごとに [ログ] の下のチェックボックスをクリックします。Click the checkbox under Log for each of the log types to collect

  8. [保存] をクリックして Log Analytics の診断ログを有効にします。Click Save to enable the logging of diagnostics to Log Analytics

PowerShell を使用した Azure ネットワーク診断を有効にするEnable Azure network diagnostics using PowerShell

次の PowerShell スクリプトは、ネットワーク セキュリティ グループに対するリソース ログを有効にする方法の例を示しています。The following PowerShell script provides an example of how to enable resource logging for network security groups

$workspaceId = "/subscriptions/d2e37fee-1234-40b2-5678-0b2199de3b50/resourcegroups/oi-default-east-us/providers/microsoft.operationalinsights/workspaces/rollingbaskets"

$nsg = Get-AzNetworkSecurityGroup -Name 'ContosoNSG'

Set-AzDiagnosticSetting -ResourceId $nsg.ResourceId  -WorkspaceId $workspaceId -Enabled $true

Azure ネットワーク セキュリティ グループ分析を使用するUse Azure Network Security Group analytics

[概要] で [Azure ネットワーク セキュリティ グループ分析] タイルをクリックした後、収集されたログの概要を表示し、次のカテゴリについて詳細表示することができます。After you click the Azure Network Security Group analytics tile on the Overview, you can view summaries of your logs and then drill in to details for the following categories:

  • ネットワーク セキュリティ グループのブロック済みフロー数Network security group blocked flows
    • ネットワーク セキュリティ グループの規則とブロック済みフロー数Network security group rules with blocked flows
    • MAC アドレスとブロック済みフロー数MAC addresses with blocked flows
  • ネットワーク セキュリティ グループの許可済みフロー数Network security group allowed flows
    • ネットワーク セキュリティ グループの規則と許可済みフロー数Network security group rules with allowed flows
    • MAC アドレスと許可済みフロー数MAC addresses with allowed flows

ブロック済みフロー数が含まれる規則やブロック済みフロー数が含まれる MAC アドレスなど、ネットワーク セキュリティ グループのブロック済みフロー数に関するデータが含まれるタイルのスクリーンショット。

許可済みフロー数が含まれる規則や許可済みフロー数が含まれる MAC アドレスなど、ネットワーク セキュリティ グループの許可済みフロー数に関するデータが含まれるタイルのスクリーンショット。

[Azure ネットワーク セキュリティ グループ分析] ダッシュボードにあるいずれかのブレードで概要情報を確認し、ログの検索ページで、詳細情報の表示対象をクリックします。On the Azure Network Security Group analytics dashboard, review the summary information in one of the blades, and then click one to view detailed information on the log search page.

どのログの検索ページでも、時間、詳細結果、ログ検索履歴を表示することができます。On any of the log search pages, you can view results by time, detailed results, and your log search history. 結果を絞り込むファセットを使用してフィルター処理することもできます。You can also filter by facets to narrow the results.

旧バージョンの Networking Analytics ソリューションからの移行Migrating from the old Networking Analytics solution

2017 年 1 月、Azure Application Gateway と Azure ネットワーク セキュリティ グループから Log Analytics ワークスペースへのログ送信をサポートする方法が変更になりました。In January 2017, the supported way of sending logs from Azure Application Gateways and Azure Network Security Groups to a Log Analytics workspace changed. これらの変更には次の利点があります。These changes provide the following advantages:

  • ストレージ アカウントを使用する必要がなく、ログは Azure Monitor に直接書き込まれます。Logs are written directly to Azure Monitor without the need to use a storage account
  • ログが生成されてから Azure Monitor で使用できるまでの待機時間が短縮されます。Less latency from the time when logs are generated to them being available in Azure Monitor
  • 構成手順が簡素化されます。Fewer configuration steps
  • すべての種類の Azure Diagnostics の共通形式です。A common format for all types of Azure diagnostics

最新のソリューションを使用するには、次の操作を行います。To use the updated solutions:

  1. Azure Application Gateway から Azure Monitor に診断が直接送信されるように構成します。Configure diagnostics to be sent directly to Azure Monitor from Azure Application Gateways
  2. Azure ネットワーク セキュリティ グループから Azure Monitor に診断が直接送信されるように構成します。Configure diagnostics to be sent directly to Azure Monitor from Azure Network Security Groups
  3. ソリューション ギャラリーからの Azure Monitor ソリューションの追加に関する記事で説明されている手順に従って、Azure Application Gateway Analytics ソリューションと Azure Network Security Group Analytics ソリューションを有効にします。Enable the Azure Application Gateway Analytics and the Azure Network Security Group Analytics solution by using the process described in Add Azure Monitor solutions from the Solutions Gallery
  4. 新しいデータ型を使用するように、保存されたクエリ、ダッシュボード、またはアラートを更新します。Update any saved queries, dashboards, or alerts to use the new data type
    • 型を AzureDiagnostics にします。Type is to AzureDiagnostics. ResourceType を使用して、Azure ネットワーク ログをフィルター処理できます。You can use the ResourceType to filter to Azure networking logs.

      次の表記の代わりに、Instead of: 次のコマンドを使用します。Use:
      NetworkApplicationgateways | where OperationName=="ApplicationGatewayAccess"NetworkApplicationgateways | where OperationName=="ApplicationGatewayAccess" AzureDiagnostics | where ResourceType=="APPLICATIONGATEWAYS" and OperationName=="ApplicationGatewayAccess"AzureDiagnostics | where ResourceType=="APPLICATIONGATEWAYS" and OperationName=="ApplicationGatewayAccess"
      NetworkApplicationgateways | where OperationName=="ApplicationGatewayPerformance"NetworkApplicationgateways | where OperationName=="ApplicationGatewayPerformance" AzureDiagnostics | where ResourceType=="APPLICATIONGATEWAYS" and OperationName=="ApplicationGatewayPerformance"AzureDiagnostics | where ResourceType=="APPLICATIONGATEWAYS" and OperationName=="ApplicationGatewayPerformance"
      NetworkSecuritygroupsNetworkSecuritygroups AzureDiagnostics | where ResourceType=="NETWORKSECURITYGROUPS"AzureDiagnostics | where ResourceType=="NETWORKSECURITYGROUPS"
    • 名前に _s、_d、または _g のサフィックスがあるフィールドについては、最初の文字を小文字に変更します。For any field that has a suffix of _s, _d, or _g in the name, change the first character to lower case

    • 名前に _o のサフィックスがあるフィールドについては、入れ子になったフィールド名に基づき、データは個別のフィールドに分割されます。For any field that has a suffix of _o in name, the data is split into individual fields based on the nested field names.

  5. Azure Networking Analytics (非推奨) ソリューションを削除します。Remove the Azure Networking Analytics (Deprecated) solution.
    • PowerShell を使用している場合は、次のコードを使用します。Set-AzureOperationalInsightsIntelligencePack -ResourceGroupName <resource group that the workspace is in> -WorkspaceName <name of the log analytics workspace> -IntelligencePackName "AzureNetwork" -Enabled $falseIf you are using PowerShell, use Set-AzureOperationalInsightsIntelligencePack -ResourceGroupName <resource group that the workspace is in> -WorkspaceName <name of the log analytics workspace> -IntelligencePackName "AzureNetwork" -Enabled $false

変更前に収集されたデータは、新しいソリューションには表示されません。Data collected before the change is not visible in the new solution. 元の型とフィールド名を使用して、このデータのクエリを続行できます。You can continue to query for this data using the old Type and field names.

トラブルシューティングTroubleshooting

Azure Diagnostics のトラブルシューティングTroubleshoot Azure Diagnostics

次のエラー メッセージが表示される場合は、Microsoft.insights リソース プロバイダーが登録されていません。If you receive the following error message, the Microsoft.insights resource provider is not registered:

Failed to update diagnostics for 'resource'. {"code":"Forbidden","message":"Please register the subscription 'subscription id' with Microsoft.Insights."}

リソース プロバイダーを登録するには、Azure Portal で次の手順を実行します。To register the resource provider, perform the following steps in the Azure portal:

  1. 左側のナビゲーション ウィンドウで、 [サブスクリプション] をクリックします。In the navigation pane on the left, click Subscriptions
  2. エラー メッセージで示されたサブスクリプションを選択します。Select the subscription identified in the error message
  3. [リソース プロバイダー] をクリックします。Click Resource Providers
  4. Microsoft.insights プロバイダーを探します。Find the Microsoft.insights provider
  5. [登録] リンクをクリックします。Click the Register link

microsoft.insights リソース プロバイダーの登録

Microsoft.insights リソース プロバイダーが登録されたら、診断の構成を再試行してください。Once the Microsoft.insights resource provider is registered, retry configuring diagnostics.

PowerShell で次のエラー メッセージが表示された場合は、PowerShell のバージョンを更新する必要があります。In PowerShell, if you receive the following error message, you need to update your version of PowerShell:

Set-AzDiagnosticSetting : A parameter cannot be found that matches parameter name 'WorkspaceId'.

お使いの Azure PowerShell バージョンを更新し、Azure PowerShell のインストールに関する記事で説明されている手順に従ってください。Update your version of Azure PowerShell, follow the instructions in the Install Azure PowerShell article.

次のステップNext steps