Network Watcher に関してよく寄せられる質問 (FAQ)

Network Watcher には、メトリックを監視、診断、表示し、IaaS (サービスとしてのインフラストラクチャ) リソース (仮想マシン、仮想ネットワーク、アプリケーション ゲートウェイ、ロード バランサー、Azure 仮想ネットワーク内のその他のリソースを含む) のログを有効または無効にする、一連のツールが用意されています。 PaaS (サービスとしてのプラットフォーム) インフラストラクチャを監視したり、Web/モバイル分析を取得したりするためのソリューションではありません。

Network Watcher には、3 つの主要な機能セットがあります。

• 監視
  • トポロジ ビューには、仮想ネットワーク内のリソースと、リソース間のリレーションシップが表示されます。
  • 接続モニターを使用すると、Azure の内部と外部のエンドポイント間の接続と待機時間を監視できます。
• ネットワーク診断ツール
  • IP フロー検証を使用すると、仮想マシン レベルでトラフィックのフィルター処理に関する問題を検出できます。
  • NSG 診断を使用すると、仮想マシン、仮想マシン スケール セット、またはアプリケーション ゲートウェイのレベルでトラフィックのフィルター処理に関する問題を検出できます。
  • 次ホップは、トラフィックのルートを検証してルーティングの問題を検出するのに役立ちます。
  • 接続のトラブルシューティングを実行すると、仮想マシンと Bastion ホスト、アプリケーション ゲートウェイ、または別の仮想マシンとの間の 1 回限りの接続と待機時間のチェックを実行できます。
  • パケット キャプチャを使用して、仮想マシンのトラフィックをキャプチャできます。
  • VPN のトラブルシューティングでは、VPN ゲートウェイと接続に対して複数の診断チェックを実行し、問題のデバッグに役立てることができます。
• Traffic
  • ネットワーク セキュリティ グループ フロー ログと仮想ネットワーク フロー ログを使用すると、ネットワーク セキュリティ グループ (NSG) と仮想ネットワークをそれぞれ通過するネットワーク トラフィックをログに記録できます。
  • Traffic Analytics では、ネットワーク セキュリティ グループ フロー ログのデータを処理して、ネットワーク トラフィックの視覚化、クエリ、分析、解釈を行うことができます。

詳細については、Network Watcher の概要を参照してください。

さまざまな Network Watcher コンポーネントの価格の詳細については、「Network Watcher の価格」を参照してください。

Network Watcher をサポートするリージョンについては、Network Watcher のリージョンに関するページを参照してください。

Network Watcher の各機能に必要なアクセス許可の詳細な一覧については、Network Watcher を使用するために必要な Azure RBAC のアクセス許可に関する記事を参照してください。

Network Watcher サービスは、すべてのサブスクリプションで自動的に有効になります。 Network Watcher の自動有効化をオプトアウトした場合は、手動で Network Watcher を有効にする必要があります。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。

Network Watcher の親リソースは、各リージョンで一意のインスタンスを使用してデプロイされます。 既定の名前付け形式: NetworkWatcher_RegionName。 例:NetworkWatcher_centralus は、"米国中部" リージョンの Network Watcher リソースです。 PowerShell または REST API を使用して、Network Watcher インスタンスの名前をカスタマイズできます。

Network Watcher の機能を使用するには、各サブスクリプションでリージョンごとに Network Watcher を 1 回ずつ有効にする必要があります。 Network Watcher インスタンスをリージョン内に作成することで、そのリージョン内で Network Watcher が有効になります。

Network Watcher リソースは、Network Watcher のバックエンドサービスを表し、Azure によって完全に管理されます。 ただし、Network Watcher リソースを作成または削除し、特定のリージョンで有効または無効にできます。 詳細については、「Azure Network Watcher を有効または無効にする」を参照してください。

いいえ、Network Watcher リソースまたはその子リソースのリージョン間での移動はサポートされていません。 詳細については、ネットワークリソースの移動操作のサポートに関する記事を参照してください。

はい。リソース グループ間での Network Watcher リソースの移動がサポートされています。 詳細については、ネットワークリソースの移動操作のサポートに関する記事を参照してください。

NetworkWatcherRG は、Network Watcher リソース用に自動的に作成されるリソース グループです。 たとえば、NetworkWatcherRG リソース グループには、Network Watcher リージョン インスタンスとネットワーク セキュリティ グループ フロー ログ リソースが作成されます。 PowerShell、Azure CLI、または REST API を使用して、Network Watcher リソース グループの名前をカスタマイズできます。

Azure Network Watcher では、接続モニターを除いて、顧客データは格納されません。 接続モニターにより顧客データが格納されます。これは、リージョン内のデータ所在地の要件を満たすために、Network Watcher によって 1 つのリージョンに自動的に格納されます。

Network Watcher には次の制限があります。

はい、Network Watcher サービスは、既定ではゾーン回復性を備えています。

ゾーン回復性を有効にするために、構成は必要ありません。 Network Watcher リソースのゾーン回復性は、既定で使用できるようになっており、サービス自体によって管理されます。

Network Watcher Agent は、仮想マシンからトラフィックを生成またはインターセプトするすべての Network Watcher 機能に必要です。

パケット キャプチャ、接続のトラブルシューティング、接続モニターの機能には、Network Watcher 拡張機能が必要です。

Network Watcher 拡張機能の最新バージョンは 1.4.3206.1 です。 詳細については、Azure Network Watcher 拡張機能を最新バージョンに更新する を参照してください。

• Linux: Network Watcher Agent は、ポート port 50000 から始まり port 65535 に達するまでの利用可能なポートを使用します。
• Windows: Network Watcher Agent は、利用可能なポートのクエリが実行されたときにオペレーティング システムが返すポートを使用します。

Network Watcher Agent では、port 80 経由での 169.254.169.254 への、port 8037 経由での 168.63.129.16 への送信 TCP 接続が必要です。 エージェントは、これらの IP アドレスを使用して Azure プラットフォームと通信します。

いいえ。接続モニターはクラシック VM をサポートしていません。 詳細については、クラシックから Azure Resource Manager への IaaS リソースの移行に関するページを参照してください。

トポロジは、宛先 Azure リソースと接続モニター リソースが同じリージョンにある場合にのみ Azure 以外から Azure へと装飾できます。

同じ Azure VM を、同じ接続モニター内の異なる構成で使用することはできません。 たとえば、同じ接続モニターで、同じ VM をフィルターありとフィルターなしで使用することはサポートされていません。

接続モニター ダッシュボードに表示される問題は、トポロジの検出またはホップ探索中に見つかったものです。 % loss または RTT に設定されているしきい値に到達したにも関わらず、ホップで問題が見つからない場合があります。

接続モニター (クラシック) にはプロトコルの選択オプションはありません。 接続モニター (クラシック) のテストは TCP プロトコルのみを使用しており、これが移行時に、新しい接続モニターのテストで TCP 構成を作成する理由です。

現在、関連付けられている Log Analytics ワークスペースで Azure Monitor エージェントと Arc エージェントをエンドポイントが使用する場合、リージョンの境界があります。 この制限の結果、関連付けられている Log Analytics ワークスペースは Arc エンドポイントと同じリージョンに存在する必要があります。 個々のワークスペースに取り込まれたデータは、1 つのビューに統合できます。「Azure Monitor 内の Log Analytics ワークスペース、アプリケーション、リソース全体のデータにクエリを実行する」を参照してください。

フロー ログを使用すると、ネットワーク セキュリティ グループまたは Azure 仮想ネットワークを通過する Azure IP トラフィックに関する 5 タプル フロー情報をログに記録できます。 生のフロー ログが Azure Storage アカウントに書き込まれます。 そこから、必要に応じて、さらに処理、分析、クエリ、またはエクスポートを行うことができます。

フロー ログのデータは、ネットワーク トラフィックのパスの外部で収集されるため、ネットワークのスループットや待機時間には影響しません。 ネットワーク パフォーマンスに影響を及ぼす危険性がまったく生じずに、フロー ログを作成または削除できます。

ネットワーク セキュリティ グループ フロー ログは、ネットワーク セキュリティ グループを通過するトラフィックをログに記録します。 一方、NSG 診断では、トラフィックが通過しているすべてのネットワーク セキュリティ グループと、このトラフィックに適用される各ネットワーク セキュリティ グループの規則が返されます。 NSG 診断を使用して、ネットワーク セキュリティ グループの規則が想定どおりに適用されていることを確認してください。

いいえ、ネットワーク セキュリティ グループ フロー ログでは、ESP プロトコルと AH プロトコルはサポートされていません。

いいえ、ネットワーク セキュリティ グループ フロー ログと仮想ネットワーク フロー ログでは、ICMP プロトコルはサポートされていません。

はい。 関連付けられているフロー ログ リソースも削除されます。 フロー ログ データは、フロー ログで構成された保持期間のストレージ アカウントに保持されます。

はい。ただし、関連付けられているフロー ログ リソースを削除する必要があります。 ネットワーク セキュリティ グループを移動した後、フロー ログを再作成して、そのグループでのフロー ログを有効にすることができます。

はい。このサブスクリプションがネットワーク セキュリティ グループの同じリージョンにあり、ネットワーク セキュリティ グループまたは仮想ネットワークのサブスクリプションの同じ Microsoft Entra テナントに関連付けられている限り、別のサブスクリプションのストレージ アカウントを使用できます。

ファイアウォールの背後にあるストレージ アカウントを使用するには、信頼できる Microsoft サービスからストレージ アカウントにアクセスするための例外を指定する必要があります。

1. ポータルの上部にある検索ボックスにストレージ アカウントの名前を入力して、ストレージ アカウントに移動します。
2. [Security + networking] (セキュリティとネットワーク) で、[Networking] (ネットワーク) を選択し、[Firewalls and virtual networks] (ファイアウォールと仮想ネットワーク) を選択します。
3. [公衆ネットワーク アクセス] で [選択した仮想ネットワークと IP アドレスから有効] を選びます。 次に、[例外] で、[信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] の横のボックスをオンにします。
4. ストレージ アカウントを使用してターゲット ネットワーク セキュリティ グループのフロー ログを作成することで、ネットワーク セキュリティ グループ フロー ログを有効にします。 詳細については、「フロー ログを作成する」を参照してください。

数分後にストレージ ログを確認できます。 更新されたタイム スタンプまたは作成された新しい JSON ファイルが表示されているはずです。

Network Watcher には、ファイアウォールの背後にあるストレージ アカウントに接続するときに使用する組み込みのフォールバック メカニズムがあります (ファイアウォールが有効)。 キーを使用してストレージ アカウントへの接続が試行され、失敗した場合はトークンに切り替わります。 この場合、ストレージ アカウントのアクティビティ ログに 403 エラーが記録されます。

はい、Network Watcher では、プライベート エンドポイントで有効になっているストレージ アカウントへのネットワーク セキュリティ グループ フロー ログ データの送信がサポートされています。

ネットワーク セキュリティ グループ フロー ログはサービス エンドポイントと互換性があります。追加の構成は不要です。 詳細については、「サービス エンドポイントの有効化」を参照してください。

フロー ログ バージョン 2 では、"フロー状態" という概念が導入されており、転送されるバイトとパケットに関する情報が保存されます。 詳細については、「ネットワーク セキュリティ グループ フロー ログの形式」を参照してください。

いいえ、ネットワーク セキュリティ グループの読み取り専用ロックを使用すると、対応するネットワーク セキュリティ グループ フロー ログを作成できなくなります。

はい、ネットワーク セキュリティ グループの削除不可ロックによって、対応するネットワーク セキュリティ グループ フロー ログの作成または変更が妨げられることはありません。

はい、AZURE Resource Manager テンプレート (ARM テンプレート) を使用してネットワーク セキュリティ グループ フロー ログを自動化できます。 詳細については、「Azure Resource Manager (ARM) テンプレートを使用して NSG のフロー ログを構成する」を参照してください。