Azure Network Watcher とはWhat is Azure Network Watcher?

Azure Network Watcher は、Azure 仮想ネットワーク内のリソースの監視、診断、メトリックの表示、ログの有効化または無効化を行うツールを提供します。Azure Network Watcher provides tools to monitor, diagnose, view metrics, and enable or disable logs for resources in an Azure virtual network.

監視Monitoring

仮想マシンとエンドポイントの間の通信を監視するMonitor communication between a virtual machine and an endpoint

エンドポイントは、別の仮想マシン (VM)、完全修飾ドメイン名 (FQDN)、Uniform Resource Identifier (URI)、または IPv4 アドレスの場合があります。Endpoints can be another virtual machine (VM), a fully qualified domain name (FQDN), a uniform resource identifier (URI), or IPv4 address. "接続監視" 機能を使用すると、通信を定期的に監視できるほか、VM とエンドポイントの間の到達可能性、待ち時間、ネットワーク トポロジの変更について通知を受け取ることができます。The connection monitor capability monitors communication at a regular interval and informs you of reachability, latency, and network topology changes between the VM and the endpoint. たとえば、データベース サーバー VM と通信する Web サーバー VM がある場合があります。For example, you might have a web server VM that communicates with a database server VM. 組織の他のユーザーが、自分の知らない間に Web サーバー、データベース サーバー VM またはサブネットにカスタム ルートまたはネットワーク セキュリティ規則を適用するかもしれません。Someone in your organization may, unknown to you, apply a custom route or network security rule to the web server or database server VM or subnet.

エンドポイントが到達不能になった場合、接続のトラブルシューティングによって理由が通知されます。If an endpoint becomes unreachable, connection troubleshoot informs you of the reason. 理由としては、DNS 名前解決の問題、VM のオペレーティング システム内の CPU、メモリ、ファイアウォール、カスタム ルートのホップの種類、VM またはサブネットの送信接続のセキュリティ規則が考えられます。Potential reasons are a DNS name resolution problem, the CPU, memory, or firewall within the operating system of a VM, or the hop type of a custom route, or security rule for the VM or subnet of the outbound connection. 詳しくは、Azure のセキュリティ規則に関するページとルートのホップの種類に関するページを参照してください。Learn more about security rules and route hop types in Azure.

また、接続監視では、時間の経過に伴う最小、平均、最大の待ち時間を観察することもできます。Connection monitor also provides the minimum, average, and maximum latency observed over time. 接続の待ち時間を確認すると、場合によっては Azure リソースを異なる Azure リージョンに移行して待ち時間を減らせることがわかります。After learning the latency for a connection, you may find that you're able to decrease the latency by moving your Azure resources to different Azure regions. 詳しくは、Azure リージョンとインターネット サービス プロバイダーの間の相対待ち時間を確認する方法と、接続監視で VM とエンドポイントの間の通信を監視する方法を参照してください。Learn more about determining relative latencies between Azure regions and internet service providers and how to monitor communication between a VM and an endpoint with connection monitor. 接続監視で行うような経時的な接続の監視を行うのではなく、ある時点の接続をテストしたい場合、接続のトラブルシューティング機能を使用します。If you'd rather test a connection at a point in time, rather than monitor the connection over time, like you do with connection monitor, use the connection troubleshoot capability.

ネットワーク パフォーマンス モニターは、クラウド ベースのハイブリッド ネットワーク監視ソリューションであり、ネットワーク インフラストラクチャ内のさまざまなポイント間のネットワーク パフォーマンスを監視するのに役立ちます。Network performance monitor is a cloud-based hybrid network monitoring solution that helps you monitor network performance between various points in your network infrastructure. また、サービスやアプリケーションのエンドポイントへのネットワーク接続の監視、および Azure ExpressRoute のパフォーマンスの監視にも利用できます。It also helps you monitor network connectivity to service and application endpoints and monitor the performance of Azure ExpressRoute. トラフィックのブラックホール、ルーティング エラーなどのネットワークの問題のほか、従来のネットワーク監視手法では検出されない問題を検出します。Network performance monitor detects network issues like traffic blackholing, routing errors, and issues that conventional network monitoring methods aren't able to detect. ネットワーク リンクに関するしきい値を超えた場合、このソリューションはアラートと通知を生成します。The solution generates alerts and notifies you when a threshold is breached for a network link. また、ネットワーク パフォーマンスの問題をタイムリーに検出できるほか、問題の原因を特定のネットワーク セグメントまたはデバイスに限定できます。It also ensures timely detection of network performance issues and localizes the source of the problem to a particular network segment or device. ネットワーク パフォーマンス モニターの詳細についてはこちらを参照してください。Learn more about network performance monitor.

仮想ネットワーク内のリソースとそれらの関係を表示するView resources in a virtual network and their relationships

リソースが仮想ネットワークに追加されると、仮想ネットワーク内にあるリソースの内容とそれらのリソースどうしの関係を把握するのが困難になる場合があります。As resources are added to a virtual network, it can become difficult to understand what resources are in a virtual network and how they relate to each other. "トポロジ" 機能を使用すると、仮想ネットワーク内のリソースとリソース間の関係を示す図を生成できます。The topology capability enables you to generate a visual diagram of the resources in a virtual network, and the relationships between the resources. 次の画像は、3 つのサブネット、2 つの VM、ネットワーク インターフェイス、パブリック IP アドレス、ネットワーク セキュリティ グループ、ルート テーブル、およびリソース間の関係が含まれた仮想ネットワークのサンプル トポロジ図を示します。The following picture shows an example topology diagram for a virtual network that has three subnets, two VMs, network interfaces, public IP addresses, network security groups, route tables, and the relationships between the resources:

トポロジ ビュー

編集可能なバージョンの画像を SVG 形式でダウンロードできます。You can download an editable version of the picture in svg format. トポロジ ビューの詳細については、こちらを参照してください。Learn more about topology view.

診断Diagnostics

VM との間で発生するネットワーク トラフィック フィルターの問題を診断するDiagnose network traffic filtering problems to or from a VM

VM をデプロイすると、VM との間のトラフィックを許可または拒否するいくつかのセキュリティ規則が既定で VM に適用されます。When you deploy a VM, Azure applies several default security rules to the VM that allow or deny traffic to or from the VM. Azure の既定の規則をオーバーライドしたり、追加の規則を作成したりできます。You might override Azure's default rules, or create additional rules. ある時点で、セキュリティ規則が原因となって VM が他のリソースと通信できなくなる場合があります。At some point, a VM may become unable to communicate with other resources, because of a security rule. "IP フロー検証" 機能を使用すると、送信元および宛先 IPv4 アドレス、ポート、プロトコル (TCP または UDP)、トラフィックの方向 (受信または送信) を指定できます。The IP flow verify capability enables you to specify a source and destination IPv4 address, port, protocol (TCP or UDP), and traffic direction (inbound or outbound). その後 IP フロー検証によって通信のテストが行われ、接続の成否が通知されます。IP flow verify then tests the communication and informs you if the connection succeeds or fails. 接続が失敗した場合、接続を許可または拒否したセキュリティ規則が IP フロー検証によって示されます。これにより、問題を解決できます。If the connection fails, IP flow verify tells you which security rule allowed or denied the communication, so that you can resolve the problem. IP フロー検証について詳しくは、仮想マシン ネットワーク トラフィック フィルターの問題の診断のチュートリアルを完了してください。Learn more about IP flow verify by completing the Diagnose a virtual machine network traffic filter problem tutorial.

VM からのネットワーク ルーティングに関する問題を診断するDiagnose network routing problems from a VM

仮想ネットワークを作成すると、ネットワーク トラフィックの送信ルートが既定でいくつか作成されます。When you create a virtual network, Azure creates several default outbound routes for network traffic. 仮想ネットワーク内にデプロイされたすべてのリソース (VM など) からの送信トラフィックは、Azure の既定のルートに基づいてルーティングされます。The outbound traffic from all resources, such as VMs, deployed in a virtual network, are routed based on Azure's default routes. Azure の既定のルートをオーバーライドしたり、追加のルートを作成したりできます。You might override Azure's default routes, or create additional routes. 特定のルートが原因となって VM が他のリソースと通信できなくなる場合があります。You may find that a VM can no longer communicate with other resources because of a specific route. "次ホップ" 機能を使用すると、送信元および宛先 IPv4 アドレスを指定できます。The next hop capability enables you to specify a source and destination IPv4 address. その後、次ホップによって通信のテストが行われ、トラフィックのルーティングに使用される次ホップの種類が通知されます。Next hop then tests the communication and informs you what type of next hop is used to route the traffic. ルートを削除、変更、または追加して、ルーティングの問題を解決できます。You can then remove, change, or add a route, to resolve a routing problem. 次ホップ機能の詳細については、こちらを参照してください。Learn more about the next hop capability.

VM からの送信接続を診断するDiagnose outbound connections from a VM

"接続のトラブルシューティング" 機能を使用すると、ある VM と別の VM、FQDN、URI、または IPv4 アドレスとの間の接続をテストできます。The connection troubleshoot capability enables you to test a connection between a VM and another VM, an FQDN, a URI, or an IPv4 address. テストは、接続監視機能を使用した場合に返されるのと同様の情報を返します。しかし、接続監視による経時的な監視とは異なり、テストされるのはある時点の接続です。The test returns similar information returned when using the connection monitor capability, but tests the connection at a point in time, rather than monitoring it over time, as connection monitor does. 接続のトラブルシューティングを使用して接続のトラブルシューティングを行う方法については、こちらを参照してください。Learn more about how to troubleshoot connections using connection-troubleshoot.

VM との間のパケットをキャプチャするCapture packets to and from a VM

時間やサイズの制限を設定する機能など、詳細なフィルター オプションときめ細やかなコントロールにより、多様なキャプチャを行えます。Advanced filtering options and fine-tuned controls, such as the ability to set time and size limitations, provide versatility. キャプチャは、Azure Storage、VM のディスク、またはその両方に格納できます。The capture can be stored in Azure Storage, on the VM's disk, or both. その後、いくつかの標準的なネットワーク キャプチャ分析ツールを使用して、キャプチャ ファイルを分析できます。You can then analyze the capture file using several standard network capture analysis tools. パケット キャプチャの詳細については、こちらを参照してください。Learn more about packet capture.

Azure 仮想ネットワーク ゲートウェイと接続に関する問題を診断するDiagnose problems with an Azure Virtual network gateway and connections

仮想ネットワーク ゲートウェイにより、オンプレミスのリソースと Azure 仮想ネットワークを接続できます。Virtual network gateways provide connectivity between on-premises resources and Azure virtual networks. ゲートウェイやその接続の監視は、通信が切断されていないことを確認するために重要です。Monitoring gateways and their connections are critical to ensuring communication is not broken. "VPN 診断" 機能を使用すると、ゲートウェイと接続を診断できます。The VPN diagnostics capability provides the ability to diagnose gateways and connections. VPN 診断では、ゲートウェイまたはゲートウェイ接続の正常性が診断され、ゲートウェイおよびゲートウェイ接続の使用の可否が通知されます。VPN diagnostics diagnoses the health of the gateway, or gateway connection, and informs you whether a gateway and gateway connections, are available. ゲートウェイまたは接続が使用できない場合、VPN 診断によって原因が示されます。これにより、問題を解決できます。If the gateway or connection is not available, VPN diagnostics tells you why, so you can resolve the problem. VPN の診断について詳しくは、ネットワーク間の通信に関する問題の診断のチュートリアルを完了してください。Learn more about VPN diagnostics by completing the Diagnose a communication problem between networks tutorial.

Azure リージョンとインターネット サービス プロバイダーの間の相対待ち時間を確認するDetermine relative latencies between Azure regions and internet service providers

Azure リージョン間およびインターネット サービス プロバイダーとの間の待ち時間に関する情報を Network Watcher に照会できます。You can query Network Watcher for latency information between Azure regions and across internet service providers. Azure リージョン間およびインターネット サービス プロバイダーとの間の待ち時間を確認したら、ネットワーク応答時間が最適化されるよう Azure リソースをデプロイできます。When you know latencies between Azure regions and across Internet service providers, you can deploy Azure resources to optimize network response time. 相対待ち時間の詳細については、こちらを参照してください。Learn more about relative latencies.

ネットワーク インターフェイスのセキュリティ規則を表示するView security rules for a network interface

ネットワーク インターフェイスに効果的なセキュリティ規則は、ネットワーク インターフェイスとそのネットワーク インターフェイスが存在するサブネットに適用されるすべてのセキュリティ規則を組み合わせたものです。The effective security rules for a network interface are a combination of all security rules applied to the network interface, and the subnet the network interface is in. "セキュリティ グループ ビュー" 機能では、ネットワーク インターフェイスに適用されたすべてのセキュリティ規則、そのネットワーク インターフェイスが存在するサブネット、それら両方の合計が表示されます。The security group view capability shows you all security rules applied to the network interface, the subnet the network interface is in, and the aggregate of both. ネットワーク インターフェイスに適用された規則を理解すれば、変更したいトラフィックが規則によって許可または拒否されている場合に、それらの規則を追加、削除、または変更できます。With an understanding of which rules are applied to a network interface, you can add, remove, or change rules, if they're allowing or denying traffic that you want to change. セキュリティ グループ ビューの詳細については、こちらを参照してください。Learn more about security group view.

メトリックMetrics

Azure のサブスクリプションおよびリージョン内で作成できるネットワーク リソースの数には制限があります。There are limits to the number of network resources that you can create within an Azure subscription and region. 制限に達すると、サブスクリプション内またはリージョン内でそれ以上リソースを作成できません。If you meet the limits, you're unable to create more resources within the subscription or region. "ネットワーク サブスクリプションの制限" 機能を使用すると、サブスクリプションおよびリージョンでデプロイした各ネットワーク リソースの数の概要のほか、リソースに関する制限がわかります。The network subscription limit capability provides a summary of how many of each network resource you have deployed in a subscription and region, and what the limit is for the resource. 次の図は、サンプルのサブスクリプションで米国東部リージョンにデプロイされたネットワーク リソースに関する出力を部分的に示しています。The following picture shows the partial output for network resources deployed in the East US region for an example subscription:

サブスクリプションの制限

情報は将来のリソース デプロイを計画する際に役立ちます。The information is helpful when planning future resource deployments.

ログLogs

ネットワーク セキュリティ グループとの間のトラフィックを分析するAnalyze traffic to or from a network security group

ネットワーク セキュリティ グループ (NSG) を使用すると、VM のネットワーク インターフェイスへの受信トラフィックまたは送信トラフィックを許可または拒否できます。Network security groups (NSG) allow or deny inbound or outbound traffic to a network interface in a VM. "NSG フロー ログ" 機能では、送信元および宛先 IP アドレス、ポート、プロトコルのほか、トラフィックが NSG によって許可または拒否されたかどうかをログに記録できます。The NSG flow log capability allows you to log the source and destination IP address, port, protocol, and whether traffic was allowed or denied by an NSG. PowerBI や "トラフィック分析" 機能など、さまざまなツールを使用してログを分析できます。You can analyze logs using a variety of tools, such as PowerBI and the traffic analytics capability. トラフィック分析では、NSG フロー ログに書き込まれたデータを高度に視覚化できます。Traffic analytics provides rich visualizations of data written to NSG flow logs. 次の図には、NSG フロー ログ データに基づいてトラフィック分析が提示した情報と視覚化の一部が示されています。The following picture shows some of the information and visualizations that traffic analytics presents from NSG flow log data:

トラフィック分析

NSG フロー ログについて詳しくは、仮想マシンへの送受信ネットワーク トラフィックのログへの記録のチュートリアルを完了し、トラフィックの分析の実装方法をご覧ください。Learn more about NSG flow logs by completing the Log network traffic to and from a virtual machine tutorial and how to implement traffic analytics.

ネットワーク リソースの診断ログを表示するView diagnostic logs for network resources

ネットワーク セキュリティ グループやパブリック IP アドレス、ロード バランサー、仮想ネットワーク ゲートウェイ、アプリケーション ゲートウェイなど、Azure ネットワーク リソースの診断ログを有効にできます。You can enable diagnostic logging for Azure networking resources such as network security groups, public IP addresses, load balancers, virtual network gateways, and application gateways. "診断ログ" 機能では、単一のインターフェイスを使用して、診断ログを生成する既存のネットワーク リソースに関するネットワーク リソース診断ログを有効および無効にできます。The Diagnostic logs capability provides a single interface to enable and disable network resource diagnostic logs for any existing network resource that generates a diagnostic log. 診断ログは、Microsoft Power BI や Azure Monitor ログなどのツールを使用して表示できます。You can view diagnostic logs using tools such as Microsoft Power BI and Azure Monitor logs. Azure ネットワーク診断ログの分析について詳しくは、Azure Monitor ログの Azure ネットワーク ソリューションに関するページを参照してください。To learn more about analyzing Azure network diagnostic logs, see Azure network solutions in Azure Monitor logs.

Network Watcher の自動での有効化Network Watcher automatic enablement

サブスクリプションで仮想ネットワークを作成したり更新したりすると、お使いの Virtual Network のリージョンで Network Watcher が自動的に有効になります。When you create or update a virtual network in your subscription, Network Watcher will be enabled automatically in your Virtual Network's region. Network Watcher は自動的に有効化され、リソースや関連する料金が影響を受けることはありません。There is no impact to your resources or associated charge for automatically enabling Network Watcher. 詳細については、Network Watcher の作成に関するページを参照してください。For more information, see Network Watcher create.

次の手順Next steps

Azure Network Watcher の概要については以上です。You now have an overview of Azure Network Watcher. Network Watcher の使用を開始するには、IP フロー検証を使用して仮想マシンとの間の通信に関する一般的な問題を診断します。To get started using Network Watcher, diagnose a common communication problem to and from a virtual machine using IP flow verify. 方法については、仮想マシン ネットワーク トラフィック フィルターの問題の診断に関するクイック スタートを参照してください。To learn how, see the Diagnose a virtual machine network traffic filter problem quickstart.