ネットワーク セキュリティ グループのフローのログ記録の概要Introduction to flow logging for network security groups

ネットワーク セキュリティ グループ (NSG) のフローのログは、NSG を使用したイングレスおよびエグレス IP トラフィックに関する情報を表示できる Network Watcher の機能です。Network security group (NSG) flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through an NSG. フロー ログは JSON 形式で記述され、規則ごとの送信フローと受信フロー、フローが適用されるネットワーク インターフェイス (NIC)、フローに関する 5 組の情報 (送信元/宛先 IP、送信元/宛先ポート、プロトコル)、トラフィックが許可されているか拒否されているかが示されます。また、バージョン 2 ではスループット情報 (バイトとパケット) も示されます。Flow logs are written in JSON format, and show outbound and inbound flows on a per rule basis, the network interface (NIC) the flow applies to, 5-tuple information about the flow (Source/destination IP, source/destination port, and protocol), if the traffic was allowed or denied, and in Version 2, throughput information (Bytes and Packets).

フロー ログの概要

フロー ログは NSG を対象としていますが、その他のログと同じようには表示されません。While flow logs target NSGs, they are not displayed the same as the other logs. フロー ログは、次の例で示すようにストレージ アカウント内と下記のログ記録パスにのみ格納されます。Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

トラフィック分析を使用してフロー ログを分析し、ネットワーク トラフィックに関する分析情報を得ることができます。You can analyze flow logs and gain insights into your network traffic using traffic analytics.

その他のログで見られる同様のリテンション期間ポリシーが、フロー ログに適用されます。The same retention policies seen for other logs apply to flow logs. ログの保持ポリシーの期間は、1 日から 2,147,483,647 日まで設定できます。You can set log retention policy from 1 day to 2147483647 days. リテンション期間ポリシーが設定されていない場合、ログは無期限に保持されます。If a retention policy is not set, the logs are maintained forever.

注意

NSG フロー ログ記録と共にアイテム保持ポリシー機能を使用すると、大量のストレージ操作とそれに関連するコストが発生する可能性があります。Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. アイテム保持ポリシー機能が不要な場合は、この値を 0 に設定することをお勧めします。If you do not require the retention policy feature, we recommend that you set this value to 0.

ログ ファイルLog file

フローのログには、次のプロパティが含まれています。Flow logs include the following properties:

  • time - イベントがログに記録された時間time - Time when the event was logged
  • systemId - ネットワーク セキュリティ グループのリソース ID。systemId - Network Security Group resource Id.
  • category - イベントのカテゴリです。category - The category of the event. カテゴリは常に NetworkSecurityGroupFlowEvent となります。The category is always NetworkSecurityGroupFlowEvent
  • resourceid - NSG のリソース IDresourceid - The resource Id of the NSG
  • operationName -常に NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • properties - フローのプロパティのコレクションproperties - A collection of properties of the flow
    • Version - フロー ログ イベントのスキーマのバージョン番号Version - Version number of the Flow Log event schema
    • flows - フローのコレクション。flows - A collection of flows. このプロパティには異なるルールに対して複数のエントリがありますThis property has multiple entries for different rules
      • rule - フローが一覧表示されているルールrule - Rule for which the flows are listed
        • flows - フローのコレクションflows - a collection of flows
          • mac - フローが収集された VM の NIC の MAC アドレスmac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples - コンマで区切る形式で表現されたフローの組に対して複数のプロパティを含む文字列flowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp - UNIX EPOCH 形式でフローが発生した際のタイム スタンプTime Stamp - This value is the time stamp of when the flow occurred in UNIX EPOCH format
            • Source IP - 発信元 IPSource IP - The source IP
            • Destination IP - 宛先 IPDestination IP - The destination IP
            • Source Port - 発信ポートSource Port - The source port
            • Destination Port - 宛先ポートDestination Port - The destination Port
            • Protocol - フローのプロトコル。Protocol - The protocol of the flow. 有効な値は TCP の T と UDP の U ですValid values are T for TCP and U for UDP
            • Traffic Flow - トラフィック フローの方向。Traffic Flow - The direction of the traffic flow. 有効な値は受信の I と送信の O です。Valid values are I for inbound and O for outbound.
            • Traffic Decision - トラフィックが許可された、または拒否された。Traffic Decision - Whether traffic was allowed or denied. 有効な値は許可の A と拒否の D です。Valid values are A for allowed and D for denied.
            • Flow State - バージョン 2 のみ - フローの状態をキャプチャします。Flow State - Version 2 Only - Captures the state of the flow. 次の状態があります。B:開始。フローが作成された時点です。Possible states are B: Begin, when a flow is created. 統計は提供されません。Statistics aren't provided. C: 継続中。フローが進行中です。C: Continuing for an ongoing flow. 5 分間隔で統計が提供されます。Statistics are provided at 5-minute intervals. E:終了。フローが終了した時点です。E: End, when a flow is terminated. 統計が提供されます。Statistics are provided.
            • Packets - Source to destination - バージョン 2 のみ - 最後の更新以降に送信元から宛先に送信された TCP または UDP パケットの総数。Packets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Bytes sent - Source to destination - バージョン 2 のみ - 最後の更新以降に送信元から宛先に送信された TCP または UDP パケット バイトの総数。Bytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。Packet bytes include the packet header and payload.
            • Packets - Destination to source - バージョン 2 のみ - 最後の更新以降に宛先から送信元に送信された TCP または UDP パケットの総数。Packets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Bytes sent - Destination to source - バージョン 2 のみ - 最後の更新以降に宛先から送信元に送信された TCP および UDP パケット バイトの総数。Bytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。Packet bytes include packet header and payload.

NSG フロー ログ バージョン 2NSG flow logs version 2

ログのバージョン 2 ではフロー状態が導入されます。Version 2 of the logs introduces flow state. 受信するフロー ログのバージョンを構成することができます。You can configure which version of flow logs you receive. フロー ログを有効にする方法については、フロー ログ記録の有効化に関するページをご覧ください。To learn how to enable flow logs, see Enabling NSG flow logging.

フローが開始されると、フロー状態 B が記録されます。Flow state B is recorded when a flow is initiated. フロー状態 C およびフロー状態 E は、それぞれフローの継続とフローの終了を示す状態です。Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. C 状態と E 状態のどちらにも、トラフィックの帯域幅情報が含まれます。Both C and E states contain traffic bandwidth information.

:185.170.185.105:35370 と 10.2.0.4:23 間の TCP 通信のフロー タプル:Example: Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

継続の C と終了の E の各フロー状態では、バイト数とパケット数は、前のフロー タプル レコードの時点から集計した数です。For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. 前の例の通信では、転送されたパケットの総数は 1021+52+8005+47 = 9125 です。Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. 転送された合計バイト数は 588096+29952+4610880+27072 = 5256000 です。The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

以下のテキストはフロー ログの例です。The text that follows is an example of a flow log. ご覧の通り、前のセクションで説明されているプロパティの一覧に従って、複数のレコードが存在します。As you can see, there are multiple records that follow the property list described in the preceding section.

NSG フロー ログ記録の考慮事項NSG Flow Logging Considerations

リソースに接続されているすべての NSG 上で NSG フロー ログ記録を有効にする:Azure のフロー ログ記録は NSG リソースに対して構成されています。Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. 1 つのフローは 1 つの NSG ルールにのみ関連付けられます。A flow will only be associated to one NSG Rule. 複数の NSG が利用されるシナリオでは、リソースのサブネットまたはネットワーク インターフェイスが適用されたすべての NSG で NSG フロー ログ記録を有効にして、すべてのトラフィックを確実に記録することをお勧めします。In scenarios where multiple NSGs are utilized, we recommend that NSG flow logging is enabled on all NSGs applied a resource's subnet or network interface to ensure that all traffic is recorded. ネットワーク セキュリティ グループの詳細については、トラフィックの評価方法に関するページを参照してください。See how traffic is evaluated for more information on Network Security Groups.

フロー ログ記録のコスト:NSG フロー ログ記録は、生成されたログの量に対して課金されます。Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. トラフィック量が多いと、フロー ログの量が大きくなり、それに関連してコストがかかる可能性があります。High traffic volume can result in large flow log volume and the associated costs. NSG フロー ログの価格には、基礎となるストレージのコストは含まれていません。NSG Flow log pricing does not include the underlying costs of storage. NSG フロー ログ記録と共にアイテム保持ポリシー機能を使用すると、大量のストレージ操作とそれに関連するコストが発生する可能性があります。Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. アイテム保持ポリシー機能が不要な場合は、この値を 0 に設定することをお勧めします。If you do not require the retention policy feature, we recommend that you set this value to 0. 詳細については、「Network Watcher の価格」と「Azure Storage の価格」を参照してください。See Network Watcher Pricing and Azure Storage Pricing for additional details.

インターネット IP からパブリック IP のない VM へのインバウンド フローのログ記録:インスタンスレベル パブリック IP として NIC に関連付けられているパブリック IP アドレス経由で割り当てられたパブリック IP アドレスがない VM、または基本的なロード バランサー バックエンド プールの一部である VM では、既定の SNAT が使用され、アウトバウンド接続を容易にするために Azure によって割り当てられた IP アドレスがあります。Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. その結果、フローが SNAT に割り当てられたポート範囲内のポートに向かう場合、インターネット IP アドレスからのフローのフロー ログ エントリが表示されることがあります。As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Azure では VM へのこれらのフローは許可されませんが、試行はログに記録され、設計上、Network Watcher の NSG フロー ログに表示されます。While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. 不要なインバウンド インターネット トラフィックは、NSG で明示的にブロックすることをお勧めします。We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

サンプル ログ レコードSample log records

以下のテキストはフロー ログの例です。The text that follows is an example of a flow log. ご覧の通り、前のセクションで説明されているプロパティの一覧に従って、複数のレコードが存在します。As you can see, there are multiple records that follow the property list described in the preceding section.

注意

*FlowTuples プロパティの値は、コンマで区切られたリストです。Values in the *flowTuples property are a comma-separated list.

バージョン 1 NSG フロー ログ形式のサンプルVersion 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

バージョン 2 NSG フロー ログ形式のサンプルVersion 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        ...

次の手順Next steps