チュートリアル:Azure portal を使用して仮想マシンへの送受信ネットワーク トラフィックをログに記録するTutorial: Log network traffic to and from a virtual machine using the Azure portal

ネットワーク セキュリティ グループ (NSG) により、仮想マシン (VM) への着信トラフィックと 送信トラフィックをフィルターできます。A network security group (NSG) enables you to filter inbound traffic to, and outbound traffic from, a virtual machine (VM). Network Watcher の NSG フロー ログ機能により、NSG を通過するネットワーク トラフィックをログに記録できます。You can log network traffic that flows through an NSG with Network Watcher's NSG flow log capability. このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • ネットワーク セキュリティ グループで VM 作成するCreate a VM with a network security group
  • Network Watcher を有効にして、Microsoft.Insights プロバイダーを登録するEnable Network Watcher and register the Microsoft.Insights provider
  • Network Watcher の NSG フロー ログ機能を使用して、NSG のトラフィック フローのログを有効にするEnable a traffic flow log for an NSG, using Network Watcher's NSG flow log capability
  • ログに記録されたデータをダウンロードするDownload logged data
  • ログに記録されたデータを表示するView logged data

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

VM の作成Create a VM

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource found on the upper, left corner of the Azure portal.

  2. [Compute] を選択し、 [Windows Server 2016 Datacenter] またはいずれかのバージョンの Ubuntu Server を選択します。Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. 次の情報を入力するか選択し、それ以外の設定では既定値をそのまま使用して、 [OK] を選択します。Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    SettingSetting Value
    NameName myVmmyVm
    ユーザー名User name 任意のユーザー名を入力します。Enter a user name of your choosing.
    パスワードPassword 任意のパスワードを入力します。Enter a password of your choosing. パスワードは 12 文字以上で、定義された複雑さの要件を満たす必要があります。The password must be at least 12 characters long and meet the defined complexity requirements.
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [新規作成] を選択し、「myResourceGroupと入力します。Select Create new and enter myResourceGroup.
    LocationLocation [米国東部] を選択します。Select East US
  4. VM のサイズを選択して、 [選択] を選択します。Select a size for the VM and then select Select.

  5. [設定] で、すべての既定値をそのままにして、 [OK] を選択します。Under Settings, accept all the defaults, and select OK.

  6. [概要][作成][作成] を選択して、VM のデプロイを開始します。Under Create of the Summary, select Create to start VM deployment. VM のデプロイには数分かかります。The VM takes a few minutes to deploy. 残りの手順を続行する前に、VM がデプロイを完了するまで待ちます。Wait for the VM to finish deploying before continuing with the remaining steps.

VM の作成には数分かかります。The VM takes a few minutes to create. VM の作成が完了するまで、残りの手順を続行しないでください。Don't continue with remaining steps until the VM has finished creating. ポータルで、VM が作成される際に、myVm nsg という名前のネットワーク セキュリティ グループも作成され、それが VM のネットワーク インターフェイスに関連付けられます。While the portal creates the VM, it also creates a network security group with the name myVm-nsg, and associates it to the network interface for the VM.

Network Watcher を有効にするEnable Network Watcher

米国東部リージョンで既に Network Watcher を有効にしている場合は、「Insights プロバイダーの登録」に進んでください。If you already have a network watcher enabled in the East US region, skip to Register Insights provider.

  1. ポータルで [すべてのサービス] を選択します。In the portal, select All services. [フィルター] ボックスに、「Network Watcher」と入力します。In the Filter box, enter Network Watcher. 結果に [Network Watcher] が表示されたら、それを選択します。When Network Watcher appears in the results, select it.

  2. 次の図に示すように、 [リージョン] を選択して展開し、 [米国東部] の右側の [...] を選択します。Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Network Watcher を有効にする

  3. [Network Watcher の有効化] を選択します。Select Enable Network Watcher.

Insights プロバイダーの登録Register Insights provider

NSG フローのログ記録には、Microsoft.Insights プロバイダーが必要です。NSG flow logging requires the Microsoft.Insights provider. このプロバイダーを登録するには、次の手順を実行します。To register the provider, complete the following steps:

  1. ポータルの左上隅の [すべてのサービス] を選択します。In the top, left corner of portal, select All services. [フィルター] ボックスに「Subscriptions」と入力します。In the Filter box, type Subscriptions. 検索結果に [Subscriptions] が表示されたら、それを選択します。When Subscriptions appear in the search results, select it.

  2. サブスクリプションの一覧から、プロバイダーを有効にするサブスクリプションを選択します。From the list of subscriptions, select the subscription you want to enable the provider for.

  3. [設定] で、 [リソース プロバイダー] を選択します。Select Resource providers, under SETTINGS.

  4. 次の図に示すように、microsoft.insights プロバイダーの [状態][登録済み] であることを確認します。Confirm that the STATUS for the microsoft.insights provider is Registered, as shown in the picture that follows. 状態が [未登録] である場合、プロバイダーの右側の [登録] を選択します。If the status is Unregistered, then select Register, to the right of the provider.

    プロバイダーの登録

NSG フロー ログの有効化Enable NSG flow log

  1. NSG フロー ログ データは Azure Storage アカウントに書き込まれます。NSG flow log data is written to an Azure Storage account. Azure Storage アカウントを作成するには、ポータルの左上隅の [+ リソースの作成] を選択します。To create an Azure Storage account, select + Create a resource at the top, left corner of the portal.

  2. [ストレージ][ストレージ アカウント - Blob、File、Table、Queue] の順に選択します。Select Storage, then select Storage account - blob, file, table, queue.

  3. 次の情報を入力するか選択し、それ以外の情報は既定値をそのまま使用して、 [作成] を選択します。Enter, or select the following information, accept the remaining defaults, and then select Create.

    SettingSetting Value
    NameName 3 ~ 24 文字の長さで、小文字の英数字のみを含めることができ、すべての Azure Storage アカウントで一意である必要があります。3-24 characters in length, can only contain lowercase letters and numbers, and must be unique across all Azure Storage accounts.
    LocationLocation [米国東部] を選択します。Select East US
    リソース グループResource group [既存のものを使用][myResourceGroup] の順に選択しますSelect Use existing, and then select myResourceGroup

    ストレージ アカウントの作成には、しばらくかかる場合があります。The storage account may take around minute to create. ストレージ アカウントが作成されるまで、残りの手順を続行しないでください。Don't continue with remaining steps until the storage account is created. ストレージ アカウントを作成せずに、既存のものを使う場合は、ストレージ アカウントの [設定][ファイアウォールと仮想ネットワーク][すべてのネットワーク] (既定値) が選択されているストレージ アカウントを選択してください。If you use an existing storage account instead of creating one, ensure you select a storage account that has All networks (default) selected for Firewalls and virtual networks, under the SETTINGS for the storage account.

    注意

    Microsoft.Insight と Microsoft.Network のプロバイダーは、Azure Storage 向けの信頼された Microsoft サービスとして現在サポートされていますが、NSG フロー ログはまだ完全にオンボードされているわけではありません。While Microsoft.Insight and Microsoft.Network providers are currently supported as trusted Microsoft Services for Azure Storage, NSG Flow logs is still not fully onboarded. NSG フロー ログの記録を有効にするには、この機能が完全にオンボードされるまで、すべてのネットワークを引き続き選択する必要があります。To enable NSG Flow logging, All Networks must still be selected until this feature is fully onboarded. 

  4. ポータルの左上隅の [すべてのサービス] を選択します。In the top, left corner of portal, select All services. [フィルター] ボックスに「Network Watcher」と入力します。In the Filter box, type Network Watcher. 検索結果に [Network Watcher] が表示されたら、それを選択します。When Network Watcher appears in the search results, select it.

  5. 次の図に示すように、 [ログ] の  [NSG フロー ログ] を選択します。Under LOGS, select NSG flow logs, as shown in the following picture:

    NSG

  6. NSG の一覧から myVm-nsg という名前の NSG を選択します。From the list of NSGs, select the NSG named myVm-nsg.

  7. [フローのログ設定] の下で [オン] を選択します。Under Flow logs settings, select On.

  8. フロー ログのバージョンを選択します。Select the flow logging version. バージョン 2 には、フローセッションの統計 (バイトおよびパケット) が含まれます。Version 2 contains flow-session statistics (Bytes and Packets)

    フロー ログのバージョンの選択

  9. 手順 3 で作成したストレージ アカウントを選択します。Select the storage account that you created in step 3.

  10. [リテンション期間 (日数)] を 5 に設定し、 [保存] を選択します。Set Retention (days) to 5, and then select Save.

フロー ログのダウンロードDownload flow log

  1. ポータルの Network Watcher から、 [ログ] の下の [NSG フロー ログ] を選択します。From Network Watcher, in the portal, select NSG flow logs under LOGS.

  2. 次の図に示すように、 [構成済みのストレージ アカウントからフローのログをダウンロードできました。] を選択します。Select You can download flow logs from configured storage accounts, as shown in the following picture:

    フロー ログをダウンロードする

  3. NSG フロー ログの有効化」の手順 2 で構成したストレージ アカウントを選択します。Select the storage account that you configured in step 2 of Enable NSG flow log.

  4. [Blob service][BLOB] を選択し、 [insights-logs-networksecuritygroupflowevent] コンテナーを選択します。Under Blob service, select Blobs, and then select the insights-logs-networksecuritygroupflowevent container.

  5. 次の図に示すように、コンテナー内のフォルダー階層を PT1H.json ファイルに到達するまで移動します。In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. ログ ファイルは、次の名前規則に従ってフォルダー階層に書き込まれます。 https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonLog files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

    フローのログ

  6. PT1H.json ファイルの右側の [...] を選択し、 [ダウンロード] を選択します。Select ... to the right of the PT1H.json file and select Download.

フロー ログの表示View flow log

次の json は、データがログに記録される各フローについて、PT1H.json ファイルに表示される内容の例です。The following json is an example of what you'll see in the PT1H.json file for each flow that data is logged for:

バージョン 1 のフロー ログ イベントVersion 1 flow log event

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

バージョン 2 のフロー ログ イベントVersion 2 flow log event

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

前の出力の mac の値は、VM の作成時に作成されたネットワーク インターフェイスの MAC アドレスです。The value for mac in the previous output is the MAC address of the network interface that was created when the VM was created. flowTuples のコンマで区切られた情報を次に示します。The comma-separated information for flowTuples, is as follows:

サンプル データExample data データが表す内容What data represents 説明Explanation
15421103771542110377 タイム スタンプTime stamp UNIX EPOCH 形式でフローが発生した際のタイム スタンプ。The time stamp of when the flow occurred, in UNIX EPOCH format. 前の例では、日付は 2018 年 5 月 1 日午後 2:59:05 GMT に変換されます。In the previous example, the date converts to May 1, 2018 at 2:59:05 PM GMT.
10.0.0.410.0.0.4 送信元 IP アドレスSource IP address フローが発生したソース IP アドレス。The source IP address that the flow originated from. 10.0.0.4 は、「VM の作成」で作成した VM のプライベート IP アドレスです。10.0.0.4 is the private IP address of the VM you created in Create a VM.
13.67.143.11813.67.143.118 宛先 IP アドレスDestination IP address フローが送信された宛先 IP アドレス。The destination IP address that the flow was destined to.
4493144931 発信元ポートSource port フローが発生したソース ポート。The source port that the flow originated from.
443443 宛先ポートDestination port フローが送信された宛先ポート。The destination port that the flow was destined to. トラフィックの送信先はポート 443 であったため、ログ ファイルの UserRule_default-allow-rdp という規則によって、フローが処理されました。Since the traffic was destined to port 443, the rule named UserRule_default-allow-rdp, in the log file processed the flow.
TT ProtocolProtocol フローのプロトコルが TCP (T) かまたは UDP (U) か。Whether the protocol of the flow was TCP (T) or UDP (U).
OO DirectionDirection トラフィックが受信 (I) かまたは送信 (O) か。Whether the traffic was inbound (I) or outbound (O).
AA ActionAction トラフィックが許可された (A) かまたは拒否された (D) か。Whether the traffic was allowed (A) or denied (D).
CC フロー状態 (バージョン 2 のみ)Flow State Version 2 Only フローの状態をキャプチャします。Captures the state of the flow. 次の状態があります。B: 開始。フローが作成された時点です。Possible states are B: Begin, when a flow is created. 統計は提供されません。Statistics aren't provided. C: 継続中。フローが進行中です。C: Continuing for an ongoing flow. 5 分間隔で統計が提供されます。Statistics are provided at 5-minute intervals. E:終了。フローが終了した時点です。E: End, when a flow is terminated. 統計が提供されます。Statistics are provided.
3030 送信済みパケット数 - 送信元から宛先 (バージョン 2 のみ)Packets sent - Source to destination Version 2 Only 最後の更新以降に送信元から宛先に送信された TCP または UDP パケットの総数。The total number of TCP or UDP packets sent from source to destination since last update.
1697816978 送信済みバイト数 - 送信元から宛先 (バージョン 2 のみ)Bytes sent - Source to destination Version 2 Only 最後の更新以降に送信元から宛先に送信された TCP または UDP パケットのバイト数の合計。The total number of TCP or UDP packet bytes sent from source to destination since last update. パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。Packet bytes include the packet header and payload.
2424 送信済みパケット数 - 宛先から送信元 (バージョン 2 のみ)Packets sent - Destination to source Version 2 Only 最後の更新以降に宛先から送信元に送信された TCP または UDP パケットの総数。The total number of TCP or UDP packets sent from destination to source since last update.
1400814008 送信済みバイト数 - 宛先から送信元 (バージョン 2 のみ)Bytes sent - Destination to source Version 2 Only 最後の更新以降に宛先から送信元に送信された TCP および UDP パケットのバイト数の合計。The total number of TCP and UDP packet bytes sent from destination to source since last update. パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。Packet bytes include packet header and payload.

次の手順Next steps

このチュートリアルでは、NSG の NSG フローのログ記録を有効にする方法について説明しました。In this tutorial, you learned how to enable NSG flow logging for an NSG. また、ファイルに記録されたデータをダウンロードし、表示する方法も説明しました。You also learned how to download and view data logged in a file. Json ファイル内の生データは解釈が難しい場合があります。The raw data in the json file can be difficult to interpret. データを視覚化するため、Network Watcher トラフィック分析、Microsoft PowerBI、およびその他のツールを使用できます。To visualize the data, you can use Network Watcher traffic analytics, Microsoft PowerBI, and other tools.