NSG フロー ログの読み取りRead NSG flow logs

PowerShell で NSG フロー ログのエントリを読み取る方法を説明します。Learn how to read NSG flow logs entries with PowerShell.

NSG フロー ログはブロック BLOB のストレージ アカウントに保存されます。NSG flow logs are stored in a storage account in block blobs. ブロック BLOB は小規模なブロックで構成されます。Block blobs are made up of smaller blocks. 各ログは、1 時間ごとに生成される個別のブロック BLOB です。Each log is a separate block blob that is generated every hour. 新しいログが 1 時間ごとに生成され、ログは最新データを保持した新しいエントリで数分ごとに更新されます。New logs are generated every hour, the logs are updated with new entries every few minutes with the latest data. この記事では、フロー ログの一部を読み取る方法を説明します。In this article you learn how to read portions of the flow logs.


この記事は、Azure Az PowerShell モジュールを使用するように更新されています。This article has been updated to use the Azure Az PowerShell module. Az PowerShell モジュールは、Azure と対話するために推奨される PowerShell モジュールです。The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell モジュールの使用を開始するには、「Azure PowerShell をインストールする」を参照してください。To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.


次のシナリオでは、ストレージ アカウントに保存されたフロー ログの例を紹介します。In the following scenario, you have an example flow log that is stored in a storage account. NSG フロー ログの最新イベントを選択的に読み取る方法を学習します。You learn how to selectively read the latest events in NSG flow logs. この記事では PowerShell を使用しますが、記事で説明する概念はこのプログラミング言語に制限されず、Azure Storage API でサポートされるすべての言語に適用できます。In this article you use PowerShell, however, the concepts discussed in the article are not limited to the programming language, and are applicable to all languages supported by the Azure Storage APIs.


最初に、アカウント内の少なくとも 1 つのネットワーク セキュリティ グループで、そのフローのログ記録を有効にする必要があります。Before you begin, you must have Network Security Group Flow Logging enabled on one or many Network Security Groups in your account. ネットワーク セキュリティのフローのログ記録を有効にする手順については、「ネットワーク セキュリティ グループのフローのログ記録の概要」の記事を参照してください。For instructions on enabling Network Security flow logs, refer to the following article: Introduction to flow logging for Network Security Groups.

ブロック一覧の取得Retrieve the block list

次の PowerShell は、NSG フロー ログの BLOB を取得するクエリを実行し、CloudBlockBlob ブロック BLOB 内のブロックを一覧表示するために必要な変数を設定します。The following PowerShell sets up the variables needed to query the NSG flow log blob and list the blocks within the CloudBlockBlob block blob. スクリプトを更新して、使用している環境で有効な値を格納するようにします。Update the script to contain valid values for your environment.

function Get-NSGFlowLogCloudBlockBlob {
    param (
        [string] [Parameter(Mandatory=$true)] $subscriptionId,
        [string] [Parameter(Mandatory=$true)] $NSGResourceGroupName,
        [string] [Parameter(Mandatory=$true)] $NSGName,
        [string] [Parameter(Mandatory=$true)] $storageAccountName,
        [string] [Parameter(Mandatory=$true)] $storageAccountResourceGroup,
        [string] [Parameter(Mandatory=$true)] $macAddress,
        [datetime] [Parameter(Mandatory=$true)] $logTime

    process {
        # Retrieve the primary storage account key to access the NSG logs
        $StorageAccountKey = (Get-AzStorageAccountKey -ResourceGroupName $storageAccountResourceGroup -Name $storageAccountName).Value[0]

        # Setup a new storage context to be used to query the logs
        $ctx = New-AzStorageContext -StorageAccountName $StorageAccountName -StorageAccountKey $StorageAccountKey

        # Container name used by NSG flow logs
        $ContainerName = "insights-logs-networksecuritygroupflowevent"

        # Name of the blob that contains the NSG flow log
        $BlobName = "resourceId=/SUBSCRIPTIONS/${subscriptionId}/RESOURCEGROUPS/${NSGResourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/${NSGName}/y=$($logTime.Year)/m=$(($logTime).ToString("MM"))/d=$(($logTime).ToString("dd"))/h=$(($logTime).ToString("HH"))/m=00/macAddress=$($macAddress)/PT1H.json"

        # Gets the storage blog
        $Blob = Get-AzStorageBlob -Context $ctx -Container $ContainerName -Blob $BlobName

        # Gets the block blog of type 'Microsoft.Azure.Storage.Blob.CloudBlob' from the storage blob
        $CloudBlockBlob = [Microsoft.Azure.Storage.Blob.CloudBlockBlob] $Blob.ICloudBlob

        #Return the Cloud Block Blob

function Get-NSGFlowLogBlockList  {
    param (
        [Microsoft.Azure.Storage.Blob.CloudBlockBlob] [Parameter(Mandatory=$true)] $CloudBlockBlob
    process {
        # Stores the block list in a variable from the block blob.
        $blockList = $CloudBlockBlob.DownloadBlockListAsync()

        # Return the Block List

$CloudBlockBlob = Get-NSGFlowLogCloudBlockBlob -subscriptionId "yourSubscriptionId" -NSGResourceGroupName "FLOWLOGSVALIDATIONWESTCENTRALUS" -NSGName "V2VALIDATIONVM-NSG" -storageAccountName "yourStorageAccountName" -storageAccountResourceGroup "ml-rg" -macAddress "000D3AF87856" -logTime "11/11/2018 03:00" 

$blockList = Get-NSGFlowLogBlockList -CloudBlockBlob $CloudBlockBlob

$blockList 変数は BLOB 内のブロックの一覧を返します。The $blockList variable returns a list of the blocks in the blob. 各ブロック BLOB には、少なくとも 2 つのブロックが含まれています。Each block blob contains at least two blocks. 最初のブロックの長さは 12 バイトで、このブロックには JSON 形式のログの左かっこが格納されます。The first block has a length of 12 bytes, this block contains the opening brackets of the json log. 他のブロックは右ブラケットであり、長さは 2 バイトです。The other block is the closing brackets and has a length of 2 bytes. 次のサンプル ログに記録されている 7 つのエントリは、それぞれ個別のエントリです。As you can see the following example log has seven entries in it, each being an individual entry. ログの新規エントリはすべて末尾の、最後のブロックの直前に追加されます。All new entries in the log are added to the end right before the final block.

Name                                         Length Committed
----                                         ------ ---------
ZDk5MTk5N2FkNGE0MmY5MTk5ZWViYjA0YmZhODRhYzY=     12      True
NzQxNDA5MTRhNDUzMGI2M2Y1MDMyOWZlN2QwNDZiYzQ=   2685      True
ODdjM2UyMWY3NzFhZTU3MmVlMmU5MDNlOWEwNWE3YWY=   2586      True
ZDU2MjA3OGQ2ZDU3MjczMWQ4MTRmYWNhYjAzOGJkMTg=   2688      True
ZGVkYTc4MzQzNjEyMzlmZWE5MmRiNjc1OWE5OTc0OTQ=   2676      True
ZmY2MjUzYTIwYWIyOGU1OTA2ZDY1OWYzNmY2NmU4ZTY=   2777      True
Mzk1YzQwM2U0ZWY1ZDRhOWFlMTNhYjQ3OGVhYmUzNjk=   2675      True
ZjAyZTliYWE3OTI1YWZmYjFmMWI0MjJhNzMxZTI4MDM=      2      True

ブロック BLOB を読み取るRead the block blob

次に、$blocklist 変数を読み取って、データを取得する必要があります。Next you need to read the $blocklist variable to retrieve the data. この例では、ブロック リストを反復処理して各ブロックからバイトを読み取り、配列に保存します。In this example we iterate through the blocklist, read the bytes from each block and story them in an array. DownloadRangeToByteArray メソッドを使用してデータを取得します。Use the DownloadRangeToByteArray method to retrieve the data.

function Get-NSGFlowLogReadBlock  {
    param (
        [System.Array] [Parameter(Mandatory=$true)] $blockList,
        [Microsoft.Azure.Storage.Blob.CloudBlockBlob] [Parameter(Mandatory=$true)] $CloudBlockBlob

    # Set the size of the byte array to the largest block
    $maxvalue = ($blocklist | measure Length -Maximum).Maximum

    # Create an array to store values in
    $valuearray = @()

    # Define the starting index to track the current block being read
    $index = 0

    # Loop through each block in the block list
    for($i=0; $i -lt $blocklist.count; $i++)
        # Create a byte array object to story the bytes from the block
        $downloadArray = New-Object -TypeName byte[] -ArgumentList $maxvalue

        # Download the data into the ByteArray, starting with the current index, for the number of bytes in the current block. Index is increased by 3 when reading to remove preceding comma.
        $CloudBlockBlob.DownloadRangeToByteArray($downloadArray,0,$index, $($blockList[$i].Length)) | Out-Null

        # Increment the index by adding the current block length to the previous index
        $index = $index + $blockList[$i].Length

        # Retrieve the string from the byte array

        $value = [System.Text.Encoding]::ASCII.GetString($downloadArray)

        # Add the log entry to the value array
        $valuearray += $value
    #Return the Array
$valuearray = Get-NSGFlowLogReadBlock -blockList $blockList -CloudBlockBlob $CloudBlockBlob

$valuearray 配列には各ブロックの文字列値が格納されています。Now the $valuearray array contains the string value of each block. エントリの内容を確認するため、$valuearray[$valuearray.Length-2] を実行して配列の 2 番めから最後の値を取得します。To verify the entry, get the second to the last value from the array by running $valuearray[$valuearray.Length-2]. 最後の値は右ブラケットのため、不要です。You do not want the last value, because it is the closing bracket.

この値の結果を次の例に示します。The results of this value are shown in the following example:

             "time": "2017-06-16T20:59:43.7340000Z",
             "systemId": "5f4d02d3-a7d0-4ed4-9ce8-c0ae9377951c",
             "category": "NetworkSecurityGroupFlowEvent",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_AllowInternetOutBound","flows":[{"mac":"000D3A18077E","flowTuples":["1497646722,,,44904,443,T,O,A","1497646722,,,45218,443,T,O,A","1497646725,10.

このシナリオは、ログ全体を解析することなしに NSG フロー ログのエントリを読み取る方法の例を示しています。This scenario is an example of how to read entries in NSG flow logs without having to parse the entire log. ブロック ID を使用してログを書き込むか、またはブロック BLOB に格納されているブロックの長さを追跡することによって、ログの新規エントリを読み取ることができます。You can read new entries in the log as they are written by using the block ID or by tracking the length of blocks stored in the block blob. この方法で読み取ることができるのは新規エントリのみです。This allows you to read only the new entries.

次のステップNext steps

Elastic Stack の使用Grafana の使用Graylog の使用に関する記事を参照し、NSG フロー ログの表示方法の詳細を理解します。Visit Use Elastic Stack, Use Grafana, and Use Graylog to learn more about ways to view NSG flow logs. BLOB を直接使用して各種のログ分析コンシューマーを出力するためのオープン ソースの Azure 関数アプローチについては、Azure Network Watcher NSG Flow Logs Connector に関するページを参照してください。An Open Source Azure Function approach to consuming the blobs directly and emitting to various log analytics consumers may be found here: Azure Network Watcher NSG Flow Logs Connector.

Azure Traffic Analytics を使用して、トラフィック フローに関する分析情報を得ることができます。You can use Azure Traffic Analytics to get insights on your traffic flows. Traffic Analytics は Log Analytics を使用して、トラフィック フローをクエリ可能にします。Traffic Analytics uses Log Analytics to make your traffic flow queryable.

BLOB ストレージの詳細については、Azure Functions における Blob Storage のバインディングに関するページを参照してください。To learn more about storage blobs visit: Azure Functions Blob storage bindings