ネットワーク セキュリティ グループのフロー ログを Power BI で視覚化するVisualizing Network Security Group flow logs with Power BI

ネットワーク セキュリティ グループのイングレス IP トラフィックとエグレス IP トラフィックの情報は、ネットワーク セキュリティ グループのフロー ログで確認できます。Network Security Group flow logs allow you to view information about ingress and egress IP traffic on Network Security Groups. これらのフロー ログには、規則ごとの送信フローと受信フロー、フローの適用先の NIC、フローに関する 5 組の情報 (送信元/送信先 IP、送信元/送信先ポート、プロトコル) のほか、トラフィックが許可されたか拒否されたかどうかの情報が記録されます。These flow logs show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

フローのログ データに関して、ログ ファイルを手動で検索することによって洞察を得るのは、あまり現実的ではありません。It can be difficult to gain insights into flow logging data by manually searching the log files. この記事では、直近のフロー ログを視覚化してネットワークのトラフィックを把握する方法について取り上げます。In this article, we provide a solution to visualize your most recent flow logs and learn about traffic on your network.

警告

次の手順は、フロー ログのバージョン 1 に使用できます。The following steps work with flow logs version 1. 詳細については、「ネットワーク セキュリティ グループのフローのログ記録の概要」を参照してください。For details, see Introduction to flow logging for network security groups. 次の手順は、変更しなければ、ログ ファイルのバージョン 2 で使用できません。The following instructions will not work with version 2 of the log files, without modification.

シナリオScenario

以下のシナリオでは、NSG フロー ログ データのシンクとして構成したストレージ アカウントに Power BI Desktop を接続します。In the following scenario, we connect Power BI desktop to the storage account we have configured as the sink for our NSG Flow Logging data. ストレージ アカウントとの接続が確立されると、Power BI は、ログをダウンロードして解析し、ネットワーク セキュリティ グループによって記録されたトラフィックを視覚的に表現します。After we connect to our storage account, Power BI downloads and parses the logs to provide a visual representation of the traffic that is logged by Network Security groups.

テンプレートに備わっている視覚的要素から、次の情報を把握することができます。Using the visuals supplied in the template you can examine:

  • トップ トーカーTop Talkers
  • 時系列フロー データ (フロー方向ごと、規則に基づく判断ごと)Time Series Flow Data by direction and rule decision
  • ネットワーク インターフェイスの MAC アドレスごとのフローFlows by Network Interface MAC address
  • NSG と規則ごとのフローFlows by NSG and Rule
  • 送信先ポートごとのフローFlows by Destination Port

標準で用意されているテンプレートは編集することができます。新しいデータや視覚的要素を変更したり、必要に応じてクエリを編集したりすることが可能です。The template provided is editable so you can modify it to add new data, visuals, or edit queries to suit your needs.

セットアップSetup

最初に、アカウント内の少なくとも 1 つのネットワーク セキュリティ グループで、そのフローのログ記録を有効にする必要があります。Before you begin, you must have Network Security Group Flow Logging enabled on one or many Network Security Groups in your account. ネットワーク セキュリティのフローのログ記録を有効にする手順については、「ネットワーク セキュリティ グループのフローのログ記録の概要」の記事を参照してください。For instructions on enabling Network Security flow logs, refer to the following article: Introduction to flow logging for Network Security Groups.

また、ご利用のコンピューターに Power BI Desktop クライアントがインストールされていること、そしてストレージ アカウントに存在するログ データをダウンロードして読み込めるだけの空き領域がそのコンピューターにあることが必要です。You must also have the Power BI Desktop client installed on your machine, and enough free space on your machine to download and load the log data that exists in your storage account.

Visio の図

手順Steps

  1. Power BI テンプレート (Network Watcher PowerBI フロー ログ テンプレート) をダウンロードして Power BI Desktop アプリケーションで開きます。Download and open the following Power BI template in the Power BI Desktop Application Network Watcher PowerBI flow logs template

  2. 必要なクエリ パラメーターを入力します。Enter the required Query parameters

    1. StorageAccountName: 読み込んで視覚化する NSG フロー ログの保存先となっているストレージ アカウントの名前を指定します。StorageAccountName – Specifies to the name of the storage account containing the NSG flow logs that you would like to load and visualize.

    2. NumberOfLogFiles: Power BI にダウンロードして視覚化するログ ファイルの数を指定します。NumberOfLogFiles – Specifies the number of log files that you would like to download and visualize in Power BI. たとえば「50」と入力した場合、直近 50 件のログ ファイルがダウンロードされます。For example, if 50 is specified, the 50 latest log files. 2 つの NSG を有効にして、このアカウントに NSG フロー ログを送信するように構成した場合、過去 25 時間分のログを表示することができます。If we have 2 NSGs enabled and configured to send NSG flow logs to this account, then the past 25 hours of logs can be viewed.

      Power BI メイン

  3. ストレージ アカウントのアクセス キーを入力します。Enter the Access Key for your storage account. 有効なアクセス キーは、Azure Portal で目的のストレージ アカウントに移動し、[設定] メニューから [アクセス キー] を選択すると確認できます。You can find valid access keys by navigating to your storage account in the Azure portal and selecting Access Keys from the Settings menu. [接続] をクリックして変更を適用します。Click Connect then apply changes.

    アクセス キー

    アクセス キー 2

  4. ログがダウンロードされて解析され、あらかじめ作成しておいた視覚的要素が利用できる状態になります。Your logs are download and parsed and you can now utilize the pre-created visuals.

視覚的要素についてUnderstanding the visuals

テンプレートには、NSG のフロー ログ データを人間にわかりやすく表示するさまざまな視覚的要素が用意されています。Provided in the template are a set of visuals that help make sense of the NSG Flow Log data. 以下の画像は、データが投入されたときにダッシュボードがどのように表示されるのかを示した例です。The following images show a sample of what the dashboard looks like when populated with data. 以降、それぞれの視覚的要素について詳しく見ていきます。Below we examine each visual in greater detail

PowerBI

トップ トーカーの視覚的要素には、所定の期間に最も多く接続を開始した IP アドレスが表示されます。The Top Talkers visual shows the IPs that have initiated the most connections over the period specified. ボックスのサイズは、相対的な接続数に対応します。The size of the boxes corresponds to the relative number of connections.

トップ トーカー

以下の時系列グラフは、所定の期間におけるフローの数を示しています。The following time series graphs show the number of flows over the period. 上のグラフはフロー方向で色分けされ、下のグラフは許可/拒否の判断ごとに色分けされています。The upper graph is segmented by the flow direction, and the lower is segmented by the decision made (allow or deny). この視覚的要素を手掛かりにして、時間の経過に伴うトラフィックの傾向を調べたり、トラフィック (または特定の色で示されたトラフィック) に瞬間的に生じる異常な増加や減少を特定したりすることができます。With this visual, you can examine your traffic trends over time, and spot any abnormal spikes or decline in traffic or traffic segmentation.

所定の期間におけるフロー

以下のグラフは、ネットワーク インターフェイスごとのフローを示したものです。上のグラフはフロー方向で色分けされ、下のグラフは許可/拒否の判断ごとに色分けされています。The following graphs show the flows per Network interface, with the upper segmented by flow direction and the lower segmented by decision made. この情報をもとに、相対的にどの VM の通信量が多いかや、特定の VM へのトラフィックが許可されているか拒否されているか、という点についての洞察を得ることができます。With this information, you can gain insights into which of your VMs communicated the most relative to others, and if traffic to a specific VM is being allowed or denied.

NIC ごとのフロー

以下のドーナツ グラフは、送信先ポート別フローの構成比を示しています。The following donut wheel chart shows a breakdown of Flows by Destination Port. この情報から、指定した期間に送信先として最もよく使用されたポートを把握することができます。With this information, you can view the most commonly used destination ports used within the specified period.

ドーナツ

以下の棒グラフは、NSG と規則ごとのフローを示しています。The following bar chart shows the Flow by NSG and Rule. この情報からは、最も多くのトラフィックを処理した NSG と、各 NSG における規則ごとのトラフィック内訳を確認できます。With this information, you can see the NSGs responsible for the most traffic, and the breakdown of traffic on an NSG by rule.

棒グラフ

以下のグラフには、ログに存在する NSG や、所定の期間にキャプチャされたフロー数、最も早い時期にキャプチャされたログの日付についての情報が表示されています。The following informational charts display information about the NSGs present in the logs, the number of Flows captured over the period, and the date of the earliest log captured. ログの対象になっている NSG やフローの日付範囲は、この情報から把握することができます。This information gives you an idea of what NSGs are being logged and the date range of flows.

情報グラフ 1

情報グラフ 2

このテンプレートには、関心のあるデータだけを表示する手段として以下のスライサーが備わっています。This template includes the following slicers to allow you to view only the data you are most interested in. リソース グループや NSG、各種規則に対してフィルターを適用することが可能です。You can filter on your resource groups, NSGs, and rules. さらに、送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコル、許可/拒否の判断、ログが記録された日時を条件としてフィルター処理することもできます。You can also filter on 5-tuple information, decision, and the time the log was written.

スライサー

まとめConclusion

このシナリオでは、Network Watcher から得られるネットワーク セキュリティ グループのフロー ログと Power BI を使い、トラフィックを視覚化して把握する方法を紹介しました。We showed in this scenario that by using Network Security Group Flow logs provided by Network Watcher and Power BI, we are able to visualize and understand the traffic. Power BI は、標準で備わっているテンプレートを使用して、ストレージから直接ログをダウンロードし、ローカルで処理します。Using the provided template, Power BI downloads the logs directly from storage and processes them locally. テンプレートの読み込みにかかる時間は、リクエストされたファイルの数やダウンロードされたファイルの合計サイズによって変動します。Time taken to load the template varies depending on the number of files requested and total size of files downloaded.

皆さんの要件に合わせて、このテンプレートを自由にカスタマイズしてご利用ください。Feel free to customize this template for your needs. Power BI とネットワーク セキュリティ グループのフロー ログには、さまざまな活用方法があります。There are many numerous ways that you can use Power BI with Network Security Group Flow Logs.

メモNotes

  • 既定では、https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/ にログが保存されます。Logs by default are stored in https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • 別のディレクトリにもデータが存在する場合、データをプルして処理するクエリに変更を加える必要があります。If other data exists in another directory they the queries to pull and process the data must be modified.
  • 1 GB を超えるサイズのログには、標準で備わっているテンプレートはお勧めできません。The provided template is not recommended for use with more than 1 GB of logs.

  • 大量のログが存在する場合は、別のデータ ストア (Data Lake、SQL Server など) を使った解決方法について調べるようお勧めします。If you have a large amount of logs, we recommend that you investigate a solution using another data store like Data Lake or SQL server.

次の手順Next Steps

Elastick Stack で NSG フロー ログを視覚化する方法については、「オープン ソース ツールを使用した Azure Network Watcher NSG フロー ログの視覚化」を参照してくださいLearn how to visualize your NSG flow logs with the Elastic Stack by visiting Visualize Azure Network Watcher NSG flow logs using open source tools