Traffic AnalyticsTraffic Analytics

Traffic Analytics は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。Traffic Analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. トラフィック分析では、Network Watcher のネットワーク セキュリティ グループ (NSG) フロー ログを分析して、Azure クラウドでのトラフィック フローに関する洞察を示します。Traffic analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. トラフィック分析を使用すると、次のことが可能になります。With traffic analytics, you can:

  • Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホットスポットを特定する。Visualize network activity across your Azure subscriptions and identify hot spots.
  • 開いているポート、インターネット にアクセスしようとしているアプリケーション、承認されていないネットワークに接続している仮想マシン (VM) などの情報を使用して、ネットワークに対するセキュリティの脅威を特定し、ネットワークをセキュリティで保護する。Identify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Azure リージョン間やインターネット上でのトラフィック フロー パターンを把握して、ネットワークのデプロイをパフォーマンスと容量に最適化する。Understand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • ネットワークでの接続の失敗の原因となるネットワークの構成の誤りを特定する。Pinpoint network misconfigurations leading to failed connections in your network.

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. インストール手順については、Azure PowerShell のインストール を参照してください。For installation instructions, see Install Azure PowerShell.

トラフィック分析が必要な理由Why traffic analytics?

妥協のないセキュリティ、コンプライアンス、パフォーマンスを実現するには、独自のネットワークを監視、管理し、把握することが不可欠です。It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. 独自の環境を保護および最適化するうえで最も重要なのは、環境を理解することです。Knowing your own environment is of paramount importance to protect and optimize it. 多くの場合、ネットワークの現在の状態、接続しているユーザーとその接続先、接続元、インターネットに対して開いているポート、想定されたネットワークの動作、不規則なネットワークの動作、トラフィックの急激な増加を把握する必要があります。You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

クラウド ネットワークは、ネットワーク インターフェイスを出入りする IP ネットワーク トラフィックを収集できる、Netflow や同等のプロトコル対応のルーターとスイッチを備えたオンプレミスの企業ネットワークとは異なります。Cloud networks are different than on-premises enterprise networks, where you have netflow or equivalent protocol capable routers and switches, which provide the capability to collect IP network traffic as it enters or exits a network interface. トラフィック フロー データを分析することで、ネットワークのトラフィック フローとトラフィック量の分析を構築できます。By analyzing traffic flow data, you can build an analysis of network traffic flow and volume.

Azure 仮想ネットワークには、個々のネットワーク インターフェイス、VM、またはサブネットに関連付けられたネットワーク セキュリティ グループを使用して、イングレス/エグレス IP トラフィックに関する情報を提供する NSG フロー ログがあります。Azure virtual networks have NSG flow logs, which provide you information about ingress and egress IP traffic through a Network Security Group associated to individual network interfaces, VMs, or subnets. トラフィック分析では、生の NSG フロー ログを分析し、セキュリティ、トポロジ、地域に関するインテリジェンスを挿入することによって、環境内のトラフィック フローに関する洞察を示すことができます。By analyzing raw NSG flow logs, and inserting intelligence of security, topology, and geography, traffic analytics can provide you with insights into traffic flow in your environment. Traffic Analytics は、通信量の多いホスト、通信量の多いアプリケーション プロトコル、会話が多いホスト ペア、許可/ブロックされたトラフィック、受信/送信トラフィック、開いているインターネット ポート、ブロックの多いルール、Azure データ センター、仮想ネットワーク、サブネット、または承認されていないネットワークごとのトラフィック分布などの情報を提供します。Traffic Analytics provides information such as most communicating hosts, most communicating application protocols, most conversing host pairs, allowed/blocked traffic, inbound/outbound traffic, open internet ports, most blocking rules, traffic distribution per Azure datacenter, virtual network, subnets, or, rogue networks.

主なコンポーネントKey components

  • ネットワーク セキュリティ グループ (NSG):Azure Virtual Network に接続されたリソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則が含まれています。Network security group (NSG): Contains a list of security rules that allow or deny network traffic to resources connected to an Azure Virtual Network. NSG はサブネットに関連付けることができるほか、クラシック モデルについては個々の VM に、Resource Manager モデルについては VM にアタッチされた個々のネットワーク インターフェイス (NIC) に関連付けることができます。NSGs can be associated to subnets, individual VMs (classic), or individual network interfaces (NIC) attached to VMs (Resource Manager). 詳細については、ネットワーク セキュリティ グループの概要に関する記事をご覧ください。For more information, see Network security group overview.
  • ネットワーク セキュリティ グループ (NSG) フロー ログ:ネットワーク セキュリティ グループを使用して、イングレス/エグレス IP トラフィックの情報を確認できます。Network security group (NSG) flow logs: Allow you to view information about ingress and egress IP traffic through a network security group. NSG フロー ログは JSON 形式で記述され、規則ごとの送信フローと受信フロー、フローが適用される NIC、フローに関する 5 組の情報 (送信元/宛先 IP アドレス、送信元/宛先ポート、プロトコル)、トラフィックが許可されているか拒否されているかが示されます。NSG flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, five-tuple information about the flow (source/destination IP address, source/destination port, and protocol), and if the traffic was allowed or denied. NSG フロー ログの詳細については、NSG フロー ログに関する記事をご覧ください。For more information about NSG flow logs, see NSG flow logs.
  • Log Analytics:監視データを収集し、そのデータを中央リポジトリに格納する Azure サービス。Log Analytics: An Azure service that collects monitoring data and stores the data in a central repository. このデータには、Azure API によって提供されるイベント、パフォーマンス データ、またはカスタム データを含めることができます。This data can include events, performance data, or custom data provided through the Azure API. 一度収集されたデータは、アラート、分析、エクスポートに使用できます。Once collected, the data is available for alerting, analysis, and export. Network Performance Monitor やトラフィック分析などの監視アプリケーションは、Azure Monitor ログを基盤として構築されています。Monitoring applications such as network performance monitor and traffic analytics are built using Azure Monitor logs as a foundation. 詳細については、Azure Monitor ログに関するページを参照してください。For more information, see Azure Monitor logs.
  • Log Analytics ワークスペース:Azure アカウントに関するデータが格納される、Azure Monitor ログのインスタンス。Log Analytics workspace: An instance of Azure Monitor logs, where the data pertaining to an Azure account, is stored. Log Analytics ワークスペースの詳細については、Log Analytics ワークスペースの作成に関するページを参照してください。For more information about Log Analytics workspaces, see Create a Log Analytics workspace.
  • Network Watcher:ネットワーク シナリオ レベルで Azure の状態を監視および診断できるリージョン サービス。Network Watcher: A regional service that enables you to monitor and diagnose conditions at a network scenario level in Azure. Network Watcher で NSG フロー ログを有効または無効にすることができます。You can turn NSG flow logs on and off with Network Watcher. 詳細については、「Network Watcher」をご覧ください。For more information, see Network Watcher.

トラフィック分析のしくみHow traffic analytics works

トラフィック分析では、生の NSG フロー ログを調べ、同じ送信元 IP アドレス、宛先 IP アドレス、宛先ポート、およびプロトコルでよく発生するフローを集約することによって削減されたログを取り込みます。Traffic analytics examines the raw NSG flow logs and captures reduced logs by aggregating common flows among the same source IP address, destination IP address, destination port, and protocol. たとえば、ホスト 1 (IP アドレス: 10.10.10.10) とホスト 2 (IP アドレス: 10.10.20.10) が、ポート (例: 80) とプロトコル (例: http) を使用して 1 時間に 100 回通信したとします。For example, Host 1 (IP address: 10.10.10.10) communicating to Host 2 (IP address: 10.10.20.10), 100 times over a period of 1 hour using port (for example, 80) and protocol (for example, http). 削減されたログには、100 個のエントリが含まれるのではなく、ホスト 1 とホスト 2 が、ポート 80HTTP プロトコルを使用して 1 時間に 100 回通信したことを示す 1 つのエントリが含まれます。The reduced log has one entry, that Host 1 & Host 2 communicated 100 times over a period of 1 hour using port 80 and protocol HTTP, instead of having 100 entries. 削減されたログは、地域、セキュリティ、トポロジの情報が追加された後に、Log Analytics ワークスペースに格納されます。Reduced logs are enhanced with geography, security, and topology information, and then stored in a Log Analytics workspace. 次の図は、このデータ フローを示しています。The following picture shows the data flow:

NSG フロー ログの処理のデータ フロー

サポートされているリージョンSupported regions

NSG のトラフィック分析は、次のサポートされているどのリージョンでも使用できます。You can use traffic analytics for NSGs in any of the following supported regions:

  • カナダ中部Canada Central
  • 米国中西部West Central US
  • 米国東部East US
  • 米国東部 2East US 2
  • 米国中北部North Central US
  • 米国中南部South Central US
  • 米国中央部Central US
  • 米国西部West US
  • 米国西部 2West US 2
  • フランス中部France Central
  • 西ヨーロッパWest Europe
  • 北ヨーロッパNorth Europe
  • ブラジル南部Brazil South
  • 英国西部UK West
  • 英国南部UK South
  • オーストラリア東部Australia East
  • オーストラリア南東部Australia Southeast
  • 東アジアEast Asia
  • 東南アジアSoutheast Asia
  • 韓国中部Korea Central
  • インド中部Central India
  • インド南部South India
  • 東日本Japan East
  • 西日本Japan West
  • 米国政府バージニア州US Gov Virginia

Log Analytics ワークスペースは、次のリージョンに存在する必要があります。The Log Analytics workspace must exist in the following regions:

  • カナダ中部Canada Central
  • 米国中西部West Central US
  • 米国西部 2West US 2
  • 米国東部East US
  • フランス中部France Central
  • 西ヨーロッパWest Europe
  • 英国南部UK South
  • オーストラリア南東部Australia Southeast
  • 東南アジアSoutheast Asia
  • 韓国中部Korea Central
  • インド中部Central India
  • 東日本Japan East
  • 米国政府バージニア州US Gov Virginia

前提条件Prerequisites

ユーザー アクセスの要件User access requirements

お使いのアカウントは、次のいずれかの Azure 組み込みロールのメンバーである必要があります。Your account must be a member of one of the following Azure built-in roles:

デプロイメント モデルDeployment model RoleRole
リソース マネージャーResource Manager OwnerOwner
ContributorContributor
ReaderReader
Network ContributorNetwork Contributor

上記のどの組み込みロールにもアカウントが割り当てられていない場合、サブスクリプション レベルで次のアクションが割り当てられるカスタム ロールに割り当てる必要があります。If your account is not assigned to one of the built-in roles, it must be assigned to a custom role that is assigned the following actions, at the subscription level:

  • "Microsoft.Network/applicationGateways/read""Microsoft.Network/applicationGateways/read"
  • "Microsoft.Network/connections/read""Microsoft.Network/connections/read"
  • "Microsoft.Network/loadBalancers/read""Microsoft.Network/loadBalancers/read"
  • "Microsoft.Network/localNetworkGateways/read""Microsoft.Network/localNetworkGateways/read"
  • "Microsoft.Network/networkInterfaces/read""Microsoft.Network/networkInterfaces/read"
  • "Microsoft.Network/networkSecurityGroups/read""Microsoft.Network/networkSecurityGroups/read"
  • "Microsoft.Network/publicIPAddresses/read""Microsoft.Network/publicIPAddresses/read"
  • "Microsoft.Network/routeTables/read""Microsoft.Network/routeTables/read"
  • "Microsoft.Network/virtualNetworkGateways/read""Microsoft.Network/virtualNetworkGateways/read"
  • "Microsoft.Network/virtualNetworks/read""Microsoft.Network/virtualNetworks/read"

ユーザーのアクセス許可を確認する方法については、「トラフィック分析についてよく寄せられる質問」を参照してください。For information on how to check user access permissions, see Traffic analytics FAQ.

Network Watcher を有効にするEnable Network Watcher

トラフィックを分析するには、トラフィックの分析対象となる NSG がある各リージョンで、既存の Network Watcher を使用するか、Network Watcher を有効にする必要があります。To analyze traffic, you need to have an existing network watcher, or enable a network watcher in each region that you have NSGs that you want to analyze traffic for. トラフィック分析は、サポートされているリージョンのいずれかでホストされている NSG に対して有効にすることができます。Traffic analytics can be enabled for NSGs hosted in any of the supported regions.

ネットワーク リソース プロバイダーを再登録するRe-register the network resource provider

トラフィック分析を使用するには、事前にネットワーク リソース プロバイダーを再登録しておく必要があります。Before you can use traffic analytics, you must re-register your network resource provider. 次のコード ボックスの [Try It] をクリックして、Azure Cloud Shell を開きます。Click Try It in the following code box to open the Azure Cloud Shell. Cloud Shell により、Azure サブスクリプションに自動的にログインします。The Cloud Shell automatically logs you into to your Azure subscription. Cloud Shell が開いたら、次のコマンドを入力して、ネットワーク リソース プロバイダーを再登録します。Once the Cloud Shell is open, enter the following command to re-register the network resource provider:

Register-AzResourceProvider -ProviderNamespace "Microsoft.Network"

ネットワーク セキュリティ グループを選択するSelect a network security group

NSG フロー ログを有効にする前に、フローをログに記録する、対象のネットワーク セキュリティ グループを選択する必要があります。Before enabling NSG flow logging, you must have a network security group to log flows for. ネットワーク セキュリティ グループがない場合、作成方法については、ネットワーク セキュリティ グループの作成に関する記事をご覧ください。If you don't have a network security group, see Create a network security group to create one.

Azure Portal の左側にある [監視] を選択し、[Network Watcher][NSG フロー ログ] の順に選択します。On the left side of the Azure portal, select Monitor, then Network watcher, and then select NSG flow logs. 次の図に示すように、NSG フロー ログを有効にするネットワーク セキュリティ グループを選択します。Select the network security group that you want to enable an NSG flow log for, as shown in the following picture:

NSG フロー ログを有効にする必要がある NSG の選択

サポートされているリージョン以外のリージョンでホストされている NSG に対してトラフィック分析を有効にしようとすると、"見つかりません" というエラーが表示されます。If you try to enable traffic analytics for an NSG that is hosted in any region other than the supported regions, you receive a "Not found" error.

フロー ログ設定の有効化Enable flow log settings

フロー ログ設定を有効にする前に、次の作業を完了する必要があります。Before enabling flow log settings, you must complete the following tasks:

Azure Insights プロバイダーをサブスクリプションに登録します (まだ登録されていない場合)。Register the Azure Insights provider, if it's not already registered for your subscription:

Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

NSG フロー ログの保存先となる Azure ストレージ アカウントがまだない場合は、ストレージ アカウントを作成する必要があります。If you don't already have an Azure Storage account to store NSG flow logs in, you must create a storage account. 次のコマンドを使用して、ストレージ アカウントを作成できます。You can create a storage account with the command that follows. コマンドを実行する前に、<replace-with-your-unique-storage-account-name> を Azure 全体で一意の名前 (3 ~ 24 文字で、数字と小文字のみを使用) に置き換えます。Before running the command, replace <replace-with-your-unique-storage-account-name> with a name that is unique across all Azure locations, between 3-24 characters in length, using only numbers and lower-case letters. 必要に応じて、リソース グループ名を変更することもできます。You can also change the resource group name, if necessary.

New-AzStorageAccount `
  -Location westcentralus `
  -Name <replace-with-your-unique-storage-account-name> `
  -ResourceGroupName myResourceGroup `
  -SkuName Standard_LRS `
  -Kind StorageV2

図に示すように、次のオプションを選択します。Select the following options, as shown in the picture:

  1. [状態] で、[オン] を選択します。Select On for Status

  2. フロー ログを保存する既存のストレージ アカウントを選択します。Select an existing storage account to store the flow logs in. データを無期限に保存する場合は、値を 0 に設定します。If you want to store the data forever, set the value to 0. ストレージ アカウントに対して Azure Storage の料金が発生します。You incur Azure Storage fees for the storage account.

  3. [リテンション期間] を、データを保存する日数に設定します。Set Retention to the number of days you want to store data for.

  4. [Traffic Analytics Status](Traffic Analytics の状態) で、[オン] を選択します。Select On for Traffic Analytics Status.

  5. 既存の Log Analytics ワークスペースを選択するか、[新しいワークスペースの作成] を選択して新規作成します。Select an existing Log Analytics workspace, or select Create New Workspace to create a new one. Log Analytics ワークスペースは、分析の生成に使用される集計済みのインデックス付きデータを格納するために、Traffic Analytics で使用されます。A Log Analytics workspace is used by Traffic Analytics to store the aggregated and indexed data that is then used to generate the analytics. 既存のワークスペースを選択する場合は、サポートされているリージョンのいずれかに存在し、新しいクエリ言語にアップグレードされている必要があります。If you select an existing workspace, it must exist in one of the supported regions and have been upgraded to the new query language. 既存のワークスペースをアップグレードするのが望ましくない場合や、サポートされているリージョンにワークスペースがない場合は、新しいワークスペースを作成します。If you do not wish to upgrade an existing workspace, or do not have a workspace in a supported region, create a new one. クエリ言語の詳細については、新しいログ検索への Azure Monitor ログのアップグレードに関するページを参照してください。For more information about query languages, see Azure Monitor logs upgrade to new log search.

    トラフィック分析ソリューションをホストする Log Analytics ワークスペースと NSG は、同じリージョンに存在する必要はありません。The Log Analytics workspace hosting the traffic analytics solution and the NSGs do not have to be in the same region. たとえば、西ヨーロッパ リージョンのワークスペースにトラフィック分析があり、米国東部と米国西部に NSG があっても構いません。For example, you may have traffic analytics in a workspace in the West Europe region, while you may have NSGs in East US and West US. 同じワークスペースに複数の NSG を構成できます。Multiple NSGs can be configured in the same workspace.

  6. [保存] を選択します。Select Save.

    ストレージ アカウント、Log Analytics ワークスペース、Traffic Analytics の有効化の選択

トラフィック分析を有効にするその他の NSG に対して前の手順を繰り返します。Repeat the previous steps for any other NSGs for which you wish to enable traffic analytics for. フロー ログのデータはワークスペースに送信されるので、ワークスペースが存在するリージョンでのデータの保存が、お住まいの国の法律や規制で許可されていることを確認してください。Data from flow logs is sent to the workspace, so ensure that the local laws and regulations in your country permit data storage in the region where the workspace exists.

また、Azure PowerShell で Set-AzNetworkWatcherConfigFlowLog PowerShell コマンドレットを使用して、トラフィック分析を構成できます。You can also configure traffic analytics using the Set-AzNetworkWatcherConfigFlowLog PowerShell cmdlet in Azure PowerShell. Get-Module -ListAvailable Az を実行して、インストールされているバージョンを見つけます。Run Get-Module -ListAvailable Az to find your installed version. アップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。If you need to upgrade, see Install Azure PowerShell module.

トラフィック分析の表示View traffic analytics

ポータルの左側にある [すべてのサービス] を選択し、[フィルター] ボックスに「監視」と入力します。On the left-side of the portal, select All services, then enter Monitor in the Filter box. 検索結果に [監視] が表示されたら、それを選択します。When Monitor appears in the search results, select it. トラフィック分析とその機能の探索を開始するには、[Network Watcher][トラフィック分析 ] の順に選択します。To start exploring traffic analytics and its capabilities, select Network watcher, then Traffic Analytics.

Traffic Analytics ダッシュボードへのアクセス

Traffic Analytics では、レポートを生成するために、有意義な洞察を引き出すことができるだけの十分なデータを先に集計しておく必要があるため、ダッシュボードが最初に表示されるまでに最大 30 分かかることがあります。The dashboard may take up to 30 minutes to appear the first time because Traffic Analytics must first aggregate enough data for it to derive meaningful insights, before it can generate any reports.

使用シナリオUsage scenarios

Traffic Analytics が完全に構成された後に得られる洞察の一部を以下に示します。Some of the insights you might want to gain after Traffic Analytics is fully configured, are as follows:

トラフィックのホットスポットを見つけるFind traffic hotspots

調査項目Look for

  • どのホスト、サブネット、および仮想ネットワークがほとんどのトラフィックを送受信し、最も悪意のあるトラフィックを走査し、重大なフローをブロックしているか。Which hosts, subnets, and virtual networks are sending or receiving the most traffic, traversing maximum malicious traffic and blocking significant flows?

    • ホスト、サブネット、および仮想ネットワークの比較グラフを確認してください。Check comparative chart for host, subnet, and virtual network. 送受信するトラフィックの量が多いホスト、サブネット、およびネットワークを把握すると、ほとんどのトラフィックを処理しているホストの特定と、トラフィック分布が適切に行われているかどうかの特定が可能です。Understanding which hosts, subnets, and virtual networks are sending or receiving the most traffic can help you identify the hosts that are processing the most traffic, and whether the traffic distribution is done properly.
    • トラフィックの量がホストに適しているかどうかを評価できます。You can evaluate if the volume of traffic is appropriate for a host. トラフィックの量は通常の動作ですか。あるいは、さらに調査するだけの価値がありますか。Is the volume of traffic normal behavior, or does it merit further investigation?
  • どれくらいの量の受信/送信トラフィックがあるか。How much inbound/outbound traffic is there?

    • ホストでは、送信トラフィックよりも受信トラフィックの方が多いと予想されますか。それともその逆ですか。Is the host expected to receive more inbound traffic than outbound, or vice-versa?
  • ブロックされたトラフィックの統計。Statistics of blocked traffic.

    • ホストが大量の開始トラフィックをブロックしているのはなぜですか。Why is a host blocking a significant volume of benign traffic? この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。This behavior requires further investigation and probably optimization of configuration
  • 許可/ブロックされた悪意のあるトラフィックの統計Statistics of malicious allowed/blocked traffic

    • ホストは悪意のあるトラフィックをなぜ受信しているのですか、また、悪意のあるソースからのフローがなぜ許可されているのですか。Why is a host receiving malicious traffic and why flows from malicious source is allowed? この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。This behavior requires further investigation and probably optimization of configuration.

      次の図に示すように、[ホスト] にある [See all](すべて表示) を選択します。Select See all, under Host, as shown in the following picture:

      トラフィックが多いホストの詳細を示すダッシュボード

  • 次の図は、トラフィックが多い上位 5 個のホストの時間的傾向と、ホスト のフロー関連の詳細 (許可された受信/送信フローと、拒否された受信/送信フロー) を示しています。The following picture shows time trending for the top five talking hosts and the flow-related details (allowed – inbound/outbound and denied - inbound/outbound flows) for a host:

    トラフィックが多い上位 5 個のホストの傾向

調査項目Look for

  • 会話が多いホスト ペアはどれか。Which are the most conversing host pairs?

    • 想定された動作 (フロントエンドまたはバックエンド間の通信など) または不規則な動作 (バックエンドのインターネット トラフィックなど)。Expected behavior like front-end or back-end communication or irregular behavior, like back-end internet traffic.
  • 許可/ブロックされたトラフィックの統計。Statistics of allowed/blocked traffic

    • ホストが大量のトラフィックを許可またはブロックしている理由。Why a host is allowing or blocking significant traffic volume
  • 会話が多いホスト ペアの間で最も頻繁に使用されるアプリケーション プロトコル:Most frequently used application protocol among most conversing host pairs:

    • これらのアプリケーションは、このネットワークで許可されていますか。Are these applications allowed on this network?

    • アプリケーションは正しく構成されていますか。Are the applications configured properly? それらは適切なプロトコルを通信に使用していますか。Are they using the appropriate protocol for communication? 次の図に示すように、[頻度が最大の会話][See all](すべて表示) を選択します。Select See all under Frequent conversation, as show in the following picture:

      頻度が最大の会話を示すダッシュボード

  • 次の図は、上位 5 個の会話の時間的傾向と、フロー関連の詳細 (会話ペアの許可および拒否された受信/送信フローなど) を示しています。The following picture shows time trending for the top five conversations and the flow-related details such as allowed and denied inbound and outbound flows for a conversation pair:

    上位 5 個の頻繁な会話の詳細と傾向

調査項目Look for

  • 環境で最も使用されているのはどのアプリケーション プロトコルか。また、そのアプリケーション プロトコルを最も使用しているのは、会話しているどのホスト ペアか。Which application protocol is most used in your environment, and which conversing host pairs are using the application protocol the most?

    • これらのアプリケーションは、このネットワークで許可されていますか。Are these applications allowed on this network?

    • アプリケーションは正しく構成されていますか。Are the applications configured properly? それらは適切なプロトコルを通信に使用していますか。Are they using the appropriate protocol for communication? 想定された動作は、80 や 443 などの一般的なポートです。Expected behavior is common ports such as 80 and 443. 標準の通信で通常とは異なるポートが表示された場合、構成を変更する必要があります。For standard communication, if any unusual ports are displayed, they might require a configuration change. 次の図に示すように、[アプリケーション ポート][See all](すべて表示) を選択します。Select See all under Application port, in the following picture:

      上位のアプリケーション プロトコルを示すダッシュ ボード

  • 次の図は、上位 5 個の L7 プロトコルの時間的傾向と、L7 プロトコルのフロー関連の詳細 (許可および拒否されたフローなど) を示しています。The following pictures show time trending for the top five L7 protocols and the flow-related details (for example, allowed and denied flows) for an L7 protocol:

    上位 5 個のレイヤー 7 プロトコルの詳細と傾向

    ログ検索におけるアプリケーション プロトコルのフローの詳細

調査項目Look for

  • 環境内の VPN ゲートウェイの容量使用率の傾向。Capacity utilization trends of a VPN gateway in your environment.

    • 各 VPN SKU では一定量の帯域幅を許可します。Each VPN SKU allows a certain amount of bandwidth. VPN ゲートウェイは十分に活用されていますか。Are the VPN gateways underutilized?
    • ゲートウェイは容量に達しつつありますか。Are your gateways reaching capacity? 1 つ上位の SKU にアップグレードする必要はありますか。Should you upgrade to the next higher SKU?
  • 会話が多いホストはどれか。それらのホストが使用しているポートと VPN ゲートウェイはどれか。Which are the most conversing hosts, via which VPN gateway, over which port?

    • これは通常のパターンですか。Is this pattern normal? 次の図に示すように、[VPN ゲートウェイ] にある [See all](すべて表示) を選択します。Select See all under VPN gateway, as shown in the following picture:

      上位のアクティブ VPN 接続を示すダッシュボード

  • 次の図は、Azure VPN Gateway の容量使用率の時間的傾向と、フロー関連の詳細 (許可されたフローやポートなど) を示しています。The following picture shows time trending for capacity utilization of an Azure VPN Gateway and the flow-related details (such as allowed flows and ports):

    VPN ゲートウェイの使用率の傾向とフローの詳細

地域ごとのトラフィック分布を視覚化するVisualize traffic distribution by geography

調査項目Look for

  • データ センターごとのトラフィック分布 (データ センターへのトラフィックの上位の送信元、データ センターと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコルなど)。Traffic distribution per data center such as top sources of traffic to a datacenter, top rogue networks conversing with the data center, and top conversing application protocols.

    • データ センターの負荷の増加が見られる場合は、効率的なトラフィック分布を計画できます。If you observe more load on a data center, you can plan for efficient traffic distribution.

    • 承認されていないネットワークがデータ センターで会話している場合は、NSG ルールを修正してそれらをブロックします。If rogue networks are conversing in the data center, then correct NSG rules to block them.

      次の図に示すように、[Your environment](使用している環境)[マップの表示] を選択します。Select View map under Your environment, as shown in the following picture:

      トラフィック分布を示すダッシュボード

  • geo マップの上部には、データ センター (デプロイ済み/デプロイなし/アクティブ/非アクティブ/Traffic Analytics 有効/Traffic Analytics 無効) や、アクティブなデプロイへの問題のないトラフィックまたは悪意のあるトラフィックに関与している国などのパラメーターを選択できるリボンが表示されます。The geo-map shows the top ribbon for selection of parameters such as data centers (Deployed/No-deployment/Active/Inactive/Traffic Analytics Enabled/Traffic Analytics Not Enabled) and countries contributing Benign/Malicious traffic to the active deployment:

    アクティブなデプロイを示す geo マップ ビュー

  • geo マップには、通信している国や大陸からデータ センターへのトラフィック分布が、青色 (問題のないトラフィック) と赤色 (悪意のあるトラフィック) の線で表示されます。The geo-map shows the traffic distribution to a data center from countries and continents communicating to it in blue (Benign traffic) and red (malicious traffic) colored lines:

    国や大陸へのトラフィック分布を示す geo マップ ビュー

    ログ検索におけるトラフィック分布のフローの詳細

仮想ネットワークごとのトラフィック分布を視覚化するVisualize traffic distribution by virtual networks

調査項目Look for

  • 仮想ネットワークごとのトラフィック分布、トポロジ、仮想ネットワークへのトラフィックの上位の送信元、仮想ネットワークと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコル。Traffic distribution per virtual network, topology, top sources of traffic to the virtual network, top rogue networks conversing to the virtual network, and top conversing application protocols.

    • どの仮想ネットワークがどの仮想ネットワークと会話しているかを把握します。Knowing which virtual network is conversing to which virtual network. 会話が想定外の場合は修正できます。If the conversation is not expected, it can be corrected.

    • 承認されていないネットワークが仮想ネットワークと会話している場合は、NSG ルールを修正して承認されていないネットワークをブロックできます。If rogue networks are conversing with a virtual network, you can correct NSG rules to block the rogue networks.

      次の図に示すように、[Your environment](使用している環境)[View VNets](VNets の表示) を選択します。Select View VNets under Your environment, as shown in the following picture:

      仮想ネットワークの分布を示すダッシュボード

  • 仮想ネットワーク トポロジの上部には、仮想ネットワーク (仮想ネットワーク間接続/アクティブ/非アクティブ)、仮想ネットワークの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。The Virtual Network Topology shows the top ribbon for selection of parameters like a virtual network’s (Inter virtual network Connections/Active/Inactive), External Connections, Active Flows, and Malicious flows of the virtual network.

  • サブスクリプション、ワークスペース、リソース グループ、および時間間隔に基づいて、仮想ネットワーク トポロジをフィルター処理することができます。You can filter the Virtual Network Topology based on subscriptions, workspaces, resource groups and time interval. フローの理解に役立つ追加フィルターは次のとおりです。フローの種類 (InterVNet、IntraVNET など)、フローの方向 (受信、送信)、フローの状態 (許可、ブロック)、VNet (対象および接続)、接続の種類 (ピアリングまたはゲートウェイ - P2S および S2S)、および NSG。Additional filters that help you understand the flow are: Flow Type (InterVNet, IntraVNET etc), Flow Direction (Inbound, Outbound), Flow Status ( Allowed, Blocked) VNETs (Targeted and Connected) , Connection Type (Peering or Gateway - P2S and S2S) and NSG. これらのフィルターを使用して、詳細に調べる VNet に照準を絞ります。Use these filters to focus on VNets that you want to examine in detail.

  • 仮想ネットワーク トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、ネットワーク セキュリティ グループなどについて、仮想ネットワークへのトラフィック分布が表示されます。The Virtual Network Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and network security groups, for example:

    トラフィック分布とフローの詳細を示す仮想ネットワーク トポロジ

    最上位ほかのフィルターを例示した仮想ネットワーク トポロジ

    ログ検索における仮想ネットワークのトラフィック分布のフローの詳細

調査項目Look for

  • サブネットごとのトラフィック分布、トポロジ、サブネットへのトラフィックの上位の送信元、サブネットと会話している上位の非承認ネットワーク、上位の会話しているアプリケーション プロトコル。Traffic distribution per subnet, topology, top sources of traffic to the subnet, top rogue networks conversing to the subnet, and top conversing application protocols.

    • どのサブネットがどのサブネットと会話しているかを把握します。Knowing which subnet is conversing to which subnet. 想定外の会話がある場合は、構成を修正できます。If you see unexpected conversations, you can correct your configuration.
    • 非承認ネットワークがサブネットと会話している場合は、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。If rogue networks are conversing with a subnet, you are able to correct it by configuring NSG rules to block the rogue networks.
  • サブネット トポロジの上部には、アクティブ/非アクティブなサブネット、サブネットの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。The Subnets Topology shows the top ribbon for selection of parameters such as Active/Inactive subnet, External Connections, Active Flows, and Malicious flows of the subnet.

  • サブネット トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、NSG などについて、仮想ネットワークへのトラフィック分布が表示されます。The Subnet Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and NSGs, for example:

    フローについて、仮想ネットワーク サブネットのトラフィック分布を示すサブネット トポロジ

調査項目Look for

Application Gateway および Load Balancer ごとのトラフィック分布、トポロジ、トラフィックの上位の送信元、Application Gateway および Load Balancer と会話している上位の非承認ネットワーク、および上位の会話しているアプリケーション プロトコル。Traffic distribution per Application gateway & Load Balancer, topology, top sources of traffic, top rogue networks conversing to the Application gateway & Load Balancer, and top conversing application protocols.

  • どのサブネットがどの Application Gateway または Load Balancer と会話しているかを把握します。Knowing which subnet is conversing to which Application gateway or Load Balancer. 想定外の会話を見つけた場合は、構成を修正できます。If you observe unexpected conversations, you can correct your configuration.

  • 非承認ネットワークが、Application Gateway または Load Balancer と会話している場合、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。If rogue networks are conversing with an Application gateway or Load Balancer, you are able to correct it by configuring NSG rules to block the rogue networks.

    subnet-topology-showcasing-traffic-distribution-to-a-application-gateway-subnet-with-regards-to-flows

インターネットからのトラフィックを受信するポートと仮想マシンを表示するView ports and virtual machines receiving traffic from the internet

調査項目Look for

  • インターネット経由で会話しているのは開いているどのポートか。Which open ports are conversing over the internet?
    • 想定外のポートが開いていることがわかった場合は、構成を修正できます。If unexpected ports are found open, you can correct your configuration:

      インターネットとの間でトラフィックを送受信するポートを示すダッシュボード

      Azure の宛先ポートとホストの詳細

調査項目Look for

環境に悪意のあるトラフィックはあるか。Do you have malicious traffic in your environment? そのトラフィックの送信元はどこか。Where is it originating from? 宛先はどこか。Where is it destined to?

ログ検索における悪意のあるトラフィック フローの詳細

調査項目Look for

  • フロー分布の比較グラフでは、どの NSG/NSG ルールが最も多くヒットしているか。Which NSG/NSG rules have the most hits in comparative chart with flows distribution?

  • NSG/NSG ルールごとの上位の送信元と宛先の会話ペアはどれか。What are the top source and destination conversation pairs per NSG/NSG rules?

    NSG ヒット数の統計を示すダッシュボード

  • 次の図は、NSG ルールのヒット数の時間的傾向と、ネットワーク セキュリティ グループの送信元と宛先間のフローの詳細を示しています。The following pictures show time trending for hits of NSG rules and source-destination flow details for a network security group:

    • どの NSG および NSG ルールで悪意のあるフローを走査していて、お使いのクラウド環境に最もよくアクセスしている IP アドレスはどれかを迅速に検出するQuickly detect which NSGs and NSG rules are traversing malicious flows and which are the top malicious IP addresses accessing your cloud environment

    • どの NSG/NSG ルールが重大なネットワーク トラフィックを許可/ブロックしているかを特定するIdentify which NSG/NSG rules are allowing/blocking significant network traffic

    • 上位のフィルターを選択して、NSG または NSG ルールをより詳細に検査するSelect top filters for granular inspection of an NSG or NSG rules

      NSG ルールのヒット数の時間的傾向と上位 NSG ルールの表示

      ログ検索における上位 NSG ルールの統計の詳細

よく寄せられる質問Frequently asked questions

よく寄せられる質問とその回答については、トラフィック分析に関する FAQ のページをご覧ください。To get answers to frequently asked questions, see Traffic analytics FAQ.