Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

トップ > Azure > Azure Network Watcher の仮想ネットワークフローログを利用してみよう!

Azure Network Watcher の仮想ネットワークフローログを利用してみよう!

Azure Tips

はじめに

こんにちは!最近日照時間が長くなってきて、日の明るい時間が多くてうれしいやしきんです🌞
2025年最初のブログは何にしようか考えていましたが、検証のために触る機会があった、仮想ネットワークフローログについて書こうと思います。

仮想ネットワークフローログとは

仮想ネットワークフローログは Azure Network Watcher の機能の一部です。
仮想ネットワークフローログを利用すると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。

Azure Network Watcher は Azure の IaaSリソースである仮想マシンや仮想ネットワークなどにおける正常性を監視したり、修復をすることが出来ます。
learn.microsoft.com

NSGフローログの廃止

以下のドキュメントにも記載の通り、NSG フローログは2027 年 9 月 30 日に廃止になる予定です。
そのため、NSG フローログは2025年6月30日以降新規作成できなくなります。
NSG フローログの移行先としても仮想ネットワークフローログが挙げられているため、現在 NSG フローログを利用されている方は早めに仮想ネットワークフローログ等に移行しましょう。

NSG フロー ログの概要 - Azure Network Watcher | Microsoft Learn

仮想ネットワークフローログの利用方法

ここからは、実際に仮想ネットワークフローログを利用するためのリソース作成や設定について紹介をします。
仮想ネットワークフローログの利用手順については、以下の記事を参考にしています。

learn.microsoft.com

事前準備

仮想ネットワークフローログを有効化する前に、以下の事前準備が必要です。

Insights プロバイダーの登録

初めに、仮想ネットワークフローログを利用するために「Insights プロバイダーの登録」が必要になります。
Insights プロバイダーの登録方法は、以下のキャプチャのように「サブスクリプション」→「リソースプロバイダー」にアクセスして、「microsoft.Insights 」の項目が登録されていることを確認します。

ストレージアカウントの作成

仮想ネットワークフローログを利用するには、フローログを保存するためにストレージアカウントが必要になります。
そのため、フローログ保存用にストレージアカウントを作成しましょう。

VNETの作成

仮想ネットワークフローログは仮想ネットワークを通過するIPトラフィック等を集計しますので、集計元のVNETが必要になります。
新たに検証用として VNET を作成するか、既に作成している VNET を利用するようにしましょう。

LogAnalyticsワークスペースの作成

仮想ネットワークフローログを利用するには、LogAnalytics ワークスペースを作成する必要があります。 こちらもネットワークフローログを有効化する前に作成しておきましょう。

Azure Network Watcher の有効化

仮想ネットワークフローログは Azure Network Watcher の機能の一部ですので、利用する前に Azure Network Watcher を有効化する必要があります。
作成したVNETのリージョンに対して Azure Network Watcher を有効化するようにしましょう。
詳細は以下のドキュメントで確認できます。

learn.microsoft.com

仮想ネットワークフローログの有効化手順

事前準備が整いましたら仮想ネットワークフローログの有効化を行います。

フローログの作成

Azure Portalで「Network Watcher」→「ログ」→「フローログ」の画面に飛んでフローログの作成を選択します。

フローログのタイプを「仮想ネットワーク」で選択します。 また、ターゲットリソースには事前準備で用意したVNETを選択しましょう。

フローログを作成することで、仮想ネットワークフローログの有効化ができます。

仮想ネットワークフローログの検索方法

仮想ネットワークフローログの有効化が完了すると、LogAnalytics ワークスペースで仮想ネットワークフローログの参照を行うことができます。
ただし、有効化されて LogAnalytics ワークスペースに仮想ネットワークフローログのデータが反映するまでは30分程度時間がかかるので、すぐに反映されないことに注意しましょう。

learn.microsoft.com

今回はLogAnalyticsに追加される「NTANetAnalytics」のテーブルを指定してトラフィック量の集計を行いました。
以下のキャプチャのようにKQLを利用して集計することができます。

ここでは、仮想ネットワークフローログを利用したトラフィック量の集計例について示します。

  1. ソースIPと宛先IPを指定して過去1か月間のトラフィック量を集計する

  2. KQLの例

NTANetAnalytics
| where DestIp == "YOUR_DEST_IP"
| where SrcPublicIps contains "YOUR_SORCE_IP"
| where TimeGenerated >= ago(30d)
| summarize TotalBytes = sum(BytesDestToSrc + BytesSrcToDest)
  • 検索結果
TotalBytes
1456

  1. 過去48時間のデータを取得し、BytesDestToSrc と BytesSrcToDest を合計して、1時間ごとのトラフィック量を集計する

  2. KQL例

NTANetAnalytics
| where TimeGenerated >= ago(48h)
| summarize TotalBytes = sum(BytesDestToSrc + BytesSrcToDest) by bin(TimeGenerated, 1h)
| order by TimeGenerated asc
  • 検索結果
"TimeGenerated [UTC]",TotalBytes
"2024/12/20 7:00:00.000",77709632

さらに詳しい属性などを確認したい場合は、以下のドキュメントをご覧ください。

learn.microsoft.com

終わりに

今回は Azure Network Watcher の機能である「仮想ネットワークフローログ」について検証を行いました。
これから仮想ネットワークフローログを利用される方や、NSGフローログからの移行を行おうと考えている方は、是非今回の記事を参考に仮想ネットワークフローログを利用してみてください🌟

サービス一覧 www.alterbooth.com cloudpointer.tech www.alterbooth.com