Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

トップ > Azure > NSGフローログをVNETフローログに移行しよう!

NSGフローログをVNETフローログに移行しよう!

Azure

はじめに

こんにちは!そろそろ暑くなってきて衣替えを検討しているやしきんです🔥

今日はNSGフローログの廃止に伴い、VNETフローログへの移行をするための手順について解説します!
VNETフローログについては、詳しいログの検索方法等をまとめたブログ投稿していますので、もしよろしければご覧ください😄

aadojo.alterbooth.com

NSGフローログの廃止

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フロー ログは廃止されます。 この提供終了の一環として、2025 年 6 月 30 日以降新しい NSG フロー ログを作成できなくなります。 NSG フロー ログの制限を克服するために、仮想ネットワーク フロー ログに移行することをお勧めします。 提供終了日を過ぎると、NSG フロー ログで有効になっているトラフィック分析がサポートされなくなり、サブスクリプション内の既存の NSG フロー ログ リソースが削除されます。 ただし、NSG フロー ログのレコードは削除されず、引き続きそれぞれのアイテム保持ポリシーに従います。 詳細については、公式告知を参照してください。

learn.microsoft.com

Microsoft Learnにも記載の通り、NSGフローログは2027年の9月30日に廃止になります。

また、2025 年 6 月 30 日以降はNSGフローログが新規作成できなくなるため、代わりのサービスとしてこちらもVNETフローログを利用することが推奨されています。

そのため、これから新規でNSGフローログを利用される方はVNETフローログを利用するようにしましょう👍
また、現在NSGフローログを利用されている方はVNETフローログへの移行を早めに実施するようにしましょう!

移行手順

ここからはNSGフローログからVNETフローログに移行される方向けに移行手順について解説します。

移行については以下のドキュメント、サイトを参考にしています。

learn.microsoft.com

jpaztech.github.io

①フローログ移行用のスクリプトをダウンロードする

Network Watcher > フローログの移行を選択すると、以下のキャプチャのような画面が表示されます。
移行したいフローログが存在するリージョンを選択し、「スクリプトとJSONファイルをダウンロードする」を選択します。
スクリプトファイルのMigrationFromNsgToAzureFlowLogging.ps1と、JSON ファイルのRegionSubscriptionConfig.jsonがダウンロードされていることを確認してください。

②スクリプトファイルを実行してフローログを移行する

ダウンロードしたファイルを利用して、フローログを移行します。

ターミナルで以下のように入力し、移行用のスクリプトファイルを実行します。

.\MigrationFromNsgToAzureFlowLogging.ps1

その後、スクリプトファイルが実行されます。移行中にまず「分析の実行」というセクションで以下の項目を選択する部分がありますので、「1」を入力してください。

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit
: 1

次に、移行に利用するJSONファイルを入力する部分がありますので、先ほど ダウンロードしたJSONファイルのファイル名を入力してください。

Please enter the path to scope selecting config file:: RegionSubscriptionConfig.json

その後、スレッドの数を入力というセクションに移ります。ここでは空白か既定の値である「16」を入力してください。

Please enter the number of threads you would like to use, press enter for using default value of 16:: 16

続いて、移行時のフローログについて「集約あり」で移行するか「集約なし」で移行するオプションを選択できます。

「集約あり」を選択する場合、例えば複数のNICやサブネットごとに作成されているNSGフローログを1つのVNETフローログとして移行することができます。
「集約なし」を選択する場合、例えば複数のNICやサブネットごとに作成されているNSGフローログを1つにまとめずにもとの数通りにVNETフローログとして移行することができます。

尚、集約ありで移行を行う場合は、集約をしたいNSGフローログごとに別々に設定されているLogAnalyticsワークスペースとストレージアカウントについて、事前に全て同じLogAnalyticsワークスペースとストレージアカウントに紐づくように設定してから、移行を行う必要がありますので注意してください。

集約ありの場合は「2」を、集約なしの場合は「3」を入力して移行を進めます。

Select a tenant and subscription (type a number or Enter to accept default): 3

最後に、移行を取り消して変更を元に戻すか選択するセクションが出てきます。 そのまま、移行を進めるには、「n」を入力してください。移行を取り消す等の場合は、「y」と入力します。

Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

移行できていることを確認

移行後、Azure PortalでNSGフローログが無効化されていることと、VNETフローログが有効化されていることを確認します。
今回は集約なしで移行しているため、NSGフローログそれぞれにVNETフローログが作成されるようになっています。

集約ありで移行した場合は以下のキャプチャのようにひとまとまりになったVNETフローログが有効化されていることを確認できます。

尚、移行したVNETフローログに紐づいているLogAnalyticsワークスペースとストレージアカウントは元のNSGフローログに紐づいていたものを引き継いで利用する形になります。
そのためNSGフローログを削除しても元のデータが消えるわけではないため、無効化したNSGフローログは削除しましょう。

終わりに

今回はNSGフローログからVNETフローログへの移行手順について解説しました。
まだ、NSGフローログからVNETフローログに移行されていないかたは是非こちらのブログを参考にして早めに移行を行ってみてください🌟

サービス一覧 www.alterbooth.com cloudpointer.tech www.alterbooth.com