次の方法で共有


ネットワーク セキュリティ グループ フロー ログから仮想ネットワーク フロー ログに移行する

重要

2027 年 9 月 30 日にネットワーク セキュリティ グループ (NSG) フロー ログは廃止されます。 この提供終了の一環として、2025 年 6 月 30 日以降新しい NSG フロー ログを作成できなくなります。 NSG フロー ログの制限を克服するために、仮想ネットワーク フロー ログ移行することをお勧めします。 提供終了日を過ぎると、NSG フロー ログで有効になっているトラフィック分析がサポートされなくなり、サブスクリプション内の既存の NSG フロー ログ リソースが削除されます。 ただし、NSG フロー ログのレコードは削除されず、引き続きそれぞれのアイテム保持ポリシーに従います。 詳細については、公式告知を参照してください。

この記事では、移行スクリプトを使用して、既存のネットワーク セキュリティ グループ フロー ログを仮想ネットワーク フロー ログに移行する方法について説明します。 仮想ネットワーク フロー ログは、ネットワーク セキュリティ グループ フロー ログの制限の一部を克服します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。

Note

移行スクリプトを使用する:

  • 仮想ネットワーク内のすべてのネットワーク インターフェイスまたはサブネットでフロー ログが有効になっていないときに、それらのすべてに対して仮想ネットワーク フロー のログ記録を有効にしたくない場合、または
  • 仮想ネットワーク内のネットワーク セキュリティ グループ フロー ログの構成が異なり、ネットワーク セキュリティ グループ フロー ログとして構成が異なる仮想ネットワーク フロー ログを作成する場合。

Azure Policy を使用する:

  • 同じネットワーク セキュリティ グループが仮想ネットワーク内のすべてのネットワーク インターフェイスまたはサブネットに適用されている場合、
  • 仮想ネットワーク内のすべてのネットワーク インターフェイスまたはサブネットに対して同じネットワーク セキュリティ グループ フロー ログ構成がある場合、または
  • 仮想ネットワーク レベルで仮想ネットワーク フローのログ記録を有効にする場合。

詳細については、「組み込みポリシーを使用して仮想ネットワーク フロー ログをデプロイして構成する」を参照してください。

前提条件

移行スクリプトを生成する

このセクションでは、移行するネットワーク セキュリティ グループ フロー ログの移行ファイルを生成およびダウンロードする方法について説明します。

  1. ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から [Network Watcher] を選択します。

    Azure portal で Network Watcher を検索する方法を示すスクリーンショット。

  2. [ログ][フロー ログの移行] を選びます。

    Azure portal のネットワーク セキュリティ グループ フロー ログの移行ページを示すスクリーンショット。

  3. 移行するネットワーク セキュリティ グループ フロー ログを含むサブスクリプションを選択します。

  4. サブスクリプションごとに、移行するフロー ログが含まれるリージョンを選びます。 [NSG フロー ログの合計数] には、選んだサブスクリプションに含まれるフロー ログの合計数が表示されます。 [選択されている NSG フロー ログ] には、選んだリージョンのフロー ログ数が表示されます。

  5. サブスクリプションとリージョンを選んだら、[スクリプトと JSON ファイルのダウンロード] を選び、移行ファイルを zip ファイル形式でダウンロードします。

    Azure portal で移行スクリプトを生成する方法を示すスクリーンショット。

  6. ローカル コンピューターで MigrateFlowLogs.zip ファイルを抽出します。 zip ファイルには次の 2 つのファイルが含まれています。

    • スクリプト ファイル: MigrationFromNsgToAzureFlowLogging.ps1
    • JSON ファイル: RegionSubscriptionConfig.json

移行スクリプトを実行する

このセクションでは、前のセクションでダウンロードしたスクリプト ファイルを使用してネットワーク セキュリティ グループ フロー ログを移行する方法について説明します。

重要

スクリプトの実行を開始したら、移行するフロー ログのリージョンとサブスクリプションのトポロジに変更を加えることはできません。

  1. MigrationFromNsgToAzureFlowLogging.ps1 スクリプト ファイルを実行します。

  2. [分析の実行] オプションに「1」と入力します。

    .\MigrationFromNsgToAzureFlowLogging.ps1
    
    Select one of the following options for flowlog migration:
    1. Run analysis
    2. Delete NSG flowlogs
    3. Quit
    
  3. JSON ファイル名を入力します。

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
    
  4. スレッドの数を入力するか、空白のままにして既定値の 16 を使用します。

    Please enter the number of threads you would like to use, press enter for using default value of 16:    
    

    分析が完了すると、画面上と、移行ファイルと同じディレクトリにある HTML ファイルで分析レポートを確認できます。 このレポートには、無効になるネットワーク セキュリティ グループ フロー ログ数と、それらを置き換えるために作成される仮想ネットワーク フロー ログ数が記載されます。 作成される仮想ネットワーク フロー ログの数は、選択した移行の種類によって異なります。 たとえば、フロー ログを移行するネットワーク セキュリティ グループが同じ仮想ネットワーク内の 3 つのネットワーク インターフェイスに関連付けられている場合は、集計ありの移行を選択して 1 つの仮想ネットワーク フロー ログ リソースを仮想ネットワークに適用することができます。 また、集計なしの移行を選択し、3 つの仮想ネットワーク フロー ログ (ネットワーク インターフェイスごとに 1 つの仮想ネットワーク フロー ログ リソース) を持つこともできます。

    Note

    実行した分析の完全なレポートについては、AnalysisReport-<subscriptionId>-<region>-<time>.html ファイルを参照してください。 このファイルは、スクリプトの同じディレクトリにあります。

  5. 2」または「3」と入力して、実行する移行の種類を選びます。

    Select one of the following options for flowlog migration:
    1. Re-Run analysis
    2. Proceed with migration with aggregation
    3. Proceed with migration without aggregation
    4. Quit
    
  6. 画面に移行の概要が表示された後で、移行を取り消して変更を元に戻すことができます。 移行を受け入れて続行するには、「n」と入力します。それ以外の場合は、「y」と入力します。 変更を受け入れると、元に戻すことはできません。

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
    

    Note

    移行に問題が発生した場合に備えて、スクリプトおよび分析レポート ファイルを参照用に保管してください。

  7. 移行したネットワーク セキュリティ グループ フロー ログの状態が無効になったことを Azure portal で確認します。 移行プロセスの結果として、新しく作成された仮想ネットワーク フロー ログも確認します。

    ネットワーク セキュリティ グループ フロー ログからの移行の結果として新しく作成された仮想ネットワーク フロー ログを示すスクリーンショット。

  8. 選択したサブスクリプションとリージョンからのネットワーク セキュリティ グループ フロー ログのみを一覧表示するフィルターを追加します。 少数のネットワーク セキュリティ グループ フロー ログのみを移行した場合は、この手順をスキップできます。

    フィルターを使用してネットワーク セキュリティ グループ のフロー ログのみを一覧表示する方法を示すスクリーンショット。

  9. 削除したいフロー ログを選択した後、[削除] を選択します

    移行されたネットワーク セキュリティ グループ フロー ログを選択して削除する方法を示すスクリーンショット。

  10. [削除] を入力し、[削除] を選択して削除を確定します。

    移行されたフロー ログの削除を確認する方法を示すスクリーンショット。

考慮事項

  • ロード バランサーを使用してスケール セットをする: 移行スクリプトでは、スケール セット仮想マシンを持つサブネットで仮想ネットワーク フローのログ記録を有効にします。

    Note

    スケール セットのすべてのネットワーク インターフェイスでネットワーク セキュリティ グループ フロー ログが有効になっていない場合、またはネットワーク インターフェイスが同じネットワーク セキュリティ グループ フロー ログを共有していない場合は、スケール セットのネットワーク インターフェイスの 1 つと同じ構成の仮想ネットワーク フロー ログがサブネットに作成されます。

  • PaaS: 移行スクリプトでは、ユーザーのサブスクリプションにネットワーク セキュリティ グループ フロー ログがあるが、ターゲット リソースが異なるサブスクリプションにある PaaS ソリューションを使用する環境はサポートされていません。 このような環境では、PaaS ソリューションの仮想ネットワークまたはサブネットで仮想ネットワーク フローのログ記録を手動で有効にする必要があります。