この記事では、Azure Network Watcher の Traffic Analytics についてよく寄せられる質問への回答を示しました。
Traffic Analytics を使用するために必要な前提条件は何ですか?
必要な前提条件の一覧については、Traffic Analytics の前提条件に関するセクションを参照してください。
必要なロールがあるかどうかを確認するにはどうすればよいですか?
サブスクリプションのユーザーに割り当てられているロールを確認する方法については、「Azure portalを使用して Azure ロールの割り当てを一覧表示する」を参照してください。 ロールの割り当てが表示されない場合は、それぞれのサブスクリプション管理者にお問い合わせください。
ワークスペース リージョンとは異なるリージョンにあるネットワーク セキュリティ グループのフロー ログを有効にできますか?
はい。ネットワーク セキュリティ グループは、Log Analytics ワークスペースのリージョンとは異なるリージョンに存在することができます。
1 つのワークスペース内に複数のネットワーク セキュリティ グループを構成できますか?
はい。
従来のネットワーク セキュリティ グループはサポートされていますか?
いいえ。トラフィック分析では、従来のネットワーク セキュリティ グループはサポートされていません。
トラフィック分析が有効なネットワーク セキュリティ グループのデータがトラフィック分析で表示されないのはなぜですか?
トラフィック分析ダッシュボードのリソース選択ドロップダウンで、仮想マシンやネットワーク セキュリティ グループのリソース グループではなく、Virtual Network リソースのリソース グループを選択する必要があります。
既存のワークスペースを使用できますか?
はい。 既存のワークスペースを選択する場合は、それが新しいクエリ言語に移行されていることを確認してください。 そのワークスペースのアップグレードを望まない場合は、新しいワークスペースを作成する必要があります。 Kusto 照会言語 (KQL) の詳細については、「Azure Monitor でのクエリのログ記録」を参照してください。
自分の Azure ストレージ アカウントと自分の Log Analytics ワークスペースをそれぞれ別のサブスクリプションに置くことができますか?
はい。自分の Azure ストレージ アカウントと自分の Log Analytics ワークスペースをそれぞれ別のサブスクリプションに置くことができます。
ネットワーク セキュリティ グループまたは仮想ネットワークに使用されるサブスクリプションとは異なるサブスクリプションに生ログを格納できますか?
はい。 別のサブスクリプションにあるストレージ アカウントに送信されるようにフロー ログを構成できます。ただし、適切な特権があり、ストレージ アカウントがネットワーク セキュリティ グループ (ネットワーク セキュリティ グループ フロー ログ) または仮想ネットワーク (仮想ネットワーク フロー ログ) と同じリージョンに配置されている必要があります。 宛先ストレージ アカウントは、ネットワーク セキュリティ グループまたは仮想ネットワークと同じ Microsoft Entra テナントを共有している必要があります。
フロー ログ リソースとストレージ アカウントは異なるテナントに配置できますか?
いいえ。 ネットワーク セキュリティ グループ (ネットワーク セキュリティ グループ フロー ログ)、仮想ネットワーク (仮想ネットワーク フロー ログ)、フロー ログ、ストレージ アカウント、Log Analytics ワークスペース (トラフィック分析が有効な場合) を含むすべてのリソースが、同じテナント内にある必要があります。
ストレージ アカウントに対して Log Analytics ワークスペースとは異なるアイテム保持ポリシーを構成できますか?
はい。
フロー ログに使用するストレージ アカウントを削除した場合、Log Analytics ワークスペースに格納されているデータは失われますか?
いいえ。 フロー ログに使用されているストレージ アカウントを削除しても、Log Analytics ワークスペースに格納されているデータは影響を受けません。 Log Analytics ワークスペースで履歴データを表示することはできますが (一部のメトリックは影響を受けます)、別のストレージ アカウントを使用するようにフロー ログを更新するまで、トラフィック分析は追加のフロー ログを処理しなくなります。
"見つかりません" エラーによってトラフィック分析用にネットワーク セキュリティ グループを構成できないとどうなりますか?
サポートされているリージョンを選択します。 サポートされていないリージョンを選択すると、[見つかりません] エラーが表示されます。 詳細については、トラフィック分析のサポートされているリージョンに関するページを参照してください。
フロー ログ ページで "読み込みに失敗しました" という状態が表示される場合はどうすればよいですか?
フロー ログが正しく機能するには、Microsoft.Insights
プロバイダーが登録されている必要があります。 Microsoft.Insights
プロバイダーがサブスクリプションに登録されているかどうかがわからない場合は、Azure portal、PowerShell、または Azure CLI の登録方法に関する手順を参照してください。
ソリューションを構成しました。 ダッシュボードに何も表示されないのはなぜですか?
ダッシュボードでレポートを最初に表示する際は最大で 30 分かかることがあります。 ソリューションで有意義な分析情報を得られるようにするには、まず十分なデータを集計する必要があります。その後でレポートを生成します。
次のメッセージが表示された場合はどうすればよいですか? "選択した時間内のデータがこのワークスペースで見つかりませんでした。 時間間隔を変更してみるか、別のワークスペースを選択してください"。
次の方法を試してください。
- 上部のバーで期間を変更します。
- 上部のバーで別の Log Analytics ワークスペースを選択します。
- 30 分後に Traffic Analytics にアクセスしてみます (最近有効にした場合)。
問題が解決しない場合は、Microsoft Q&A に問題を投稿してください。
次のメッセージが表示された場合はどうすればよいですか? "NSG フロー ログを初めて分析している可能性があります。 This process may take 20-30 minutes to complete. しばらくしてからもう一度確認してください。"
このメッセージは、次の理由で表示される場合があります。
- トラフィック分析が最近有効化され、意味のある分析情報を導出できる十分なデータをまだ集計していない可能性があります。
- 無料版の Log Analytics ワークスペースを使用しており、クォータ制限を超えています。 容量の大きいワークスペースを使用しなければならない可能性があります。
前の質問に対して推奨される解決策をお試しください。 問題が解決しない場合は、Microsoft Q&A に問題を投稿してください。
次のメッセージが表示された場合はどうすればよいですか? "選択したワークスペースに関して存在するのはリソース データ (トポロジ) のみで、フローの情報はない可能性があります。 詳細については、ここをクリックしてリソース データを確認し、FAQ を参照してください。"
ダッシュボードにはリソース情報が表示されていますが、フロー関連の統計がありません。 リソース間の通信フローがないためにデータが示されない可能性があります。 60 分間待ってから、状態を再確認します。 問題が解決せず、リソース間の通信フローが存在することが確実な場合は、Microsoft Q&A に問題を投稿してください。
PowerShell を使用してトラフィック分析を構成できますか?
Windows PowerShell バージョン 6.2.1 以降を使用してトラフィック分析を構成できます。 PowerShell を使用して特定のネットワーク セキュリティ グループのフロー ログとトラフィック分析を構成するには、「ネットワーク セキュリティ グループのフロー ログとトラフィック分析を有効にする」を参照してください。
Azure Resource Manager テンプレートまたは Bicep ファイルを使用してトラフィック分析を構成できますか?
はい。Azure Resource Manager テンプレートまたは Bicep ファイルを使用してトラフィック分析を構成することはできません。 詳細については、「Azure Resource Manager (ARM) テンプレートを使用して NSG フロー ログを構成する」および「Bicep ファイルを使用して NSG フロー ログを構成する」を参照してください。
トラフィック分析はどのように課金されますか?
トラフィック分析が測定されます。 この測定は、サービスによる生フロー ログ データの処理に基づいています。 詳細については、「Network Watcher の価格」を参照してください。
Log Analytics ワークスペース内に取り込まれた拡張ログは、最初の 31 日間 (または、そのワークスペース上で Microsoft Sentinel が有効な場合は 90 日間) まで無料で保持できます。 詳細については、「Azure Monitor の価格」を参照してください。
トラフィック分析ではデータがどのような頻度に処理されますか?
トラフィック分析の既定の処理間隔は 60 分ですが、10 分間隔の高速処理を選択することもできます。 詳細については、トラフィック分析でのデータ集計に関するページを参照してください。
トラフィック分析では悪意のある IP であるかどうかがどのように判断されますか?
トラフィック分析では、Microsoft の内部的な脅威インテリジェンス システムを使って、IP を悪意のあるものと見なします これらのシステムでは、Microsoft の製品とサービス、Microsoft デジタル犯罪対策ユニット (DCU)、Microsoft セキュリティ レスポンス センター (MSRC)、外部フィードなどのさまざまなテレメトリ ソースを活用し、その上に多くのインテリジェンスが構築されます。 このデータの一部は Mircosoft の内部的なものです。 既知の IP に悪意のあることを示すフラグが設定された場合、その詳細を知るにはサポート チケットを発行します。
トラフィック分析のデータに対してアラートを設定するにはどうすればよいですか?
トラフィック分析には、アラートのサポートが組み込まれていない。 ただし、トラフィック分析のデータは Log Analytics に格納されるので、カスタム クエリを作成し、それらに対してアラートを設定することができます。 次の手順に従います。
- トラフィック分析では Log Analytics リンクを使用できます。
- トラフィック分析スキーマを使用してクエリを記述します。
- [+ 新しいアラート ルール] を選択してアラートを作成します。
- [新しいアラート ルールの作成] をクリックして、アラートを作成します。
受信するオンプレミス トラフィックが多い仮想マシンを確認するにはどうすればよいですか?
次のクエリを使用します。
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
IP の場合、次のクエリを使用できます。
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
時刻には、yyyy-mm-dd 00:00:00 の形式を使用します。
自分の仮想マシンがオンプレミスのマシンから受信したトラフィックの標準偏差を確認するにはどうすればよいですか?
次のクエリを使用します。
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
IP の場合:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
NSG ルールを使用して IP ペア間で到達可能な (またはブロックされた) ポートを確認するにはどうすればよいですか?
次のクエリを使用します。
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
geo マップ ビューでキーボードを使用して操作するにはどうすればよいですか?
geo マップ ページには主に次の 2 つのセクションがあります。
- バナー: geo マップの上部のバナーには、トラフィック分布フィルター (たとえば、[デプロイ]、[国/地域からのトラフィック]、[悪意のある] など) を選択するボタンがあります。 ボタンを選択すると、それに対応するフィルターがマップに適用されます。 たとえば、[アクティブ] ボタンを選択すると、マップでデプロイ内のアクティブなデータセンターが強調表示されます。
- マップ: バナーの下にある [マップ] セクションには、Azure のデータセンターや各国/リージョンのトラフィック分布が表示されます。
バナーでのキーボード ナビゲーション
- 既定では、バナーについて geo マップ ページで選択されているのは [Azure DC] フィルターです。
- 別のフィルターに移動するには、
Tab
またはRight arrow
キーを使用します。 戻るには、Shift+Tab
またはLeft arrow
キーを使用します。 前方の移動は、左から右、次に上から下の順になります。 Enter
またはDown
方向キーを押して、選択したフィルターを適用します。 フィルターの選択とデプロイに基づいて、[マップ] セクションの 1 つまたは複数のノードが強調表示されます。- バナーとマップを切り替えるには、
Ctrl+F6
を押します。
マップでのキーボード ナビゲーション
- バナーでフィルターを選択してから
Ctrl+F6
を押すと、マップ ビューで強調されたノードの 1 つ (Azure データセンターまたは国/リージョン) にフォーカスが移動します。 - マップ内の他の強調表示されたノードに移動するには、前方移動に
Tab
キーまたはRight arrow
キーを使用します。 後方移動には、Shift+Tab
キーまたはLeft arrow
キーを使用します。 - マップ内で強調表示されたノードを選択するには、
Enter
キーまたはDown arrow
キーを使用します。 - そのようなノードを選択すると、そのノードの [Information Tool Box](情報ツール ボックス) にフォーカスが移動します。 既定では、 [Information Tool Box](情報ツール ボックス) の [閉じる] ボタンにフォーカスが移動します。 [ボックス] ビュー内で移動する際は、前方には
Right arrow
キー、後方にはLeft arrow
キーを使用します。Enter
を押すと、 [Information Tool Box](情報ツール ボックス) でフォーカスがあるボタンを選択したのと同じ効果があります。 - [Information Tool Box](情報ツール ボックス) にフォーカスがあるときに
Tab
を押すと、フォーカスは、選択したノードと同じ大陸のエンドポイントに移動します。Right arrow
キーとLeft arrow
キーを使用して、これらのエンドポイント間を移動できます。 - 他のフロー エンドポイントまたは大陸クラスターに移動するには、前方移動では
Tab
、後方移動ではShift+Tab
を使用します。 - フォーカスが大陸クラスターにある場合は、
Enter
またはDown
方向キーを使用して、大陸クラスター内のエンドポイントを強調表示します。 大陸クラスターのエンドポイントと情報ボックスの [閉じる] ボタンを移動するには、前方移動ではRight arrow
キー、後方移動ではLeft arrow
キーをそれぞれ使用します。 任意のエンドポイントで、Shift+L
を使用すると、選択したノードからエンドポイントへの接続線に切り替えることができます。 もう一度Shift+L
を押して、選択したエンドポイントに移動できます。
任意の段階のキーボード ナビゲーション
Esc
キーを押すと、展開された選択範囲が折りたたまれます。Up-arrow
キーはEsc
と同じ動作を実行します。Down arrow
キーはEnter
と同じ動作を実行します。Shift+Plus
を使用して拡大、Shift+Minus
を使用して縮小します。
仮想ネットワーク トポロジ ビューでキーボードを使用して操作するにはどうすればよいですか?
仮想ネットワーク トポロジ ページには、主に 2 つのセクションがあります。
- バナー: 仮想ネットワーク トポロジの上部バナーには、トラフィック分布フィルター (たとえば、接続された仮想ネットワーク、切断された仮想ネットワーク、パブリック IP など) を選択するボタンがあります。 ボタンを選択すると、それに対応するフィルターがトポロジに適用されます。 たとえば、[アクティブ] ボタンを選択すると、マップでデプロイ内のアクティブな仮想ネットワークが強調表示されます。
- トポロジ:バナーの下の [トポロジ] セクションには、仮想ネットワーク全体でのトラフィック分布が表示されます。
バナーでのキーボード ナビゲーション
- 既定では、バナーの仮想ネットワーク トポロジ ページでの選択は、[接続された VNet] フィルターです。
- 別のフィルターに移動する場合、前方に移動するには
Tab
キーを使用します。 後方に移動するには、Shift+Tab
キーを使用します。 前方の移動は、左から右、次に上から下の順になります。 - 選択したフィルターを適用するには、
Enter
を押します。 フィルターの選択とデプロイに基づいて、[トポロジ] セクションの 1 つまたは複数のノード (仮想ネットワーク) が強調表示されます。 - バナーとトポロジーを切り替えるには、
Ctrl+F6
を押します。
トポロジでのキーボード ナビゲーション
- バナーでフィルターを選択してから
Ctrl+F6
を押すと、トポロジ ビューで強調されたノードの 1 つ (VNet) にフォーカスが移動します。 - トポロジ ビュー内の他の強調表示されたノードに移動するには、
Shift+Right arrow
キーを使用して前方に移動します。 - 強調表示されたノードの [Information Tool Box](情報ツール ボックス) にフォーカスが移動します。 既定では、 [Information Tool Box](情報ツール ボックス) の [詳細] ボタンにフォーカスが移動します。 [ボックス] ビュー内で移動する場合、前方には
Right arrow
キー、後方にはLeft arrow
キーを使用します。Enter
を押すと、 [Information Tool Box](情報ツール ボックス) でフォーカスがあるボタンを選択したのと同じ効果があります。 - このようなノードを選択する際は、
Shift+Left arrow
キーを押して、すべての接続に 1 つずつアクセスできます。 フォーカスはその接続の [Information Tool Box](情報ツール ボックス) に移動します。 いずれの時点でも、Shift+Right arrow
を再度押して、フォーカスをノードに戻すことができます。
サブネット トポロジ ビューでキーボードを使用して操作するにはどうすればよいですか?
仮想サブネットワーク トポロジ ページには、主に 2 つのセクションがあります。
- バナー: 仮想サブネット ネットワーク トポロジの上部のバナーには、トラフィック分布フィルター (たとえば、アクティブ、中、ゲートウェイのサブネットなど) を選択するボタンがあります。 ボタンを選択すると、それに対応するフィルターがトポロジに適用されます。 たとえば、[アクティブ] ボタンを選択すると、マップでデプロイ内のアクティブな仮想サブネットワークが強調表示されます。
- トポロジ:バナーの下の [トポロジ] セクションには、仮想サブネットワーク全体でのトラフィック分布が表示されます。
バナーでのキーボード ナビゲーション
- 既定では、バナーの仮想サブネットワーク トポロジ ページでの選択は、[サブネット] フィルターです。
- 別のフィルターに移動する場合、前方に移動するには
Tab
キーを使用します。 後方に移動するには、Shift+Tab
キーを使用します。 前方の移動は、左から右、次に上から下の順になります。 - 選択したフィルターを適用するには、
Enter
を押します。 フィルターの選択とデプロイに基づいて、[トポロジ] セクションの 1 つまたは複数のノード (サブネット) が強調表示されます。 - バナーとトポロジーを切り替えるには、
Ctrl+F6
を押します。
トポロジでのキーボード ナビゲーション
- バナーでフィルターを選択してから
Ctrl+F6
を押すと、トポロジ ビューで強調されたノードの 1 つ (サブネット) にフォーカスが移動します。 - トポロジ ビュー内の他の強調表示されたノードに移動するには、
Shift+Right arrow
キーを使用して前方に移動します。 - 強調表示されたノードの [Information Tool Box](情報ツール ボックス) にフォーカスが移動します。 既定では、 [Information Tool Box](情報ツール ボックス) の [詳細] ボタンにフォーカスが移動します。 [ボックス] ビュー内で移動する際は、前方には
Right arrow
キー、後方にはLeft arrow
キーを使用します。Enter
を押すと、 [Information Tool Box](情報ツール ボックス) でフォーカスがあるボタンを選択したのと同じ効果があります。 - このようなノードを選択する際は、
Shift+Left arrow
キーを押して、すべての接続に 1 つずつアクセスできます。 フォーカスはその接続の [Information Tool Box](情報ツール ボックス) に移動します。 いずれの時点でも、Shift+Right arrow
を再度押して、フォーカスをノードに戻すことができます。