Azure Network Watcher を使用してネットワークを監視する
Azure Network Watcher
Azure Network Watcher は、ネットワーク状況を監視および診断できるリージョン サービスです。 監視により、エンドツーエンドのネットワーク レベル ビューで問題を診断できます。 Network Watcher に搭載されているネットワークの診断および監視ツールを使用して、Azure 内のネットワークを把握および診断し、洞察を得ることができます。 Network Watcher は、Virtual Machines、Virtual Networks、アプリケーション ゲートウェイ、ロード バランサーなど、IaaS 製品のネットワーク正常性を監視して修復するように設計されています。
Azure Network Watcher のシナリオの例
- パケット キャプチャを使ってリモート ネットワーク監視を自動化する。 Network Watcher を使用すると、仮想マシン (VM) にログインすることなくネットワークの問題を監視して診断できます。 アラートを設定することでパケット キャプチャをトリガーし、パケット レベルでリアルタイムのパフォーマンス情報にアクセスできます。 問題が見つかった場合は、詳細を調査して、より適切な診断を行うことができます。
- フロー ログを使用して、ネットワーク トラフィックの分析情報を取得します。 ネットワーク セキュリティ グループのフロー ログにより、ネットワーク トラフィックのパターンをより深く把握できます。 フロー ログから得られた情報をもとに、コンプライアンスに関するデータを収集し、ネットワークのセキュリティ プロファイルを監査、監視できます。
- VPN 接続の問題を診断する。 Network Watcher には、最も一般的な VPN Gateway と接続の問題を診断する機能が備えられています。 問題を識別し、さらに調査するために詳細なログを使用できるようになります。
Azure Network Watcher ツール
ネットワーク トポロジ。 トポロジ機能では、仮想ネットワーク内のリソースと、リソース間の関係を示す図を生成できます。
IP フローを確認します。 インターネットとの接続の問題、およびオンプレミス環境との接続の問題を迅速に診断します。 たとえば、仮想マシンとの間のイングレスまたはエグレス トラフィックが、セキュリティ規則によってブロックされているかどうかを確認します。 IP フロー検証は、セキュリティ規則が正しく適用されていることを確認するのに最適です。
[Next Hop]\(次ホップ\)。 次のホップを表示して、トラフィックが目的の宛先に送信されているかどうかを判断します。 この情報は、ネットワーク ルーティングが正しく構成されているかどうかを判断するのに役立ちます。 状況に応じて、ネクスト ホップは、インターネット、仮想アプライアンス、仮想ネットワーク ゲートウェイ、VNet ローカル、VNet ピアリング、またはなしのいずれかになります。 なしの場合は、宛先への有効なシステム ルートが存在する場合でも、トラフィックを宛先にルーティングするためのネクスト ホップが存在しないことがわかります。
有効なセキュリティ規則。 ネットワーク セキュリティ グループは、サブネット レベルまたは NIC レベルで関連付けられています。 [有効なセキュリティ規則] ビューは、仮想マシンに関連付けられたすべての構成済み NSG および規則を返します。 有効なセキュリティ規則ビューを使用することで、開いているポートなどのネットワークの脆弱性について VM を評価できます。
VPN 診断。 VPN 診断は、ゲートウェイと接続のトラブルシューティングに役立つ豊富な情報を返します。 概要情報には、接続の統計情報、CPU とメモリの情報、IKE のセキュリティ エラー、パケットのドロップ、バッファーとイベントが含まれます。
パケット キャプチャ。 パケット キャプチャを使用すると、仮想マシンとの間で送受信されるトラフィックを追跡するセッションをキャプチャできます。 パケット キャプチャは、事後と事前に、ネットワークの異常を診断するのに役立ちます。 その他の用途には、ネットワーク統計の収集、ネットワークへの侵入に関する情報の取得、クライアント サーバー間の通信のデバッグなどがあります。
接続のトラブルシューティング。 Azure Network Watcher の接続のトラブルシューティングは、ネットワーク ツールと機能の Network Watcher スイートに最近追加されたものです。 接続のトラブルシューティングでは、接続に関する問題のトラブルシューティングに役立つネットワークのパフォーマンス データが提供されます。
NSG フロー ログ。 NSG フロー ログでは、ネットワーク セキュリティ グループを使用して IP トラフィックをマッピングします。 NSG フロー ログの一般的なユース ケースは次のとおりです。
- ネットワーク監視。 不明または不要なトラフィックを特定します。 トラフィック レベルと帯域幅の消費を監視します。 アプリケーションの動作を把握するために、フロー ログを IP およびポートでフィルター処理します。 監視用ダッシュボードを設定するために、選択した分析および視覚化ツールにフロー ログをエクスポートします。
- 使用状況の監視と最適化。 ネットワークのトップ トーカーを特定します。 その他のデータと組み合わせて、リージョン間のトラフィックを識別します。 容量の予測用にトラフィックの増加について把握します。 データを使用して、明らかに制限の厳しいトラフィック規則を削除します。
- コンプライアンス。 フロー データを使用して、ネットワークの分離とエンタープライズ アクセス規則への準拠を確認します。
- ネットワーク フォレンジクスとセキュリティ分析。 侵害された IP とネットワーク インターフェイスからのネットワーク フローを分析します。 選択した SIEM または IDS ツールにフロー ログをエクスポートします。
接続モニターの概要
接続モニターを使用すると、Azure Network Watcher で、統合されたエンド ツー エンドの接続監視が提供されます。 接続モニターの機能では、ハイブリッド デプロイと Azure クラウド デプロイがサポートされています。 Network Watcher には、Azure のデプロイに対する接続に関連したメトリックを監視、診断、表示するためのツールが用意されています。
以下に、接続モニターの利点をいくつか示します。
- Azure とハイブリッドの監視のニーズに対応した、統合された直感的なエクスペリエンス。
- クロス リージョン、クロス ワークスペースの接続の監視。
- プローブ頻度の増加、およびネットワーク パフォーマンスの可視性の向上。
- ハイブリッド デプロイでのアラートの高速化。
- HTTP、TCP、ICMP に基づく接続チェックのサポート。
- Azure と Azure 以外のテストのセットアップに対するメトリックと Log Analytics のサポート。
以下に、接続モニターのいくつかのユース ケースを示します。
- フロントエンド Web サーバー VM と、多層アプリケーション内のデータベース サーバー VM が通信している。 2 つの VM 間のネットワーク接続を確認したい。
- 米国東部リージョンの VM から、米国中部リージョンの VM に ping を実行して、リージョン間のネットワーク待ち時間を比較したい。
- ワシントン州シアトルと、バージニア州アッシュバーンに複数のオンプレミス オフィス サイトがある。 オフィス サイトは Microsoft 365 の URL に接続している。 Microsoft 365 URL のユーザーについて、シアトルとアッシュバーンの間で待機時間を比較する。
- ハイブリッド アプリケーションで Azure Storage エンドポイントに接続する必要がある。 オンプレミスのサイトと Azure アプリケーションは、同じ Azure Storage エンドポイントに接続する。 オンプレミス サイトの待機時間と、Azure アプリケーションの待機時間を比較したい。
- オンプレミスのセットアップと、クラウド アプリケーションがホストされている Azure VM 間の接続を確認したい。
接続モニターのコンポーネント
接続モニターには、主に次のコンポーネントがあります。
- 接続モニター リソース – リージョン固有の Azure リソース。 以下のすべてのエンティティが、接続モニター リソースのプロパティです。
- エンドポイント –接続チェックに含まれるソースまたはターゲット。 エンドポイントの例としては、Azure VM、オンプレミスのエージェント、URL、IP などがあります。
- テスト構成 – テスト用のプロトコル固有の構成。 選択したプロトコルに基づいて、ポート、しきい値、テストの頻度、その他のパラメーターを定義できます。
- テスト グループ – ソース エンドポイント、ターゲット エンドポイント、テスト構成が含まれるグループ。 接続モニターには、複数のテスト グループを含めることができます。
- テスト – ソース エンドポイント、ターゲット エンドポイント、テスト構成の組み合わせ。 テストは、監視データを入手できる最も小さいレベルです。 監視データには、失敗したチェックの割合と、ラウンドトリップ時間 (RTT) が含まれます。
Traffic Analytics
Traffic Analytics は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 Traffic Analytics では、Network Watcher ネットワーク セキュリティ グループ (NSG) フロー ログを分析して、Azure クラウド内のトラフィック フローに関する分析情報を提供し、NSG フロー ログに書き込まれたデータの高度な視覚化を提供します。
Traffic Analytics を使用すると、次のことが可能になります。
- Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホットスポットを特定する。
- 開いているポート、インターネット にアクセスしようとしているアプリケーション、承認されていないネットワークに接続している仮想マシン (VM) などの情報を使用して、ネットワークに対するセキュリティの脅威を特定し、ネットワークをセキュリティで保護する。
- Azure リージョンとインターネットの間のトラフィック フロー パターンを決定します。
- ネットワークでの接続の失敗の原因となるネットワークの構成の誤りを特定する。
Traffic Analytics のしくみ
トラフィック解析は、生の NSG フロー ログを確認します。 生ログは集計され、強化されます。 強化されるのは、地理情報、セキュリティ情報、トポロジ情報などです。 情報は Log Analytics ワークスペースに格納され、分析に利用できます。 次の図にデータ フローを示します。
このスクリーンショットは、Traffic Analytics ダッシュボードを示しています。