NSGフローログの設定方法と確認方法

こんにちはDXソリューション統括部の村松です。

今回はNSGフローログの設定方法とその確認方法をご紹介したいと思います。NSGフローログはNSGを使用したIPトラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。
NSGフローログは、Azure Storage(Blob)に保存されます。

[設定の流れ]

1.Network Watcher を有効にする
2.Insights プロバイダーの登録
3.ストレージアカウントの作成
4.NSGフローログの有効化

[設定手順]

1.Network Watcher を有効にする

※サブスクリプションで仮想ネットワークを作成したり更新したりすると、既定でお使いの仮想ネットワークのリージョンでNetwork Watcher が自動的に有効になります。その場合はこちらの手順はスキップして問題ありません。
<Network Watcher は自動的に有効になります>
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-create#network-watcher-is-automatically-enabled

1-1.Azure Portalから「すべてのサービス」で「Network Watcher」を選択します。
1-2.「Network Watcher」を有効にするサブスクリプションとリージョンの「…」をクリックして「Network Watcher」を有効化します。
1-3.以下のように「有効」となっていればこの手順は完了です。

 

2.Insights プロバイダーの登録

2-1.Azure Portalから「すべてのサービス」で「サブスクリプション」を選択します。

2-2.「サブスクリプションの一覧」からプロバイダーを有効にするサブスクリプションを選択します。

2-3.[設定] で、[リソース プロバイダー] を選択します。

2-4.状態が [未登録] である場合、プロバイダーの右側の [登録] を選択します。

2-5.microsoft.insights プロバイダーの [状態] が [登録済み]であることを確認します

3.ストレージアカウントの作成

ストレージアカウントの作成については以下のドキュメントを参照してください。
https://docs.microsoft.com/ja-jp/azure/storage/common/storage-account-create?tabs=azure-portal

※ストレージ アカウントは、NSG と同じリージョンに存在する必要があります。
※NSGフローログの保持機能を利用する場合はストレージアカウントの「アカウントの種類」が「StorageV2(汎用v2)」とする必要があります。詳細は以下のドキュメントを参照してください。

<ログ記録の仕組み>
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-nsg-flow-logging-overview#how-logging-works

 

4.NSGフローログの有効化

4-1.Azure Portalから「すべてのサービス」で「Network Watcher」を選択します。
4-2. [ログ] の [NSG フロー ログ] を選択します。

4-3.NSG の一覧から、ログを取得するNSGを選択します。


4-4.以下の図のようにフローログの設定を行い、「保存」を選択します。
※バージョン 2 には、フローセッションの統計 (バイトおよびパケット) が含まれます。
※ストレージアカウントには”ストレージアカウントの作成”で作成したものを選択します。

4-5.以下の図のように有効されていることが確認できればNSGフローログの有効化は完了です。

 

[NSGフローログの確認方法]

1.Azure Portalから「すべてのサービス」で「Network Watcher」を選択します。

2.「Network Watcher」から[ログ] の [NSG フロー ログ] を選択します。

3.[構成済みのストレージ アカウントからフローのログをダウンロードできました。] を選択します。

4.NSGフローログを保存しているストレージアカウントを選択します。

5.[Blob service] で [コンテナー] を選択します。

6. [insights-logs-networksecuritygroupflowevent] コンテナーを選択します。

7.以下の図に示すように、コンテナー内のフォルダー階層を PT1H.json ファイルに到達するまで移動します。
ログ ファイルは、次の名前規則に従ってフォルダー階層に書き込まれます。
「PT1H.json」というファイルを選択します。
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

8.「ダウンロード」を選択して「PT1H.json」ファイルをダウンロードします。

9.ダウンロードした「PT1H.json」ファイルを開くと以下のようなJSON形式のログが確認できます。このログから分かる情報については以下のドキュメントを参照ください。

<ログの形式>

https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-nsg-flow-logging-overview#log-format

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

{
“time”: “2018-11-13T12:00:35.3899262Z”,
“systemId”: “a0fca5ce-022c-47b1-9735-89943b42f2fa”,
“category”: “NetworkSecurityGroupFlowEvent”,
“resourceId”: “/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG”,
“operationName”: “NetworkSecurityGroupFlowEvents”,
“properties”: {
“Version”: 2,
“flows”: [
{
“rule”: “DefaultRule_DenyAllInBound”,
“flows”: [
{
“mac”: “000D3AF87856”,
“flowTuples”: [
“1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,”,
“1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,”,
“1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,”
]
}
]
},
{
“rule”: “DefaultRule_AllowInternetOutBound”,
“flows”: [
{
“mac”: “000D3AF87856”,
“flowTuples”: [
“1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,”,
“1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66”,
“1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008”,
“1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054”
]
}
]
}
]
}
}

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

 

以上がNSGフローログの設定および確認方法です。

またNSGフローログを確認すると分かるかと思いますがjson形式で出力されるため、慣れてる人でないとログを読み取るのは難しいかと思われます。そのような方のためにAzure Traffic Analytics や Microsoft Power BI などのツールを用いてこのログを分かりやすく視覚化することができます。

これらの利用方法については下記のドキュメントを参照ください。

<Traffic Analytics>

https://docs.microsoft.com/ja-jp/azure/network-watcher/traffic-analytics

 

<ネットワーク セキュリティ グループのフロー ログを Power BI で視覚化する>

https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-power-bi

以上 今回はここまでとなります。またの機会にお会いしましょう!

いいね (この記事が参考になった人の数:3)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください