次の方法で共有


チュートリアル: Azure portal を使用して仮想ネットワークとの間のネットワーク トラフィックをログする

仮想ネットワーク フロー ログは、Azure 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 仮想ネットワーク フロー ログの詳細については、「仮想ネットワーク フロー ログ」を参照してください。

このチュートリアルは、VNet フロー ログを使用して、仮想ネットワークを通過する仮想マシンのネットワーク トラフィックをログするのに役立ちます。

チュートリアルで作成されるリソースを示す図。

このチュートリアルでは、以下の内容を学習します。

  • 仮想ネットワークを作成する
  • 仮想マシンを作成する
  • Microsoft.insights プロバイダーを登録する
  • Network Watcher フロー ログを使用して仮想ネットワークのフロー ログを有効にする
  • ログに記録されたデータをダウンロードする
  • ログに記録されたデータを表示する

[前提条件]

  • アクティブなサブスクリプションを持つ Azure アカウント。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

仮想ネットワークを作成する

このセクションでは、仮想マシン用のサブネットを 1 つ持つ myVNet 仮想ネットワークを作成します。

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果から、[仮想ネットワーク] を選択します。

    Azure portal での仮想ネットワークの検索方法を示すスクリーンショット。

  3. [+ 作成] を選択します。 [仮想ネットワークの作成][基本] タブで、次の値を入力するか選びます。

    設定 価値
    プロジェクトの詳細
    サブスクリプション Azure のサブスクリプションを選択します。
    リソース グループ [新規作成] を選択します。
    [名前] に「myResourceGroup」と入力します。
    OK を選択します。
    インスタンスの詳細
    名前 myVNet」と入力します。
    リージョン [(米国) 米国東部] を選択します。
  4. [Review + create](レビュー + 作成) を選択します。

  5. 設定を確認し、 [作成] を選択します。

仮想マシンを作成する

このセクションでは、myVM 仮想マシンを作成します。

  1. ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。

  2. [+ 作成] を選択し、[仮想マシン] を選択します。

  3. [仮想マシンの作成][基本] タブに次の値を入力するか選択します。

    設定 価値
    プロジェクトの詳細
    サブスクリプション Azure のサブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    仮想マシン名 myVM」と入力します。
    リージョン [(米国) 米国東部] を選択します。
    可用性オプション [インフラストラクチャ冗長は必要ありません] を選択します。
    セキュリティの種類 標準を選択します。
    Image 目的のイメージを選択します。 このチュートリアルでは、[Windows Server 2022 Datacenter: Azure Edition - x64 Gen2] を使用します。
    サイズ VM サイズを選択するか、既定の設定のままにします。
    管理者アカウント
    ユーザー名 ユーザー名を入力します。
    パスワード パスワードを入力します。
    パスワードの確認 パスワードを再入力します。
  4. [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

  5. [ネットワーク] タブで、次の値を選びます。

    設定 価値
    ネットワーク インターフェイス
    仮想ネットワーク [myVNet] を選択します。
    サブネット [mySubnet] を選択します。
    パブリック IP [(新規) myVM-ip] を選択します。
    NIC ネットワーク セキュリティ グループ [Basic] を選択します。
    パブリック受信ポート [選択したポートを許可する] を選択します。
    受信ポートの選択 [RDP (3389)] を選択します。

    注意事項

    RDP ポートをインターネットに対して開いたままにしておくことは、テストにのみお勧めします。 運用環境では、RDP ポートへのアクセスを特定の IP アドレスまたは IP アドレスの範囲に制限することをお勧めします。 RDP ポートへのインターネット アクセスをブロックし、Azure Bastion を使用して、Azure ポータルから仮想マシンに安全に接続することもできます。

  6. [Review + create](レビュー + 作成) を選択します。

  7. 設定を確認し、 [作成] を選択します。

  8. デプロイが完了したら、[リソースに移動] を選んで myVM[概要] ページに移動します。

  9. [接続] を選んでから、[RDP] を選びます。

  10. [RDP ファイルのダウンロード] を選択して、ダウンロードしたファイルを開きます。

  11. [接続] を選んでから、前の手順で作成したユーザー名とパスワードを入力します。 メッセージが表示されたら、証明書を受け入れます。

Insights プロバイダーを登録する

フロー ログには、Microsoft.Insights プロバイダーが必要です。 その状態を調べるには、次の手順のようにします。

  1. ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。 検索結果から [サブスクリプション] を選択します。

  2. [サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。

  3. [設定] で、[リソース プロバイダー] を選択します。

  4. フィルター ボックスに「insight」と入力します。

  5. 表示されるプロバイダーの状態が [登録済み] になっていることを確認します。 状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。

    Azure portal で Microsoft Insights プロバイダーを登録する方法を示すスクリーンショット。

ストレージ アカウントを作成する

このセクションでは、フロー ログの格納に使うストレージ アカウントを作成します。

  1. ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果から ストレージ アカウント を選択します。

  2. [+ 作成] を選択します。 [ストレージ アカウントの作成][基本] タブで、次の値を入力するか選びます。

    設定 価値
    プロジェクトの詳細
    サブスクリプション Azure のサブスクリプションを選択します。
    リソース グループ [myResourceGroup] を選択します。
    インスタンスの詳細
    ストレージ アカウント名 一意の名前を入力します。 このチュートリアルでは、nwteststorageaccount を使用します。
    リージョン [(米国) 米国東部] を選択します。 このストレージ アカウントは、仮想マシンおよびそのネットワーク セキュリティ グループと同じリージョンに存在する必要があります。
    プライマリ サービス [Azure Blob Storage または Azure Data Lake Storage Gen 2] を選択します。
    [パフォーマンス] 標準を選択します。 フロー ログは、Standard レベルのストレージ アカウントのみをサポートします。
    冗長性 目的の冗長性を選択します。 このチュートリアルでは、ローカル冗長ストレージ (LRS) を使用します。
  3. [確認] タブを選ぶか、下部にある [確認] ボタンを選びます。

  4. 設定を確認し、 [作成] を選択します。

フロー ログの作成

このセクションでは、チュートリアルで前に作成したストレージ アカウントに保存された仮想ネットワーク フロー ログを作成します。

  1. ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から Network Watcher を選択します。

  2. [ログ] の下の [フロー ログ] を選択します。

  3. Network Watcher | フロー ログ で、+ 作成 または フロー ログの作成 の青いボタンを選択します。

    Azure portal の Network Watcher フロー ログのスクリーンショット。

  4. [フロー ログの作成] で、次の値を入力するか選びます。

    設定 価値
    プロジェクトの詳細
    サブスクリプション ログに記録するネットワーク セキュリティ グループの Azure サブスクリプションを選択します。
    フロー ログの種類 [仮想ネットワーク] を選択します。
    Virtual Network [+ ターゲット リソースの選択] を選択します。
    [仮想ネットワークを選択してください] で、[myVNet] を選択します。 次に、[選択の確認] を選択します。
    フロー ログ名 myVNet-myresourcegroup-flowlog は既定値のままにします。
    インスタンスの詳細
    サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。
    ストレージ アカウント 前の手順で作成したストレージ アカウントを選択します。
    保有期間 (日) ストレージ アカウントのフロー ログ データを 10 日間保持するには、「10」と入力します。 フロー ログ データをストレージ アカウントに (削除するまで) 永続的に保持するには、「0」と入力します。 ストレージの価格の詳細については、Azure Storage の価格に関する記事をご覧ください。

    Azure portal でのフロー ログの作成ページのスクリーンショット。

    Azure portal が、NetworkWatcherRG リソース グループに仮想ネットワーク フロー ログを作成します。

  5. [Review + create](レビュー + 作成) を選択します。

  6. 設定を確認し、 [作成] を選択します。

  7. デプロイが完了したら、[リソースに移動] を選択して、フロー ログが作成され、[フロー ログ] ページに一覧表示されていることを確認します。

    新しく作成されたフロー ログが示されている、Azure portal の [フロー ログ] ページのスクリーンショット。

  8. myVM 仮想マシンとの RDP セッションに戻ります。

  9. Microsoft Edge を開き、 www.bing.com に移動します。

フロー ログをダウンロードする

このセクションでは、前に選択したストレージ アカウントに移動し、前のセクションで作成したフロー ログをダウンロードします。

  1. ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果から ストレージ アカウント を選択します。

  2. nwteststorageaccount または前に作成して選択したストレージ アカウントを選択して、ログを格納します。

  3. [データ ストレージ] で、[コンテナー] を選択します。

  4. insights-logs-flowlogflowevent コンテナーを選択します。

  5. コンテナーで、ダウンロードする PT1H.json ファイルが表示されるまでフォルダー階層を移動します。 仮想ネットワーク フロー ログ ファイルは、次のパスに従います。

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
    
  6. PT1H.json ファイルの右側にある省略記号 [...] を選んでから、[ダウンロード] を選びます。

    Azure portal でストレージ アカウントから仮想ネットワーク フロー ログ データをダウンロードする方法を示すスクリーンショット。

Azure Storage Explorer を使用して、ストレージ アカウントにあるフロー ログにアクセスしてダウンロードすることができます。 詳細については、「Storage Explorer の概要」を参照してください。

フロー ログを表示する

任意のテキスト エディターを使って、ダウンロードした PT1H.json ファイルを開きます。 次の例は、ダウンロードした PT1H.json ファイルから取得したセクションであり、ルール DefaultRule_AllowInternetOutBound によって処理されるフローを示しています。

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

flowTuples のコンマで区切られた情報を次に示します。

サンプル データ データが表す内容 説明
1754512773 タイム スタンプ フローが発生したときのタイム スタンプ (UNIX EPOCH 形式)。 前の例では、日付は 2025 年 8 月 6 日午後 08:39:33 UTC/GMT に変換されます。
10.0.0.4 送信元 IP アドレス フローが発生したソース IP アドレス。 10.0.0.4 は、前に作成した VM のプライベート IP アドレスです。
13.107.21.200 宛先 IP アドレス フローが送信された宛先 IP アドレス。13.107.21.200 は www.bing.com の IP アドレスです。 トラフィックは Azure の外部に送信されるため、セキュリティ規則 DefaultRule_AllowInternetOutBound によってフローが処理されました。
49982 送信元ポート フローが発生したソース ポート。
443 宛先ポート フローが送信された宛先ポート。
6 プロトコル IANA で割り当て値で表されるフローのレイヤー 4 プロトコル: 6: TCP。
O Direction フローの方向。 O: 送信。
C Flow state (フロー状態) フローの状態。 C: 進行中のフローの継続。
NX フローの暗号化 接続は暗号化されていません。
7 送信されたパケット数 最後の更新以降に宛先に送信された TCP パケットの合計数。
1158 送信バイト数 最後の更新以降に送信元から宛先に送信された TCP パケットのバイト数の合計。 パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。
12 受信したパケット数 最後の更新以降に宛先から受信した TCP パケットの合計数。
8143 受信バイト数 最後の更新以降に宛先から受信した TCP パケット バイト数の合計。 パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。

リソースをクリーンアップする

不要になったら、myResourceGroup とそれに含まれるすべてのリソースを削除します:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。 検索結果から [myResourceGroup] を選択します。

  2. [リソース グループの削除] を選択します。

  3. [リソース グループの削除] に「myResourceGroup」と入力し、[削除] を選択します。

  4. [削除] を選択して、リソース グループとそのすべてのリソースの削除を確認します。

NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog リソースは NetworkWatcherRG リソース グループにありますが、(myResourceGroup リソース グループの削除による) myVNet 仮想ネットワークの削除後に削除されます。