仮想ネットワーク フロー ログは、Azure 仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 仮想ネットワーク フロー ログの詳細については、「仮想ネットワーク フロー ログ」を参照してください。
このチュートリアルは、VNet フロー ログを使用して、仮想ネットワークを通過する仮想マシンのネットワーク トラフィックをログするのに役立ちます。
このチュートリアルでは、以下の内容を学習します。
- 仮想ネットワークを作成する
- 仮想マシンを作成する
- Microsoft.insights プロバイダーを登録する
- Network Watcher フロー ログを使用して仮想ネットワークのフロー ログを有効にする
- ログに記録されたデータをダウンロードする
- ログに記録されたデータを表示する
[前提条件]
- アクティブなサブスクリプションを持つ Azure アカウント。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
仮想ネットワークを作成する
このセクションでは、仮想マシン用のサブネットを 1 つ持つ myVNet 仮想ネットワークを作成します。
Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果から、[仮想ネットワーク] を選択します。
[+ 作成] を選択します。 [仮想ネットワークの作成] の [基本] タブで、次の値を入力するか選びます。
設定 価値 プロジェクトの詳細 サブスクリプション Azure のサブスクリプションを選択します。 リソース グループ [新規作成] を選択します。
[名前] に「myResourceGroup」と入力します。
OK を選択します。インスタンスの詳細 名前 「myVNet」と入力します。 リージョン [(米国) 米国東部] を選択します。 [Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
仮想マシンを作成する
このセクションでは、myVM 仮想マシンを作成します。
ポータルの上部にある検索ボックスに「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[仮想マシン] を選択します。
[仮想マシンの作成] の [基本] タブに次の値を入力するか選択します。
設定 価値 プロジェクトの詳細 サブスクリプション Azure のサブスクリプションを選択します。 リソース グループ [myResourceGroup] を選択します。 インスタンスの詳細 仮想マシン名 「myVM」と入力します。 リージョン [(米国) 米国東部] を選択します。 可用性オプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 標準を選択します。 Image 目的のイメージを選択します。 このチュートリアルでは、[Windows Server 2022 Datacenter: Azure Edition - x64 Gen2] を使用します。 サイズ VM サイズを選択するか、既定の設定のままにします。 管理者アカウント ユーザー名 ユーザー名を入力します。 パスワード パスワードを入力します。 パスワードの確認 パスワードを再入力します。 [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。
[ネットワーク] タブで、次の値を選びます。
設定 価値 ネットワーク インターフェイス 仮想ネットワーク [myVNet] を選択します。 サブネット [mySubnet] を選択します。 パブリック IP [(新規) myVM-ip] を選択します。 NIC ネットワーク セキュリティ グループ [Basic] を選択します。 パブリック受信ポート [選択したポートを許可する] を選択します。 受信ポートの選択 [RDP (3389)] を選択します。 注意事項
RDP ポートをインターネットに対して開いたままにしておくことは、テストにのみお勧めします。 運用環境では、RDP ポートへのアクセスを特定の IP アドレスまたは IP アドレスの範囲に制限することをお勧めします。 RDP ポートへのインターネット アクセスをブロックし、Azure Bastion を使用して、Azure ポータルから仮想マシンに安全に接続することもできます。
[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
デプロイが完了したら、[リソースに移動] を選んで myVM の [概要] ページに移動します。
[接続] を選んでから、[RDP] を選びます。
[RDP ファイルのダウンロード] を選択して、ダウンロードしたファイルを開きます。
[接続] を選んでから、前の手順で作成したユーザー名とパスワードを入力します。 メッセージが表示されたら、証明書を受け入れます。
Insights プロバイダーを登録する
フロー ログには、Microsoft.Insights プロバイダーが必要です。 その状態を調べるには、次の手順のようにします。
ポータルの上部にある検索ボックスに、「サブスクリプション」と入力します。 検索結果から [サブスクリプション] を選択します。
[サブスクリプション] で、プロバイダーを有効にする Azure サブスクリプションを選びます。
[設定] で、[リソース プロバイダー] を選択します。
フィルター ボックスに「insight」と入力します。
表示されるプロバイダーの状態が [登録済み] になっていることを確認します。 状態が NotRegistered の場合は、Microsoft.Insights プロバイダーを選んで、[登録] を選びます。
ストレージ アカウントを作成する
このセクションでは、フロー ログの格納に使うストレージ アカウントを作成します。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果から ストレージ アカウント を選択します。
[+ 作成] を選択します。 [ストレージ アカウントの作成] の [基本] タブで、次の値を入力するか選びます。
設定 価値 プロジェクトの詳細 サブスクリプション Azure のサブスクリプションを選択します。 リソース グループ [myResourceGroup] を選択します。 インスタンスの詳細 ストレージ アカウント名 一意の名前を入力します。 このチュートリアルでは、nwteststorageaccount を使用します。 リージョン [(米国) 米国東部] を選択します。 このストレージ アカウントは、仮想マシンおよびそのネットワーク セキュリティ グループと同じリージョンに存在する必要があります。 プライマリ サービス [Azure Blob Storage または Azure Data Lake Storage Gen 2] を選択します。 [パフォーマンス] 標準を選択します。 フロー ログは、Standard レベルのストレージ アカウントのみをサポートします。 冗長性 目的の冗長性を選択します。 このチュートリアルでは、ローカル冗長ストレージ (LRS) を使用します。 [確認] タブを選ぶか、下部にある [確認] ボタンを選びます。
設定を確認し、 [作成] を選択します。
フロー ログの作成
このセクションでは、チュートリアルで前に作成したストレージ アカウントに保存された仮想ネットワーク フロー ログを作成します。
ポータルの上部にある検索ボックスに、「network watcher」と入力します。 検索結果から Network Watcher を選択します。
[ログ] の下の [フロー ログ] を選択します。
Network Watcher | フロー ログ で、+ 作成 または フロー ログの作成 の青いボタンを選択します。
[フロー ログの作成] で、次の値を入力するか選びます。
設定 価値 プロジェクトの詳細 サブスクリプション ログに記録するネットワーク セキュリティ グループの Azure サブスクリプションを選択します。 フロー ログの種類 [仮想ネットワーク] を選択します。 Virtual Network [+ ターゲット リソースの選択] を選択します。
[仮想ネットワークを選択してください] で、[myVNet] を選択します。 次に、[選択の確認] を選択します。フロー ログ名 myVNet-myresourcegroup-flowlog は既定値のままにします。 インスタンスの詳細 サブスクリプション ストレージ アカウントの Azure サブスクリプションを選択します。 ストレージ アカウント 前の手順で作成したストレージ アカウントを選択します。 保有期間 (日) ストレージ アカウントのフロー ログ データを 10 日間保持するには、「10」と入力します。 フロー ログ データをストレージ アカウントに (削除するまで) 永続的に保持するには、「0」と入力します。 ストレージの価格の詳細については、Azure Storage の価格に関する記事をご覧ください。 注
Azure portal が、NetworkWatcherRG リソース グループに仮想ネットワーク フロー ログを作成します。
[Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
デプロイが完了したら、[リソースに移動] を選択して、フロー ログが作成され、[フロー ログ] ページに一覧表示されていることを確認します。
myVM 仮想マシンとの RDP セッションに戻ります。
Microsoft Edge を開き、
www.bing.com
に移動します。
フロー ログをダウンロードする
このセクションでは、前に選択したストレージ アカウントに移動し、前のセクションで作成したフロー ログをダウンロードします。
ポータルの上部にある検索ボックスに、「ストレージ アカウント」と入力します。 検索結果から ストレージ アカウント を選択します。
nwteststorageaccount または前に作成して選択したストレージ アカウントを選択して、ログを格納します。
[データ ストレージ] で、[コンテナー] を選択します。
insights-logs-flowlogflowevent コンテナーを選択します。
コンテナーで、ダウンロードする
PT1H.json
ファイルが表示されるまでフォルダー階層を移動します。 仮想ネットワーク フロー ログ ファイルは、次のパスに従います。https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
PT1H.json ファイルの右側にある省略記号 [...] を選んでから、[ダウンロード] を選びます。
注
Azure Storage Explorer を使用して、ストレージ アカウントにあるフロー ログにアクセスしてダウンロードすることができます。 詳細については、「Storage Explorer の概要」を参照してください。
フロー ログを表示する
任意のテキスト エディターを使って、ダウンロードした PT1H.json
ファイルを開きます。 次の例は、ダウンロードした PT1H.json
ファイルから取得したセクションであり、ルール DefaultRule_AllowInternetOutBound によって処理されるフローを示しています。
{
"time": "2025-08-06T20:39:33.3186341Z",
"flowLogGUID": "00000000-0000-0000-0000-000000000000",
"macAddress": "6045BDD6DD48",
"category": "FlowLogFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
"flowLogVersion": 4,
"operationName": "FlowLogFlowEvent",
"flowRecords": {
"flows": [
{
"aclID": "00000000-0000-0000-0000-000000000000",
"flowGroups": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flowTuples": [
"1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"
]
}
]
}
]
}
}
flowTuples のコンマで区切られた情報を次に示します。
サンプル データ | データが表す内容 | 説明 |
---|---|---|
1754512773 | タイム スタンプ | フローが発生したときのタイム スタンプ (UNIX EPOCH 形式)。 前の例では、日付は 2025 年 8 月 6 日午後 08:39:33 UTC/GMT に変換されます。 |
10.0.0.4 | 送信元 IP アドレス | フローが発生したソース IP アドレス。 10.0.0.4 は、前に作成した VM のプライベート IP アドレスです。 |
13.107.21.200 | 宛先 IP アドレス | フローが送信された宛先 IP アドレス。13.107.21.200 は www.bing.com の IP アドレスです。 トラフィックは Azure の外部に送信されるため、セキュリティ規則 DefaultRule_AllowInternetOutBound によってフローが処理されました。 |
49982 | 送信元ポート | フローが発生したソース ポート。 |
443 | 宛先ポート | フローが送信された宛先ポート。 |
6 | プロトコル | IANA で割り当て値で表されるフローのレイヤー 4 プロトコル: 6: TCP。 |
O | Direction | フローの方向。 O: 送信。 |
C | Flow state (フロー状態) | フローの状態。 C: 進行中のフローの継続。 |
NX | フローの暗号化 | 接続は暗号化されていません。 |
7 | 送信されたパケット数 | 最後の更新以降に宛先に送信された TCP パケットの合計数。 |
1158 | 送信バイト数 | 最後の更新以降に送信元から宛先に送信された TCP パケットのバイト数の合計。 パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。 |
12 | 受信したパケット数 | 最後の更新以降に宛先から受信した TCP パケットの合計数。 |
8143 | 受信バイト数 | 最後の更新以降に宛先から受信した TCP パケット バイト数の合計。 パケットのバイト数には、パケット ヘッダーとペイロードが含まれます。 |
リソースをクリーンアップする
不要になったら、myResourceGroup とそれに含まれるすべてのリソースを削除します:
ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。 検索結果から [myResourceGroup] を選択します。
[リソース グループの削除] を選択します。
[リソース グループの削除] に「myResourceGroup」と入力し、[削除] を選択します。
[削除] を選択して、リソース グループとそのすべてのリソースの削除を確認します。
注
NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog リソースは NetworkWatcherRG リソース グループにありますが、(myResourceGroup リソース グループの削除による) myVNet 仮想ネットワークの削除後に削除されます。