Azure Virtual Network Manager のイベント ログのオプション
Azure Virtual Network Manager は、ほかの多くの Azure サービスと同様に、データの収集と分析に Azure Monitor を使用します。 Azure Virtual Network Manager では、各ネットワーク マネージャーのイベント ログが提供されます。 イベント ログの保存と表示には、Azure Monitor の Log Analytics ツール、Azure portal、ストレージ アカウントを使用できます。 これらのログを、イベント ハブまたはパートナー ソリューションに送信することもできます。
サポートされるログのカテゴリ
Azure Virtual Network Manager には現在、次のログ カテゴリが用意されています。
- ネットワーク グループ メンバーシップの変更
- 特定の仮想ネットワークのネットワーク グループ メンバーシップが変更された場合に追跡します。 つまり、仮想ネットワークがネットワーク グループに追加されり、ネットワーク グループから削除されたりすると、ログが出力されます。 これは、時間の経過とともにネットワーク グループ メンバーシップが変わるのを追跡し、特定の仮想ネットワークのネットワーク グループ メンバーシップのスナップショットを取得するために使用できます。
- 規則コレクションの変更
- 特定の仮想ネットワークに適用されているセキュリティ管理規則コレクションのセットが変更された場合に追跡します。 規則コレクションの対象となっているネットワーク グループを通じて、仮想ネットワークにデプロイされたすべての規則コレクションに対してログが生成されます。 デプロイ プロセスを通じてネットワーク グループから規則コレクションを削除すると、影響を受ける各仮想ネットワークのログも生成されます。 このスキーマを使用すると、一定期間に特定の仮想ネットワークにデプロイされた規則コレクションを追跡できます。
- 仮想ネットワークが複数のネットワーク マネージャーからセキュリティ管理規則コレクションを受信している場合、それぞれの規則コレクションの変更について、ネットワーク マネージャーごとにログが個別に出力されます。
- 既に規則コレクションがデプロイされているネットワーク グループの仮想ネットワークが追加または削除された場合、適用された規則コレクションの状態を示すログがその仮想ネットワークに対して出力されます。
- 接続構成の変更
- 特定の仮想ネットワークに適用された接続構成がいつ変更されたかを追跡します。 構成の対象となっているネットワーク グループを介して仮想ネットワークにデプロイされた接続構成ごとにログが出力されます。 また、デプロイ プロセスを通じてネットワーク グループから接続構成を削除した場合、またはその逆の場合にも、影響を受ける各仮想ネットワークのログが出力されます。 このスキーマを使って、特定の仮想ネットワークにデプロイされた接続構成とそれぞれのトポロジの種類を追跡できます。
- 仮想ネットワークが複数のネットワーク マネージャーから接続構成を受信している場合、それぞれの構成変更についてネットワーク マネージャーごとにログが個別に出力されます。
- 既に接続構成がデプロイされているネットワーク グループに仮想ネットワークが追加または削除されると、その仮想ネットワークに対して、適用された接続構成の状態を示すログが出力されます。
ネットワーク グループ メンバーシップ変更の属性
このカテゴリは、ネットワーク グループ メンバーシップの変更ごとに 1 つのログを出力します。 そのため、仮想ネットワークがネットワーク グループに追加またはネットワーク グループから削除されると、その特定の仮想ネットワークに対するその 1 つの追加または削除に関連するログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された datetime。 |
| resourceId | ネットワーク マネージャーのサブネット リソース ID |
| location | 仮想ネットワーク リソースの場所。 |
| operationName | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/virtualNetworks/networkGroupMembership/write 操作です。 |
| category | このログのカテゴリ 常に NetworkGroupMembershipChange です。 |
| resultType | 成功または失敗した操作を示します。 |
| correlationId | ログの関連付けまたはデバッグに役立つ GUID。 |
| level | 常に Info です。 |
| properties | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| メッセージ | ネットワーク グループ メンバーシップの変更が成功したか失敗したかを示す静的メッセージ。 |
| MembershipId | 仮想ネットワークの既定のメンバーシップ ID。 |
| GroupMemberships | 仮想ネットワークが属するネットワーク グループのコレクション。 仮想ネットワークは複数のネットワーク グループに同時に所属できるため、このプロパティ内に複数の NetworkGroupId と Sources が表示される場合があります。 |
| MemberResourceIds | ネットワーク グループに追加またはネットワークグループから削除された仮想ネットワークのリソース ID。 |
GroupMemberships 属性内には、いくつかの入れ子になった属性があります。
| GroupMemberships の属性 | 説明 |
|---|---|
| NetworkGroupId | 仮想ネットワークが属するネットワーク グループの ID。 |
| Sources | 仮想ネットワークがネットワーク グループのメンバーである方法のコレクション。 |
Sources 属性内には、いくつかの入れ子になった属性があります。
| Sources の属性 | 説明 |
|---|---|
| Type | 仮想ネットワークが手動で追加された (StaticMembership) か、Azure Policy (Policy) を使用して条件付きで追加されたかを示します。 |
| StaticMemberId | Type 値が StaticMembership の場合、このプロパティが表示されます。 |
| PolicyAssignmentId | Type 値が Policy の場合、このプロパティが表示されます。 Azure Policy 定義をネットワーク グループに関連付ける Azure Policy 割り当ての ID。 |
| PolicyDefinitionId | Type 値が Policy の場合、このプロパティが表示されます。 ネットワーク グループのメンバーシップの条件を含む Azure Policy 定義の ID。 |
規則コレクションの変更の属性
このカテゴリは、仮想ネットワークごとに、セキュリティ管理規則コレクションの変更ごとに 1 つのログを出力します。 そのため、セキュリティ管理規則コレクションがそのネットワーク グループを通じて仮想ネットワークに適用または削除されると、その特定の仮想ネットワークの規則コレクションの変更に関連付けられたログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された datetime。 |
| resourceId | ネットワーク マネージャーのサブネット リソース ID |
| location | 仮想ネットワーク リソースの場所。 |
| operationName | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/networkManagers/securityAdminRuleCollections/write operation です。 |
| category | このログのカテゴリ 常に RuleCollectionChange です。 |
| resultType | 成功または失敗した操作を示します。 |
| correlationId | ログの関連付けまたはデバッグに役立つ GUID。 |
| level | 常に Info です。 |
| properties | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| TargetResourceIds | 規則コレクションの適用で変更が発生した仮想ネットワークのリソース ID。 |
| メッセージ | 規則コレクションの変更が成功したか失敗したかを示す静的メッセージ。 |
| AppliedRuleCollectionIds | ログが出力された時点で仮想ネットワークに適用されていたセキュリティ管理規則コレクションのコレクション。 仮想ネットワークは複数のネットワーク グループに所属できるため、複数の規則コレクションが同時に適用され、複数の規則コレクション ID が一覧表示される場合があります。 |
接続構成の変更属性
このカテゴリでは、仮想ネットワークに関する接続構成の変更ごとに 1 つのログが出力されます。 そのため、ネットワーク グループを通じて接続構成が仮想ネットワークに適用されるか、仮想ネットワークから削除されると、その特定の仮想ネットワークに設定された接続構成の変更に関連するログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された datetime。 |
| resourceId | ネットワーク マネージャーのサブネット リソース ID |
| location | 仮想ネットワーク リソースの場所。 |
| operationName | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/networkManagers/connectivityConfigurations/write 操作です。 |
| category | このログのカテゴリ 常に ConnectivityConfigurationChange です。 |
| resultType | 成功または失敗した操作を示します。 |
| correlationId | ログの関連付けまたはデバッグに役立つ GUID。 |
| level | 常に Info です。 |
| properties | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| AppliedConnectivityConfigurations | ログの出力時に仮想ネットワークに適用されていた接続構成のコレクション。 複数の接続構成が表示される場合があります。これは、1 つのネットワーク グループに複数の接続構成を同時に適用できることと、複数の接続構成を同時に適用した複数のネットワーク グループに 1 つの仮想ネットワークが属することができるためです。 |
| TargetResourceIds | 接続構成の適用で変更が発生した仮想ネットワークのリソース ID。 |
| メッセージ | 接続構成の変更が成功したか失敗したかを示す静的メッセージ。 |
AppliedConnectivityConfigurations 属性内には、いくつかの入れ子になった属性があります。
| AppliedConnectivityConfigurations 属性 | 説明 |
|---|---|
| ConfigurationId | 仮想ネットワークに適用される接続構成の ID。 |
| トポロジ | 適用対象のネットワーク グループ間で構築する予定の接続構成のトポロジの種類。 Mesh または HubAndSpoke を指定できます。 |
ログへのアクセス
イベント ログの使用方法に応じて、Log Analytics ワークスペースまたはストレージ アカウントをログ イベントの格納用に設定する必要があります。
- Log Analytics ワークスペースの作成方法をご確認ください。
- ストレージ アカウントの作成方法をご確認ください。
Log Analytics ワークスペースまたはストレージ アカウントを設定するときは、リージョンを選択する必要があります。 ストレージ アカウントを使用する場合は、ログにアクセスする仮想ネットワーク マネージャーと同じリージョンに属する必要があります。 Log Analytics ワークスペースを使用している場合は、任意のリージョンに存在できます。
イベントにアクセスするネットワーク マネージャーは、Log Analytics ワークスペースまたはストレージに使用されるストレージ アカウントと同じサブスクリプションに属する必要はありませんが、アクセス許可によって、異なるサブスクリプションのログにアクセスする機能が制限される場合があります。
Note
ログを生成するには、少なくとも 1 つの仮想ネットワークで上記のカテゴリで取り込まれたイベントが発生する必要があります。 変更が発生してから数分後にイベントごとにログが生成されます。
次のステップ
- Azure Virtual Network Manager のイベント ログの概要に関する記事を参照してください。
- Azure Portal を使った Azure Virtual Network Manager インスタンスの作成に関する記事を参照してください。
- Azure Virtual Network Manager のネットワーク グループについて詳しく学習します。