Network Watcher を使用してネットワークのセキュリティを監視する (ネットワーク セキュリティ グループなど)

  • 7 分

Azure Network Watcher は、Azure IaaS (サービスとしてのインフラストラクチャ) のリソースの監視、診断、メトリックの表示、ログの有効化または無効化を行うためのツールのスイートを提供します。 Network Watcher を使うと、仮想マシン (VM)、仮想ネットワーク (VNet)、アプリケーション ゲートウェイ、ロード バランサーなどの IaaS 製品のネットワークの正常性を監視および修復できます。Network Watcherは、PaaS の監視または Web の分析用には設計または意図されていません。

Network Watcher は、次の 3 つの主要なツールと機能のセットで構成されています。

  • 監視
  • ネットワーク診断ツール
  • トラフィック

Network Watcher の監視ツールと診断ツールの例を示す図。

Note

サブスクリプションで仮想ネットワークを作成または更新すると、お使いの仮想ネットワークのリージョンで Network Watcher が自動的に有効になります。 Network Watcher は自動的に有効化され、リソースや関連する料金が影響を受けることはありません。

監視

Network Watcher には、リソースの表示と監視に役立つ 2 つの監視ツールが用意されています。

  • トポロジ
  • 接続モニター

トポロジ

トポロジは、ネットワーク全体を視覚化して、ネットワーク構成を把握できるようにします。 その対話型インターフェイスを使って、複数のサブスクリプション、リソース グループ、場所にまたがる Azure 内のリソースとそれらの関係を表示できます。

接続モニター

接続モニターは、Azure とハイブリッド エンドポイントに関するエンド ツー エンドの接続の監視を提供します。 ネットワーク インフラストラクチャ内のさまざまなエンドポイント間のネットワーク パフォーマンスを把握するのに役立ちます。

ネットワーク診断ツール

Network Watcher には、ネットワークの問題のトラブルシューティングと診断に役立つ 7 つのネットワーク診断ツールが含まれます:

  • IP フロー検証
  • NSG 診断
  • 次ホップ
  • 有効なセキュリティ ルール
  • 接続のトラブルシューティング
  • パケット キャプチャ
  • VPN のトラブルシューティング

IP フロー検証

IP フロー検証を使用すると、仮想マシン レベルでトラフィックのフィルター処理に関する問題を検出できます。 ある IP アドレス (IPv4 または IPv6 アドレス) との間でやり取りされるパケットが許可または拒否されるかどうかを調べます。 また、トラフィックを許可または拒否したセキュリティ規則も示します。

ネットワーク セキュリティ グループ (NSG) 診断

NSG 診断を使用すると、仮想マシン、仮想マシン スケール セット、またはアプリケーション ゲートウェイのレベルでトラフィックのフィルター処理に関する問題を検出できます。 ある IP アドレス、IP プレフィックス、またはサービス タグとの間でやり取りされるパケットが許可または拒否されるかどうかを調べます。 トラフィックを許可または拒否したセキュリティ規則を示します。 また、優先順位の高い新しいセキュリティ規則を追加して、トラフィックを許可または拒否することもできます。

次ホップ

ネクスト ホップを使うと、ルーティングの問題を検出できます。 トラフィックが目的の宛先に正しくルーティングされるかどうかを調べます。 ネクスト ホップの種類、IP アドレス、特定の宛先 IP アドレスのルート テーブル ID に関する情報を提供します。

有効なセキュリティ ルール

有効なセキュリティ規則を使用すると、ネットワーク インターフェイスに適用されている有効なセキュリティ規則を表示できます。 ネットワーク インターフェイスに適用されるすべてのセキュリティ規則、ネットワーク インターフェイスが存在するサブネット、それら両方の集計が示されます。

接続のトラブルシューティング

接続のトラブルシューティングを使うと、仮想マシン、仮想マシン スケール セット、アプリケーション ゲートウェイ、または bastion ホストと、仮想マシン、FQDN、URI、または IPv4 アドレスの間の接続をテストできます。 テストからは、接続監視機能の使用時に返されるのと同様の情報が返されます。ただし、接続監視による経時的な監視とは異なり、テストされるのはある時点の接続です。

パケット キャプチャ

パケット キャプチャを使うと、パケット キャプチャ セッションをリモートで作成して、仮想マシン (VM) または仮想マシン スケール セットとの間でやり取りされるトラフィックを追跡できます。

VPN のトラブルシューティング

VPN トラブルシューティングでは、仮想ネットワーク ゲートウェイとその接続のトラブルシューティングを行うことができます

トラフィック

Network Watcher には、ネットワーク トラフィックのログと視覚化に役立つ 2 つのトラフィック ツールがあります。

  • フロー ログ
  • トラフィック分析

フロー ログ

フロー ログ を使用すると、Azure IP トラフィックに関する情報をログに記録し、データを Azure Storage に格納できます。

ネットワーク セキュリティ グループのフロー ログは、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できる Azure Network Watcher の機能です。 フロー データは Azure Storage に送信され、そこからデータにアクセスし、任意の視覚化ツール、セキュリティ情報イベント管理 (SIEM) ソリューション、または侵入検出システム (IDS) にエクスポートできます。

トラフィック分析

Traffic Analytics では、フロー ログ データの充実した視覚化が提供されます。

トラフィック分析フロー ログ データを示すスクリーンショット。