トラフィック分析についてよく寄せられる質問 (FAQ)

必要な RBAC ロールとアクセス許可の完全な一覧については、 Traffic Analytics のアクセス許可を参照してください。

はい。仮想ネットワークとネットワーク セキュリティ グループは、Log Analytics ワークスペース リージョンとは異なるリージョンに存在できます。

はい。

トラフィック分析ダッシュボードのリソース選択ドロップダウンで、仮想マシンやネットワーク セキュリティ グループのリソース グループではなく、Virtual Network リソースのリソース グループを選択する必要があります。

トラフィック分析では、6 時間ごとにリソース検出スキャンが実行され、新しい VM、NIC、仮想ネットワーク、サブネットが識別されます。 最新の検出サイクルの後に新しい VM または NIC が作成され、次の検出の前にフロー データが収集された場合、トラフィック分析でトラフィックを既知のリソースに関連付けることはできません。 その結果、これらのリソースは分析ビューで一時的に 不明 としてラベル付けされます。

はい。パブリック アクセスを無効にして、DCE リソースへのパブリック受信トラフィックを制限できます。

はい。 既存のワークスペースを選択する場合は、新しいクエリ言語に移行されていることを確認します。 そのワークスペースのアップグレードを望まない場合は、新しいワークスペースを作成する必要があります。 Kusto 照会言語 (KQL) の詳細については、「Azure Monitor でのクエリのログ記録」を参照してください。

はい。自分の Azure ストレージ アカウントと自分の Log Analytics ワークスペースをそれぞれ別のサブスクリプションに置くことができます。

はい。 別のサブスクリプションにあるストレージ アカウントに送信されるようにフロー ログを構成できます。ただし、適切な特権があり、ストレージ アカウントがネットワーク セキュリティ グループ (ネットワーク セキュリティ グループ フロー ログ) または仮想ネットワーク (仮想ネットワーク フロー ログ) と同じリージョンに配置されている必要があります。 宛先ストレージ アカウントは、ネットワーク セキュリティ グループまたは仮想ネットワークと同じ Microsoft Entra テナントを共有している必要があります。

いいえ。 ネットワーク セキュリティ グループ (ネットワーク セキュリティ グループ フロー ログ)、仮想ネットワーク (仮想ネットワーク フロー ログ)、フロー ログ、ストレージ アカウント、Log Analytics ワークスペース (トラフィック分析が有効な場合) を含むすべてのリソースが、同じテナント内にある必要があります。

はい。

いいえ。 フロー ログに使用されているストレージ アカウントを削除しても、Log Analytics ワークスペースに格納されているデータは影響を受けません。 Log Analytics ワークスペースでは履歴データを引き続き表示できますが (一部のメトリックは影響を受けます)、フロー ログを更新して別のストレージ アカウントを使用するまで、トラフィック分析は新しいフロー ログを処理しなくなります。

サポートされているリージョンを選択します。 サポートされていないリージョンを選択すると、[見つかりません] エラーが表示されます。 詳細については、トラフィック分析のサポートされているリージョンに関するページを参照してください。

フロー ログが正しく機能するには、Microsoft.Insights プロバイダーが登録されている必要があります。 Microsoft.Insights プロバイダーがサブスクリプションに登録されているかどうかがわからない場合は、「NSG フロー ログの管理」の登録方法に関する手順を参照してください。

ダッシュボードでレポートを最初に表示する際は最大で 30 分かかることがあります。 ソリューションで有意義な分析情報を得られるようにするには、まず十分なデータを集計する必要があります。その後でレポートを生成します。

次の方法を試してください。

• 上部のバーで期間を変更します。
• 上部のバーで別の Log Analytics ワークスペースを選択します。
• 30 分後に Traffic Analytics にアクセスしてみます (最近有効にした場合)。

問題が解決しない場合は、Microsoft Q&A に問題を投稿してください。

このメッセージは、次の理由で表示される場合があります。

• トラフィック分析が最近有効化され、意味のある分析情報を導出できる十分なデータをまだ集計していない可能性があります。
• 無料版の Log Analytics ワークスペースを使用しており、クォータ制限を超えています。 容量の大きいワークスペースを使用しなければならない可能性があります。

前の質問に対して推奨される解決策をお試しください。 問題が解決しない場合は、Microsoft Q&A に問題を投稿してください。

ダッシュボードにはリソース情報が表示されていますが、フロー関連の統計がありません。 リソース間の通信フローがないためにデータが示されない可能性があります。 60 分間待ってから、状態を再確認します。 問題が解決せず、リソース間の通信フローが存在することが確実な場合は、Microsoft Q&A に問題を投稿してください。

トラフィック分析が測定されます。 この測定は、サービスによる生フロー ログ データの処理に基づいています。 詳細については、「Network Watcher の価格」を参照してください。
Log Analytics ワークスペース内に取り込まれた拡張ログは、最初の 31 日間 (または、そのワークスペース上で Microsoft Sentinel が有効な場合は 90 日間) まで無料で保持できます。 詳細については、「Azure Monitor の価格」を参照してください。

トラフィック分析の既定の処理間隔は 60 分ですが、10 分間隔の高速処理を選択することもできます。 詳細については、トラフィック分析でのデータ集計に関するページを参照してください。

Traffic Analytics は、ワークスペースと同じリソース グループ内にデータ収集規則 (DCR) リソースとデータ収集エンドポイント (DCE) リソースを作成および管理し、プレフィックスとして NWTA を付けます。 これらのリソースに対して何らかの操作を実行すると、トラフィック分析が期待どおりに機能しない可能性があります。 詳細については、トラフィック分析でのデータ集計に関するページを参照してください。 詳細については、「Azure Monitorでのデータ収集規則 と Azure Monitorでのデータ収集エンドポイント 」を参照してください。

トラフィック分析では、Microsoft の内部的な脅威インテリジェンス システムを使って、IP を悪意のあるものと見なします これらのシステムでは、Microsoft の製品とサービス、Microsoft Digital Crimes Unit (DCU)、Microsoft Security Response Center (MSRC)、外部フィードなどのさまざまなテレメトリ ソースが使用され、その上にインテリジェンスが構築されます。 このデータの一部は Mircosoft の内部的なものです。 既知の IP に悪意のあることを示すフラグが設定された場合、その詳細を知るにはサポート チケットを発行します。

トラフィック分析には、アラートのサポートが組み込まれていない。 ただし、トラフィック分析のデータは Log Analytics に格納されるので、カスタム クエリを作成し、それらに対してアラートを設定することができます。 次の手順に従います。

• トラフィック分析では Log Analytics リンクを使用できます。
• トラフィック分析スキーマを使用してクエリを記述します。
• [+ 新しいアラート ルール] を選択してアラートを作成します。
• [新しいアラート ルールの作成] をクリックして、アラートを作成します。

次のクエリを使用します。

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

IP の場合、次のクエリを使用できます。

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

時刻には、yyyy-mm-dd 00:00:00 の形式を使用します。

次のクエリを使用します。

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

IP の場合:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

次のクエリを使用します。

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s