Azure Virtual Network Manager は、ほかの多くの Azure サービスと同様に、データの収集と分析に Azure Monitor を使用します。 Azure Virtual Network Manager では、各ネットワーク マネージャーのイベント ログが提供されます。 イベント ログの保存と表示には、Azure Monitor の Log Analytics ツール、Azure portal、ストレージ アカウントを使用できます。 これらのログは、イベント ハブまたはパートナー ソリューションに送信することもできます。
サポートされるログのカテゴリ
Azure Virtual Network Manager には現在、次のログ カテゴリが用意されています。
- ネットワーク グループ メンバーシップの変更
- 特定の仮想ネットワークのネットワーク グループ メンバーシップが変更された場合に追跡します。 つまり、仮想ネットワークがネットワーク グループに追加されり、ネットワーク グループから削除されたりすると、ログが出力されます。 これは、時間の経過とともにネットワーク グループ メンバーシップが変わるのを追跡し、特定の仮想ネットワークのネットワーク グループ メンバーシップのスナップショットを取得するために使用できます。
- 規則コレクションの変更
- 特定の仮想ネットワークに適用されているセキュリティ管理規則コレクションのセットが変更された場合に追跡します。 規則コレクションの対象となっているネットワーク グループを通じて、仮想ネットワークにデプロイされたすべての規則コレクションに対してログが生成されます。 デプロイ プロセスを通じてネットワーク グループから規則コレクションを削除すると、影響を受ける各仮想ネットワークのログも生成されます。 このスキーマを使用すると、特定の仮想ネットワークに一定期間デプロイされるルール コレクションを追跡できます。
- 仮想ネットワークが複数のネットワーク マネージャーからセキュリティ管理者ルール コレクションを受信している場合、それぞれのルール コレクションの変更について、ネットワーク マネージャーごとにログが個別に出力されます。
- 既にルール コレクションがデプロイされているネットワーク グループに仮想ネットワークが追加または削除された場合、その仮想ネットワークのログが出力され、適用されたルール コレクションの状態が表示されます。
- 接続構成の変更
- 特定の仮想ネットワークの適用された接続構成が変更されたタイミングを追跡します。 構成の対象となっているネットワーク グループを介して仮想ネットワークにデプロイされた接続構成ごとにログが出力されます。 デプロイ プロセスを通じてネットワーク グループから接続構成を削除すると、影響を受ける仮想ネットワークごとにログが記録されます。 このスキーマを使用して、特定の仮想ネットワークに時間の経過と同時にデプロイされる接続構成とそのトポロジの種類を追跡できます。
- 仮想ネットワークが複数のネットワーク マネージャーから接続構成を受信している場合、それぞれの構成変更について、ネットワーク マネージャーごとにログが個別に出力されます。
- 仮想ネットワークが既に接続構成がデプロイされているネットワーク グループに追加または削除された場合、その仮想ネットワークに対してログが出力され、接続構成が適用された状態が表示されます。
ネットワーク グループ メンバーシップ変更の属性
このカテゴリは、ネットワーク グループ メンバーシップの変更ごとに 1 つのログを出力します。 そのため、仮想ネットワークがネットワーク グループに追加またはネットワーク グループから削除されると、その特定の仮想ネットワークに対するその 1 つの追加または削除に関連するログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された日時。 |
| リソースID | ネットワーク マネージャーのサブネット リソース ID |
| ロケーション | 仮想ネットワーク リソースの場所。 |
| オペレーション名称 | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/virtualNetworks/networkGroupMembership/write 操作です。 |
| カテゴリ | このログのカテゴリ 常に NetworkGroupMembershipChange です。 |
| 結果タイプ | 成功または失敗した操作を示します。 |
| 相関ID | ログの関連付けまたはデバッグに役立つ GUID。 |
| レベル | 常に Info です。 |
| プロパティ | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| メッセージ | ネットワーク グループ メンバーシップの変更が成功したか失敗したかを示す静的メッセージ。 |
| メンバーシップID | 仮想ネットワークの既定のメンバーシップ ID。 |
| グループメンバーシップ | 仮想ネットワークが属するネットワーク グループのコレクション。 仮想ネットワークは複数のネットワーク グループに同時に属できるため、このプロパティ内に複数の NetworkGroupId と Sources が表示される場合があります。 |
| MemberResourceIds | ネットワーク グループに追加またはネットワークグループから削除された仮想ネットワークのリソース ID。 |
GroupMemberships 属性内には、いくつかの入れ子になった属性があります。
| GroupMemberships の属性 | 説明 |
|---|---|
| NetworkGroupId | 仮想ネットワークが属するネットワーク グループの ID。 |
| 情報源 | 仮想ネットワークがネットワーク グループのメンバーである方法のコレクション。 |
Sources 属性内には、いくつかの入れ子になった属性があります。
| Sources の属性 | 説明 |
|---|---|
| タイプ | 仮想ネットワークが手動で追加された (StaticMembership) か、Azure Policy (Policy) を使用して条件付きで追加されたかを示します。 |
| StaticMemberId | Type 値が StaticMembership の場合、このプロパティが表示されます。 |
| PolicyAssignmentId | Type 値が Policy の場合、このプロパティが表示されます。 Azure Policy 定義をネットワーク グループに関連付ける Azure Policy 割り当ての ID。 |
| PolicyDefinitionId | Type 値が Policy の場合、このプロパティが表示されます。 ネットワーク グループのメンバーシップの条件を含む Azure Policy 定義の ID。 |
規則コレクションの変更の属性
このカテゴリは、仮想ネットワークごとに、セキュリティ管理規則コレクションの変更ごとに 1 つのログを出力します。 そのため、セキュリティ管理規則コレクションがそのネットワーク グループを通じて仮想ネットワークに適用または削除されると、その特定の仮想ネットワークの規則コレクションの変更に関連付けられたログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された日時。 |
| リソースID | ネットワーク マネージャーのサブネット リソース ID |
| ロケーション | 仮想ネットワーク リソースの場所。 |
| オペレーション名称 | 仮想ネットワークが追加または削除された操作。 常に Microsoft.Network/networkManagers/securityAdminRuleCollections/write operation です。 |
| カテゴリ | このログのカテゴリ 常に RuleCollectionChange です。 |
| 結果タイプ | 成功または失敗した操作を示します。 |
| 相関ID | ログの関連付けまたはデバッグに役立つ GUID。 |
| レベル | 常に Info です。 |
| プロパティ | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| ターゲットリソースID | 規則コレクションの適用で変更が発生した仮想ネットワークのリソース ID。 |
| メッセージ | 規則コレクションの変更が成功したか失敗したかを示す静的メッセージ。 |
| AppliedRuleCollectionIds | ログが出力された時点で仮想ネットワークに適用されていたセキュリティ管理規則コレクションのコレクション。 仮想ネットワークは複数のネットワーク グループに属し、複数のルール コレクションを同時に適用できるため、複数のルール コレクション ID が一覧表示される場合があります。 |
接続構成の変更属性
このカテゴリでは、仮想ネットワークに関する接続構成の変更ごとに 1 つのログが出力されます。 そのため、ネットワーク グループを通じて接続構成が仮想ネットワークに適用されるか、仮想ネットワークから削除されると、その特定の仮想ネットワークに設定された接続構成の変更に関連するログが出力されます。 次の属性は、ストレージ アカウントに送信されるログに対応しています。Log Analytics ログの属性は若干異なります。
| 属性 | 説明 |
|---|---|
| 時間 | イベントがログに記録された日時。 |
| リソースID | ネットワーク マネージャーのサブネット リソース ID |
| ロケーション | 仮想ネットワーク リソースの場所。 |
| オペレーション名称 | 仮想ネットワークが追加または削除された操作。 |
| カテゴリ | このログのカテゴリ 常に ConnectivityConfigurationChange です。 |
| 結果タイプ | 成功または失敗した操作を示します。 |
| 相関ID | ログの関連付けまたはデバッグに役立つ GUID。 |
| レベル | 情報または警告。 |
| プロパティ | ログのプロパティのコレクション。 |
properties 属性内には、いくつかの入れ子になった属性があります。
| properties の属性 | 説明 |
|---|---|
| 適用された接続構成 | ログが出力された時点で仮想ネットワークに適用される接続構成のコレクション。 ネットワーク グループには複数の接続構成を同時に適用でき、仮想ネットワークは複数の接続構成が同時に適用された複数のネットワーク グループに属できるため、複数の接続構成が一覧表示される場合があります。 |
| ターゲットリソースID | 接続構成の適用で変更が発生した仮想ネットワークのリソース ID。 |
| メッセージ | 接続構成の変更が成功したか失敗したかを示す静的メッセージ。 |
注
接続構成では、同じ接続グループ内で重複する IP スペースを持つ仮想ネットワークが許可されますが、重複している IP アドレスへの通信は切断されます。 さらに、接続されたグループの仮想ネットワークが、重複するアドレス空間を持つ外部仮想ネットワーク (接続されたグループ内にない仮想ネットワーク) とピアリングされている場合、これらの重複するアドレス空間は、接続されたグループ内でアクセスできなくなります。 ピアリングされた仮想ネットワークから重複するアドレス空間へのトラフィックは外部仮想ネットワークにルーティングされますが、接続されたグループ内の他の VNet から重複するアドレス空間へのトラフィックは破棄されます。 ログには "警告" レベルが表示され、 TargetResourceIds フィールドはアドレス空間が重複する VNet の ID を示し、アドレスが重複しているために完全または部分的なアドレス空間にアクセスできないことを示す message が表示されます。
AppliedConnectivityConfigurations 属性内には、いくつかの入れ子になった属性があります。
| AppliedConnectivityConfigurations 属性 | 説明 |
|---|---|
| ConfigurationId | 仮想ネットワークに適用される接続構成の ID。 |
| トポロジ | 接続構成が適用されている 1 つ以上のネットワーク グループ間で構築することを目的としたトポロジの種類。 Mesh または HubAndSpoke を指定できます。 |
ログへのアクセス
イベント ログの使用方法に応じて、Log Analytics ワークスペースまたはストレージ アカウントをログ イベントの格納用に設定する必要があります。
- Log Analytics ワークスペースの作成方法をご確認ください。
- ストレージ アカウントの作成方法をご確認ください。
Log Analytics ワークスペースまたはストレージ アカウントを設定するときは、リージョンを選択する必要があります。 ストレージ アカウントを使用している場合は、ログにアクセスする仮想ネットワーク マネージャーと同じリージョンに存在する必要があります。 Log Analytics ワークスペースを使用している場合は、任意のリージョンに存在できます。
イベントにアクセスするネットワーク マネージャーは、Log Analytics ワークスペースまたはストレージに使用されるストレージ アカウントと同じサブスクリプションに存在する必要はありませんが、アクセス許可によって、異なるサブスクリプション間でログにアクセスする機能が制限される可能性があります。
注
ログを生成するには、少なくとも 1 つの仮想ネットワークで上記のカテゴリで取り込まれたイベントが発生する必要があります。 変更が発生してから数分後にイベントごとにログが生成されます。
次のステップ
- Azure Virtual Network Manager のイベント ログの使用を開始する方法について説明します。
- Azure portal を使用して Azure Virtual Network Manager インスタンスを作成する方法について説明します。
- Azure Virtual Network Manager のネットワーク グループについて詳しく学習します。