どうも。株式会社エクシードでPoCなどを行っている鶴見です。
いきなりですが、Azure Network Watcherに進展です。
Network Watcherとは何ぞや?という方は私が以前書いた記事を見ていただければと思います。
話を戻しますとAzure Network Watcherに中々イカした新機能が追加されました。
先日Network Watcherに関する記事を書いてすぐに機能更新があるとは思いませんでした。。
それが以下になります。
トラフィック分析機能です。
この機能をざっくりとまとめると
-NSGのフローログを分析してパフォーマンスの最適化情報やセキュリティの推奨事項、ネットワークのアクティビティの監査等を行う。
-クラウドのネットワークアクティビティの可視化、ネットワークのセキュリティ向上、アプリケーションのパフォーマンス向上等に役立てる。
今回はどんな感じの機能なのか、どう実装すればいいのかってあたりを書いていきます。
実際の画面
ドキュメントにも記載されているのでわざわざ載せる必要もないのですが、実際のメインページは以下になります。
画像が小さくて見づらいですが、何となくかなり情報が載ってそうですね。
トラフィックの情報を分析して切り口を変えて、色々と表示している印象です。
例えばどの種類の通信が一番行われているかという「頻度が最大の会話」の「詳細情報」を選択すると以下の様により詳細な情報を得ることが出来ます。
10.0.17.4は私の仮想マシンのプライベートIPですが対向が国で表示されているのが少し歯がゆいですね。
ページ下部の「もっと見る」を選択するとLog Analyticsのログ検索画面に遷移し、ソースとなったログ情報を見ることが出来ます。
さらにメインページ上部の「悪意のあるフロー」を選択すると、分析基盤側で判断した悪意のある可能性があるIPからのフローのログデータを見ることが出来ます。
ちゃんとどのIPが怪しいかまで書いてくれてますね。ありがたい。
Log Analyticsのログアラート機能を使用して上記をトリガーにアラートを発行すると監視もできますね。
またGeoマップビューなる機能もあり、どこら辺の地域との通信を行っているのかといった情報をグラフィカルに表示してくれます。
実装方法
ではここからはどのようにこの機能を実装すればいいかを書き連ねていきます。
事前の注意として公開されたばかりの機能が故に使用できるリージョンが限られています。
現状提供されているリージョンは米国中西部、米国東部、米国東部2、米国中北部、米国中南部、米国中央、米国西部、米国西部2、ヨーロッパ西部、ヨーロッパ北部、英国西部、英国南部、オーストラリア東部、オーストラリア東南部です。
また分析機能を有効に数rためにはLog Analyticsのワークスペースも用意する必要があるのですが、そちらに関しても米国中西部、米国東部、ヨーロッパ西部、オーストラリア東南部、英国南部のいずれかのリージョンにあるもののみが使用できるそうです。
私は検証のために米国中西部に環境を作りました。日本リージョンが対応していないのが残念です。
Network Watcherの有効化
Network Watcherの機能を使用するためにはまず、Network Watcherを有効化する必要があります。
Network Watcherの概要ページから有効化作業は可能です。
有効化は使用するリージョンのみに対して行っても、全リージョン一括でやっても構いません。
一括で行う場合は以下の画像の赤線部分から可能です。
NSGフローログおよびトラフィック分析の有効化
分析のデータソースとなるNSGフローログの有効化およびトラフィック分析は同一の画面から行うことが出来ます。
Network Watcherのメニューから「NSGフローログ」を選択し、有効化したNSGを選択します。
その後、構成画面にてフローログの収集先であるストレージアカウントおよび分析基盤とするワークスペースを選択します。
画像に書かれていますが、ストレージアカウントとワークスペースは同一リージョンを選択しないと、データの転送のたびにネットワーク課金が発生するのでご注意ください。
最後に保存を選択すれば以上になります!
簡単に2ステップで実装が可能です!
終わりに
個人的には上記の機能もいい感じなのですが、NSGのフローログをLog Analyticsに直接送り込めるのが大変魅力でした。
※生ログではなく多少カスタムした形で送られてしまうのが残念ですが、、、
以前Qiitaの方に書かさせていただきましたが、今までNSGのフローログをLog Analyticsに送り込むには
データコレクターAPIを使用して、ユーザー側で色々と構成する必要がありました。
Azure NSGフローログをLog Analyticsに保管する
しかし今回の機能更新によってポータルから直接ワークスペースを指定できるようになったので、手間が省けて楽です。
まだ私自身もあまり触れていないので、ざっくりとした内容になりましたので、いずれもう少し更新していければと思います。
ではでは。