Azure Network Watcher は Azure ネットワークの監視・診断・トラブルシューティングを統合管理する Microsoft マネージドサービスです。 Connection Troubleshoot・IP Flow Verify・Packet Capture・NSG Flow Logs など多彩な機能で、Azure ネットワーク運用の中核を担います。 本記事では、各機能の使い方と標準トラブルシューティングフローを網羅的に整理します。
| 機能 | 用途 |
|---|---|
| Connection Troubleshoot | 任意の 2 リソース間の接続性診断 |
| IP Flow Verify | NSG ルール判定シミュレーション |
| Next Hop | ルーティング判定 |
| NSG Diagnostic | NSG 評価結果詳細 |
| Packet Capture | VM の Packet キャプチャ |
| NSG Flow Logs | 全 NSG トラフィックログ |
| Connection Monitor | 継続的接続性監視 |
| Traffic Analytics | フロー集計可視化 |
| Topology | ネットワーク図自動生成 |
| Effective Routes / Security Rules | 実効ルート・セキュリティルール表示 |
2 つの Azure リソース間 (VM ↔ VM・VM ↔ Storage・VM ↔ App Service・VM ↔ FQDN) の接続性を診断する機能。
az network watcher connectivityTest-AzNetworkWatcherConnectivity特定のパケット (Source IP・Source Port・Destination IP・Destination Port・Protocol) が NSG ルールで許可されるか拒否されるかをシミュレーションする機能。実際にパケットを送らずに NSG ルール評価のみ実行。
VM 内のネットワーク パケットを直接キャプチャする機能 (Wireshark で開ける .cap 形式)。VM Extension (Network Watcher Agent) をインストール必須。
本番では Storage Account の Egress コストに注意、Filter で対象を絞ってからキャプチャするのが基本パターン。
定期的な接続性テストを継続実行して可用性・遅延を監視する機能。Connection Troubleshoot が単発実行なのに対し、Connection Monitor は『30 秒-30 分間隔の継続テスト』。
Azure Monitor Alert と統合で『接続性低下時に SOC 通知』、Workbook で可視化。SLA / SLO の Indicator として継続活用。
NSG Flow Logs を Log Analytics に集約して Visualization・Insight を提供する機能。
Cost: Log Analytics の追加 Workspace 容量分のみ (Traffic Analytics 自体は無料)。
多くの場合 Step 2-3 で原因特定 (NSG 設定ミス・UDR 設定ミス・FQDN 解決失敗)、まず Connection Troubleshoot から開始するのが効率的。
| 問題 | 原因 | 対処 |
|---|---|---|
| VM 間通信不可 | NSG Deny ルール | IP Flow Verify で確認・NSG 修正 |
| App Service → SQL DB 不可 | SQL Firewall・VNet Integration 未設定 | Connection Troubleshoot + Private Endpoint 構成 |
| VM → Internet 不可 | UDR で Firewall 経由・Firewall ルール | Next Hop + Firewall ルール確認 |
| VPN 接続性低下 | BGP 障害・Tunnel 切断 | Connection Monitor + VPN Diagnostic |
| 遅延増大 | ExpressRoute 障害・経路変更 | Network Performance Monitor |
| DNS 解決失敗 | Private DNS Zone・カスタム DNS 未設定 | nslookup + DNS Diagnostic |
Network Watcher とは?
Azure Network Watcher は Azure ネットワークの監視・診断・トラブルシューティングを統合管理する Microsoft マネージドサービス。リージョン単位で 1 つ自動的に作成 (Subscription 内の特定 Region で Network Watcher 有効化必要)。主要機能: 1) Connection Troubleshoot (任意の 2 リソース間の接続性診断)、2) IP Flow Verify (NSG ルール判定シミュレーション)、3) Next Hop (ルーティング判定)、4) NSG Diagnostic (NSG 評価結果詳細)、5) Packet Capture (VM の Packet キャプチャ)、6) NSG Flow Logs (全 NSG トラフィックログ)、7) Connection Monitor (継続的接続性監視)、8) Traffic Analytics (フロー集計可視化)、9) Topology (ネットワーク図自動生成)、10) Effective Routes / Security Rules (実効ルート・セキュリティルール表示)。Azure ネットワークトラブルシューティングの中核で、AZ-700 試験で深く問われます。
Connection Troubleshoot の使い方は?
Connection Troubleshoot は 2 つの Azure リソース間 (VM ↔ VM・VM ↔ Storage・VM ↔ App Service・VM ↔ FQDN) の接続性を診断する機能。動作: 1) Source Resource (VM) を指定、2) Destination (IP / FQDN / Azure Resource) を指定、3) Port 指定 (例: 443)、4) Test 実行 → 各 Hop の結果と遅延を表示、5) 失敗時は失敗原因 (NSG Deny・UDR 設定ミス・Network Interface 構成・Firewall Block) を特定。Azure Portal で GUI、Azure CLI (az network watcher connectivity)・PowerShell (Test-AzNetworkWatcherConnectivity)・REST API でも実行可。本番運用で『VM A から VM B に通信できない』『App Service から SQL DB に接続できない』のような問題発生時、最初に Connection Troubleshoot を実行して原因切り分けが定石です。
IP Flow Verify は何ができますか?
IP Flow Verify は特定のパケット (Source IP・Source Port・Destination IP・Destination Port・Protocol) が NSG ルールで許可されるか拒否されるかをシミュレーションする機能。実際にパケットを送らずに NSG ルール評価のみ実行。代表的なユースケース: 1) NSG ルール変更前の影響評価 (本番影響なく検証)、2) 接続性問題発生時の NSG 原因切り分け、3) Compliance 監査 (特定通信が Block されていることの証明)。動作: 1) Source / Destination NIC または IP 指定、2) Protocol (TCP / UDP) 指定、3) Source Port / Destination Port 指定、4) Direction (Inbound / Outbound) 指定、5) 実行 → Allow / Deny + 適用されたルール名表示。Connection Troubleshoot が実通信ベースなのに対し、IP Flow Verify は静的シミュレーションで瞬時に結果取得。本番運用前の NSG 検証で頻繁に使用される必須機能です。
Packet Capture の活用は?
Packet Capture は VM 内のネットワーク パケットを直接キャプチャする機能 (Wireshark で開ける .cap 形式)。VM Extension (Network Watcher Agent) をインストール必須 (Windows / Linux 両対応)。設定: 1) Storage Account 指定 (キャプチャファイル保存先)、2) Filter (Source IP・Destination IP・Protocol・Port で対象パケット絞り込み)、3) Maximum Bytes per Packet・Maximum Bytes per Session・Time Limit、4) Start → 自動キャプチャ。代表的なユースケース: 1) アプリ間通信の Header / Payload 解析、2) TLS Handshake 失敗の根本原因特定、3) DNS 解決問題の調査、4) 性能問題 (Re-transmission・Window Size)、5) Security 攻撃の Forensic 調査。本番では Storage Account の Egress コストに注意 (大量データ書き出し)、Filter で対象を絞ってからキャプチャするのが基本パターンです。
Connection Monitor (継続的接続性監視) は?
Connection Monitor は定期的な接続性テストを継続実行して可用性・遅延を監視する機能。Connection Troubleshoot が単発実行なのに対し、Connection Monitor は『Source エージェント (VM) → Destination (Azure Resource・External Endpoint) への 30 秒-30 分間隔の継続テスト』。代表的な監視シナリオ: 1) Multi-region Web アプリの各 Region から DB への接続性常時監視、2) オンプレ → Azure VPN 接続の遅延継続トラッキング、3) 外部 API (Stripe・SendGrid) への接続性監視、4) AKS Pod ↔ Pod 通信の遅延ベースライン取得。Azure Monitor Alert と統合で『接続性低下時に SOC 通知』、Workbook で可視化。本番運用では SLA / SLO の Indicator として継続活用する重要機能、Application Insights と組み合わせて E2E 可観測性を実現します。
Traffic Analytics の活用は?
Traffic Analytics は NSG Flow Logs を Log Analytics に集約して Visualization・Insight を提供する機能。NSG Flow Logs (生ログ) は大量・解析困難だが、Traffic Analytics で集計・可視化済みダッシュボードが標準提供。代表的なレポート: 1) Top Talker (最も大量通信している Source / Destination IP)、2) Geo Map (国別トラフィック量)、3) Blocked Traffic (拒否された通信の集計)、4) Application Port (TCP 443・80 別トラフィック量)、5) VNet → VNet トラフィック、6) VM ↔ Public Internet 通信量。月次レポートで組織のネットワーク利用状況を可視化、コスト最適化・セキュリティ異常検知に活用。Cost: Log Analytics の追加 Workspace 容量分のみ (Traffic Analytics 自体は無料)。本番運用では Microsoft Sentinel との統合で SOC 視点での異常通信検知が標準パターンです。
Network Watcher のトラブルシューティングフローは?
標準的な切り分けフロー: 1) 問題報告 (例: VM A から VM B に通信できない)、2) Connection Troubleshoot で実通信テスト → 失敗 Hop 特定、3) IP Flow Verify で NSG ルール判定確認 (静的シミュレーション)、4) Next Hop で UDR ルーティング確認 (Hub-Spoke の Hub Firewall 経由か等)、5) Effective Routes / Security Rules で実効設定確認、6) DNS 問題なら Connection Troubleshoot で FQDN 解決確認・Network Watcher の DNS Diagnostic 利用、7) パケットレベルの詳細解析が必要なら Packet Capture で取得 → Wireshark 解析、8) 継続的問題なら Connection Monitor で長期トレンド分析。多くの場合 Step 2-3 で原因特定 (NSG 設定ミス・UDR 設定ミス・FQDN 解決失敗) のため、まず Connection Troubleshoot から開始するのが効率的です。
関連認定試験は?
AZ-700 (Network Engineer Associate) で Network Watcher が深く問われる本領域の本命認定 (Connection Troubleshoot・IP Flow Verify・Next Hop・Packet Capture・Connection Monitor 全機能)。AZ-104 (Administrator) のドメイン 4 で基礎、AZ-305 (Solutions Architect Expert) でアーキテクト視点での監視設計、SC-100 (Cybersecurity Architect Expert) で SOC 視点でのトラブルシューティング、SC-200 (Security Operations Analyst) で NSG Flow Logs を Microsoft Sentinel に送信して異常検知。Azure ネットワークエンジニア・SRE・SOC アナリストにとって Network Watcher の理解は必須スキルです。
関連記事・技術深掘り
Azure NSG / ASG 設計集|Network Security Group ルール設計・Application Security Group 活用パターン【2026 年版】
Azure の NSG (Network Security Group) と ASG (Application Security Group) の完全設計ガイド。ルール優先度・Service Tags・3-tier ASG 設計パターン・NSG Flow Logs・Traffic Analytics・落とし穴・関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
Azure セキュリティエンジニア キャリアロードマップ|SC-900 → SC-200/300/400 → SC-100 シニアへの道【2026 年版】
Azure セキュリティエンジニアになるための認定取得ロードマップ完全版。SC-900 → SC-200/300/400 のいずれか → SC-100 / SC-500 の王道ルート、ロール別の優先順序、CISSP との二刀流戦略、SC-500 (旧 AZ-500 後継、2026-09 GA 予定) の動向、10-15 ヶ月の学習プラン、年収レンジまで日本語で網羅。
Azure DDoS Protection 完全ガイド|Network/IP Protection・Always On Detection・WAF 組み合わせ【2026 年版】
Azure DDoS Protection の完全ガイド。DDoS Network Protection vs IP Protection vs Infrastructure Protection の使い分け、Always On Detection・Adaptive Tuning・Cost Protection、Application Gateway / Front Door WAF との組み合わせ、Microsoft DRR サポート、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
本記事の技術情報は Azure Network Watcher Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...