Share via

البرنامج التعليمي: سجل نسبة استخدام الشبكة من وإلى الجهاز الظاهري باستخدام مدخل Microsoft Azure

  • مقالة

يعد تسجيل تدفق مجموعة أمان الشبكة إحدى ميزات Azure Network Watcher التي تسمح لك بتسجيل معلومات حول حركة مرور IP المتدفقة من خلال مجموعة أمان الشبكة. لمزيد من المعلومات حول تسجيل تدفق مجموعة أمان الشبكة، راجع نظرة عامة على سجلات تدفق NSG.

يساعدك هذا البرنامج التعليمي على استخدام سجلات تدفق NSG لتسجيل حركة مرور شبكة الجهاز الظاهري التي تتدفق عبر مجموعة أمان الشبكة المرتبطة بواجهة الشبكة الخاصة به.

يوضح الرسم التخطيطي الموارد التي تم إنشاؤها أثناء البرنامج التعليمي.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إنشاء شبكة ظاهرية
  • إنشاء جهاز ظاهري مع مجموعة أمان شبكة مرتبطة بواجهة الشبكة الخاصة به
  • تسجيل موفر Microsoft.insights
  • تمكين تسجيل التدفق لمجموعة أمان شبكة باستخدام سجلات تدفق Network Watcher
  • قم بتنزيل البيانات المسجلة
  • عرض البيانات المسجلة

المتطلبات الأساسية

  • حساب Azure مع اشتراك نشط. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.

إنشاء شبكة ظاهرية

في هذا القسم، يمكنك إنشاء شبكة ظاهرية myVNet مع شبكة فرعية واحدة للجهاز الظاهري.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل الشبكات الظاهرية. حدد Virtual networks من نتائج البحث.

    تظهر لقطة الشاشة البحث عن الشبكات الظاهرية في مدخل Microsoft Azure.

  3. حدد + إنشاء. في Create virtual network، أدخل القيم التالية أو حددها في علامة التبويب Basics :

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد إنشاء جديد.
    أدخِل myResourceGroup في الاسم.
    حدد موافق.
    تفاصيل المثيل
    الاسم أدخل «myVNet»
    المنطقة حدد (US) East US.

  4. حدد "Review + create".

  5. راجع الإعدادات، ثم حدّد "إنشاء".

إنشاء جهاز ظاهري

في هذا القسم، يمكنك إنشاء جهاز ظاهري myVM .

  1. في مربع البحث أعلى المدخل، أدخل الأجهزة الظاهرية. حدد الأجهزة الظاهرية من نتائج البحث.

  2. حدد + Create ثم حدد Azure virtual machine.

  3. في إنشاء جهاز ظاهري، أدخل القيم التالية في علامة التبويب الأساسيات أو حدّدها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدّد myResourceGroup.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل myVM .
    المنطقة حدد (US) East US.
    خيارات التوفر حدد No infrastructure redundancy required.
    نوع الأمان حدد قياسي.
    Image حدد Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
    الحجم اختر حجما أو اترك الإعداد الافتراضي.
    حساب المسؤول
    اسم مستخدم أدخل username.
    كلمة المرور إدخال «password».
    تأكيد كلمة المرور اعادة ادخال كلمة السر.

  4. حدد علامة التبويب Networking، أو حدد Next: Disks، ثم Next: Networking.

  5. في علامة التبويب Networking، حدد القيم التالية:

    الإعداد القيمة‬
    واجهة الشبكة
    الشبكة الظاهرية حدّد «myVNet».
    الشبكة الفرعية حدد mySubnet.
    عنوان IP عام حدد (جديد) myVM-ip.
    المجموعة الأمنية للشبكة NIC حدد أساسي. ينشئ هذا الإعداد مجموعة أمان شبكة تسمى myVM-nsg ويربطها بواجهة الشبكة للجهاز الظاهري myVM .
    المنافذ العامة الواردة حدد Allow selected ports.
    حدد المنافذ الداخلية حدد RDP (3389).

    تنبيه

    يوصى فقط بترك منفذ RDP مفتوحا على الإنترنت للاختبار. بالنسبة لبيئات الإنتاج، يوصى بتقييد الوصول إلى منفذ RDP إلى عنوان IP محدد أو نطاق من عناوين IP. يمكنك أيضا حظر الوصول إلى الإنترنت إلى منفذ RDP واستخدام Azure Bastion للاتصال بشكل آمن بجهازك الظاهري من مدخل Microsoft Azure.

  6. حدد "Review + create".

  7. راجع الإعدادات، ثم حدّد "إنشاء".

  8. بمجرد اكتمال النشر، حدد Go to resource للانتقال إلى صفحة Overview في myVM.

  9. حدد الاتصال ثم حدد RDP.

  10. حدد Download RDP File وافتح الملف الذي تم تنزيله.

  11. حدد الاتصال ثم أدخل اسم المستخدم وكلمة المرور التي قمت بإنشائها في الخطوات السابقة. اقبل الشهادة إذا طلب منك ذلك.

سجّل موفر Insights

يتطلب تسجيل تدفق NSG موفر Microsoft.Insights. للتحقق من حالته، اتبع الخطوات التالية:

  1. في مربع البحث أعلى المدخل، أدخل الاشتراكات. حدّد "Subscriptions" من نتائج البحث.

  2. حدد اشتراك Azure الذي تريد تمكين الموفر له في الاشتراكات.

  3. حدد موفرو الموارد ضمن الإعدادات لاشتراكك.

  4. أدخل نتيجة تحليلات في مربع عامل التصفية.

  5. تأكد من أن حالة الموفر المعروض "Registered". إذا كانت الحالة NotRegistered، فحدد موفر Microsoft.Insights ثم حدد Register.

    لقطة شاشة لتسجيل موفر Microsoft Insights في مدخل Microsoft Azure.

إنشاء حساب تخزين

في هذا القسم، يمكنك إنشاء حساب تخزين لاستخدامه لتخزين سجلات التدفق.

  1. في مربع البحث أعلى المدخل، أدخل حسابات التخزين. حدّد Storage accounts في نتائج البحث.

  2. حدد + إنشاء. في Create a storage account، أدخل القيم التالية أو حددها في علامة التبويب Basics :

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدّد myResourceGroup.
    تفاصيل المثيل
    Storage account name أدخل اسمًا فريدًا. يستخدم هذا البرنامج التعليمي mynwstorageaccount.
    المنطقة حدد (US) East US. يجب أن يكون حساب التخزين في نفس المنطقة مثل الجهاز الظاهري ومجموعة أمان الشبكة الخاصة به.
    الأداء حدد قياسي. تدعم سجلات تدفق NSG حسابات التخزين من المستوى القياسي فقط.
    التكرار حدد التخزين المكرر محليا (LRS) أو استراتيجية النسخ المتماثل المختلفة التي تطابق متطلبات المتانة الخاصة بك.

  3. حدد علامة التبويب مراجعة أو حدد الزر مراجعة في الأسفل.

  4. راجع الإعدادات، ثم حدّد "إنشاء".

إنشاء سجل تدفق NSG

في هذا القسم، يمكنك إنشاء سجل تدفق NSG الذي تم حفظه في حساب التخزين الذي تم إنشاؤه مسبقا في البرنامج التعليمي.

  1. في مربع البحث أعلى المدخل، أدخل network watcher. في نتائج البحث، حدّد "Network Watcher".

  2. ضمن Logs، حدد Flow logs.

  3. في Network Watcher | سجلات التدفق، حدد الزر الأزرق + إنشاء أو إنشاء سجل تدفق.

    لقطة شاشة لصفحة سجلات التدفق في مدخل Microsoft Azure.

  4. أدخل القيم التالية أو حددها في إنشاء سجل تدفق:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد اشتراك Azure لمجموعة أمان الشبكة التي تريد تسجيلها.
    مجموعة أمان الشبكة حدد + Select resource.
    في تحديد مجموعة أمان الشبكة، حدد myVM-nsg. ثم حدد تأكيد التحديد.
    اسم سجل التدفق اترك الإعداد الافتراضي "myVM-nsg-myResourceGroup-flowlog".
    تفاصيل المثيل
    الاشتراك حدد اشتراك Azure لحساب التخزين الخاص بك.
    حسابات التخزين حدد حساب التخزين الذي أنشأته في الخطوات السابقة. يستخدم هذا البرنامج التعليمي mynwstorageaccount.
    استبقاء البيانات (بالأيام) أدخل 0 للاحتفاظ ببيانات سجلات التدفق في حساب التخزين إلى الأبد (حتى تحذفها من حساب التخزين). لتطبيق نهج استبقاء، أدخل وقت الاستبقاء بالأيام. للحصول على معلومات حول تسعير التخزين، راجع تسعير Azure Storage.

    لقطة شاشة لإنشاء صفحة سجل تدفق NSG في مدخل Microsoft Azure.

    إشعار

    ينشئ مدخل Microsoft Azure سجلات تدفق NSG في مجموعة موارد NetworkWatcherRG .

  5. حدد "Review + create".

  6. راجع الإعدادات، ثم حدّد "إنشاء".

  7. بمجرد اكتمال النشر، حدد Go to resource لتأكيد سجل التدفق الذي تم إنشاؤه وإدراجه في صفحة سجلات التدفق.

    لقطة شاشة لصفحة سجلات التدفق في مدخل Microsoft Azure تعرض سجل التدفق الذي تم إنشاؤه حديثا.

  8. ارجع إلى جلسة RDP الخاصة بك باستخدام الجهاز الظاهري myVM .

  9. افتح Microsoft Edge وانتقل إلى www.bing.com.

تنزيل سجل التدفق

في هذا القسم، يمكنك الانتقال إلى حساب التخزين الذي حددته مسبقا وتنزيل سجل تدفق NSG الذي تم إنشاؤه في القسم السابق.

  1. في مربع البحث أعلى المدخل، أدخل حسابات التخزين. حدّد Storage accounts في نتائج البحث.

  2. حدد mynwstorageaccount أو حساب التخزين الذي أنشأته مسبقا وحددته لتخزين السجلات.

  3. ضمن Data storage، حدد Containers.

  4. حدّد حاوية "insights-logs-networksecuritygroupflowevent".

  5. في الحاوية، انتقل إلى التسلسل الهرمي للمجلد حتى تصل إلى PT1H.json الملف. تتم كتابة ملفات سجل NSG إلى التسلسل الهرمي للمجلد الذي يتبع اصطلاح التسمية التالي:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. حدد علامة الحذف ... على يمين ملف PT1H.json، ثم حدد Download.

    لقطة شاشة توضح كيفية تنزيل سجل تدفق nsg من حاوية حساب التخزين في مدخل Microsoft Azure.

إشعار

يمكنك استخدام Azure Storage Explorer للوصول إلى سجلات التدفق وتنزيلها من حساب التخزين الخاص بك. لمزيد من المعلومات، راجع بدء استخدام Storage Explorer.

عرض سجل التدفق

افتح الملف الذي تم تنزيله PT1H.json باستخدام محرر نصوص من اختيارك. المثال التالي هو مقطع مأخوذ من الملف الذي تم تنزيله PT1H.json ، والذي يعرض تدفقا تمت معالجته بواسطة القاعدة DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

المعلومات المفصولة بفواصل ل flowTuples هي كما يلي:

مثال على البيانات ما تمثله البيانات الشرح
1677455097 طابع زمني الطابع الزمني لوقت حدوث التدفق بتنسيق UNIX EPOCH. في المثال السابق، يتم تحويل التاريخ إلى 26 فبراير 2023 11:44:57 مساء بالتوقيت العالمي المتفق عليه/GMT.
10.0.0.4 عنوان IP المصدر عنوان IP المصدر الذي نشأ منه التدفق. 10.0.0.4 هو عنوان IP الخاص للجهاز الظاهري الذي قمت بإنشائه مسبقا.
13.107.21.200 عنوان IP الوجهة عنوان IP الوجهة الذي تم توجيه التدفق إليه. 13.107.21.200 هو عنوان IP ل www.bing.com. نظرا لأن نسبة استخدام الشبكة موجهة خارج Azure، DefaultRule_AllowInternetOutBound معالجة قاعدة الأمان للتدفق.
49982 منفذ المصدر المنفذ المصدر الذي نشأ منه التدفق.
443 منفذ الوجهة منفذ الوجهة الذي كان متجهًا إليه التدفق.
T البروتوكول بروتوكول التدفق. T: TCP.
O الاتجاه اتجاه التدفق. O: الصادرة.
ش القرار القرار الذي اتخذته قاعدة الأمان. ج: مسموح به.
C إصدار حالة التدفق 2 فقط حالة التدفق. ج: متابعة لتدفق مستمر.
7 الحزم المرسلة الإصدار 2 فقط العدد الإجمالي لحزم TCP المرسلة إلى الوجهة منذ التحديث الأخير.
1158 وحدات البايت المرسلة الإصدار 2 فقط العدد الإجمالي لوحدات بايت حزمة TCP المرسلة من المصدر إلى الوجهة منذ التحديث الأخير. تتضمن بايتات الحزمة رأس الحزمة والحمولة.
12 الحزم المستلمة الإصدار 2 فقط العدد الإجمالي لحزم TCP المستلمة من الوجهة منذ التحديث الأخير.
8143 وحدات البايت المستلمة الإصدار 2 فقط العدد الإجمالي لوحدات بايت حزمة TCP المستلمة من الوجهة منذ التحديث الأخير. تتضمن حزم البايت رأس الحزمة والحمولة.

تنظيف الموارد

عند عدم الحاجة، احذف مجموعة موارد myResourceGroup وجميع الموارد التي تحتوي عليها:

  1. في مربع البحث أعلى المدخل، أدخل myResourceGroup. حدد myResourceGroup من نتائج البحث.

  2. حدد Delete resource group.

  3. في حذف مجموعة موارد، أدخل myResourceGroup، ثم حدد حذف.

  4. حدد حذف لتأكيد حذف مجموعة الموارد وجميع مواردها.

إشعار

سجل تدفق myVM-nsg-myResourceGroup-flowlog موجود في مجموعة موارد NetworkWatcherRG، ولكن سيتم حذفه بعد حذف مجموعة أمان شبكة myVM-nsg (عن طريق حذف مجموعة موارد myResourceGroup).

المحتوى ذو الصلة

  • لمعرفة المزيد حول سجلات تدفق NSG، راجع تسجيل التدفق لمجموعات أمان الشبكة.
  • لمعرفة كيفية إنشاء سجلات تدفق NSG أو تغييرها أو تمكينها أو تعطيلها أو حذفها، راجع إدارة سجلات تدفق NSG.
  • للتعرف على تحليلات نسبة استخدام الشبكة، راجع نظرة عامة على تحليلات نسبة استخدام الشبكة.