البرنامج التعليمي: سجل نسبة استخدام الشبكة من وإلى الجهاز الظاهري باستخدام مدخل Microsoft Azure
تمكّنك مجموعة أمان شبكة الاتصال(NSG) من تصفية نسبة استخدام الشبكة الواردة إلى الجهاز الظاهري ونسبة استخدام الشبكة الصادرة منه. يمكنك تسجيل نسبة استخدام الشبكة التي تتدفق عبر مجموعة أمان شبكة الاتصال(NSG) باستخدام إمكانية سجل تدفق مجموعة أمان شبكة الاتصال(NSG) في Network Watcher.
في هذا البرنامج التعليمي، تتعلم كيفية:
- قم بإنشاء جهاز ظاهري مع مجموعة أمان شبكة الاتصال(NSG)
- قم بتمكين Network Watcher وتسجيل موفر الخدمة Microsoft.Insights
- قم بتمكين سجل تدفق نسبة استخدام الشبكة لمجموعة أمان شبكة الاتصال(NSG)، باستخدام إمكانية سجل تدفق مجموعة أمان شبكة الاتصال(NSG) الخاص بـ Network Watcher
- قم بتنزيل البيانات المسجلة
- عرض البيانات المسجلة
المتطلبات الأساسية
- حساب Azure باشتراك نشط. قم بإنشاء حساب مجاني.
إنشاء جهاز ظاهري
تسجيل الدخول إلى مدخل Azure.
في مربع البحث أعلى البوابة، أدخل Virtual machine. حدد "Virtual machines".
في "Virtual machines" ، حدد "+ Create" ثم "+ Virtual machine" .
أدخل المعلومات التالية أو حددها في إنشاء جهاز ظاهري.
الإعداد القيمة تفاصيل المشروع الاشتراك حدد اشتراكك. مجموعة الموارد حدد Create new. أدخِل myResourceGroup في الاسم. حدد OK. تفاصيل المثيل اسم الجهاز الظاهري أدخل myVM. المنطقة حدد (US) East US. خيارات التوفر حدد No infrastructure redundancy required. نوع الأمان اترك الإعداد الافتراضي "Standard" . صورة حدد مركز بيانات Windows Server 2022: Azure Edition - Gen2. مثيل Azure Spot اترك الإعداد الافتراضي. الحجم تحديد الحجم. حساب المسؤول نوع المصادقة حدد المفتاح العمومي SSH. اسم المستخدم أدخل اسم المستخدم. كلمة المرور أدخل كلمة مرور. تأكيد كلمة المرور تأكيد كلمة المرور. قواعد منفذ الوارد المنافذ العامة الواردة اترك الإعداد الافتراضي للسماح بالمنافذ المحددة. تحديد المنافذ الواردة اترك الخيار الافتراضي RDP (3389) . حدد Review + create.
حدد Create.
يستغرق إنشاء الجهاز الظاهري بضع دقائق. لا تستمر في الخطوات المتبقية حتى ينتهي الجهاز الظاهري من الإنشاء. بينما تقوم البوابة الإلكترونية بإنشاء الجهاز الظاهري ، فإنها تنشئ أيضا مجموعة أمان شبكة باسم myVM-nsg ، وتربطها بواجهة الشبكة للجهاز الظاهري.
تمكين Network Watcher
إذا كان لديك بالفعل مراقب شبكة ممكّن في منطقة شرق الولايات المتحدة، فانتقل إلى Register Insights Provider .
في مربع البحث أعلى البوابة الإلكترونية، أدخل مراقب الشبكة. حدد مراقب الشبكة في نتائج البحث.
في صفحة نظرة عامة علىمراقب الشبكة، حدد + إضافة.
حدد اشتراكك في إضافة مراقب شبكة. حدد (الولايات المتحدة ) شرق الولايات المتحدة في المنطقة.
حدد إضافة.
موفر الخدمة Register Insights
يتطلب تسجيل تدفق NSG موفر Microsoft.Insights. لتسجيل موفر الخدمة، أكمل الخطوات التالية:
في مربع البحث أعلى البوابة الإلكترونية، أدخل الاشتراكات. حدد الاشتراكات في نتائج البحث.
حدد الاشتراك الذي تريد تمكين الموفر له في الاشتراكات.
حدد موفري المواردفي الإعدادات من اشتراكك.
أدخل Microsoft.Insights في مربع التصفية.
تأكد من أن حالة المزود المعروض مسجلة. إذا كانت الحالة غير مسجلة، فحدد الموفر ثم حدد تسجيل.
تفعيل سجل تدفق مجموعة أمان شبكة الاتصال(NSG)
تتم كتابة بيانات سجل تدفق مجموعة أمان شبكة الاتصال(NSG) في حساب Azure Storage. أكمل الخطوات التالية لإنشاء حساب تخزين لبيانات السجل.
في مربع البحث أعلى البوابة الإلكترونية، أدخل حساب التخزين. حدد حسابات التخزين في نتائج البحث.
في حسابات التخزين، حدد + إنشاء.
أدخل المعلومات التالية أو حددها في إنشاء حساب تخزين.
الإعداد القيمة تفاصيل المشروع الاشتراك حدد اشتراكك. مجموعة الموارد: حدد myResourceGroup. تفاصيل المثيل اسم حساب التخزين أدخل اسمًا خاصًا لحساب التخزين. يجب أن يتراوح طوله بين 3 و24 حرفا، ويمكن أن يحتوي فقط على أحرف وأرقام صغيرة، ويجب أن يكون فريدا عبر جميع وحدات تخزين Azure. المنطقة حدد (الولايات المتحدة ) شرق الولايات المتحدة. الأداء اترك الإعداد الافتراضي "Standard" . التكرار اترك الإعداد الافتراضي للتخزين الجغرافي الزائد (GRS). حدد Review + create.
حدد Create.
قد يستغرق إنشاء حساب التخزين حوالي دقيقة. لا تستمر في الخطوات المتبقية حتى يتم إنشاء حساب التخزين. في جميع الحالات، يجب أن يكون حساب التخزين في نفس المنطقة مثل مجموعة أمان شبكة الاتصال(NSG).
في مربع البحث أعلى البوابة الإلكترونية، أدخل مراقب الشبكة. حدد مراقب الشبكة في نتائج البحث.
حدد سجلات تدفق NSG في السجلات.
في | مراقب الشبكة سجلات تدفق NSG ، حدد + إنشاء.
أدخل المعلومات التالية أو حددها في إنشاء سجل تدفق.
الإعداد القيمة تفاصيل المشروع الاشتراك حدد اشتراكك. مجموعة أمن الشبكة حدد myVM-nsg. اسم السجل Flow اترك الإعداد الافتراضي ل myVM-nsg-myResourceGroup-flowlog. تفاصيل المثيل تحديد حساب التخزين الاشتراك حدد اشتراكك. حسابات التخزين حدد حساب التخزين الذي أنشأته في الخطوات السابقة. الاحتفاظ (بالأيام) أدخل وقت الاحتفاظ بالسجلات. حدد Review + create.
حدد Create.
تنزيل سجل التدفق
في مربع البحث أعلى البوابة الإلكترونية، أدخل حساب التخزين. حدد حسابات التخزين في نتائج البحث.
حدد حساب التخزين الذي أنشأته في الخطوات السابقة.
في تخزين البيانات، حدد الحاويات.
حدد حاوية الأحداث بين الرؤى والسجلات وأمان الشبكة .
في الحاوية، انتقل إلى التسلسل الهرمي للمجلدات حتى تصل إلى ملف PT1H.json. تتم كتابة ملفات السجل إلى تسلسل هرمي للمجلد يتبع اصطلاح التسمية التالي:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
حدد ... على يسار الملف PT1H.json، ثم حدد تنزيل.
عرض سجل التدفق
يعرض المثال التالي json البيانات التي ستراها في الملف PT1H.json لكل تدفق تم تسجيله:
الإصدار 1 حدث سجل التدفق
{
"time": "2018-05-01T15:00:02.1713710Z",
"systemId": "<Id>",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3A170C69",
"flowTuples": [
"1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
]
}
]
}
]
}
}
الإصدار 2 حدث سجل التدفق
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
}
قيمةmac في المخرجات السابقة هي عنوان MAC لواجهة الشبكة التي تم إنشاؤها عندما تم إنشاء الجهاز الظاهري. تكون المعلومات المفصولة بفواصل لـ flowTuples كما يلي:
| مثال على البيانات | ما تمثله البيانات | التوضيح |
|---|---|---|
| 1542110377 | الطابع الزمني | الطابع الزمني لوقت حدوث التدفق، بتنسيق UNIX EPOCH. في المثال السابق، يتم تحويل التاريخ إلى 1 مايو 2018 الساعة 2:59:05 مساءً بتوقيت جرينتش. |
| 10.0.0.4 | عنوان IP المصدر | عنوان IP المصدر الذي نشأ منه التدفق. 10.0.0.4 هو عنوان IP الخاص بالجهاز الظاهري الذي قمت بإنشائه في إنشاء جهاز ظاهري. |
| 13.67.143.118 | عنوان IP الوجهة | عنوان IP الوجهة التي تم توجيه التدفق إليها. |
| 44931 | منفذ المصدر | المنفذ المصدر الذي نشأ منه التدفق. |
| 443 | منفذ الوجهة | منفذ الوجهة الذي كان متجهًا إليه التدفق. نظرًا إلى أن نسبة استخدام الشبكة كانت موجهة إلى المنفذ 443، فإن القاعدة المسماة UserRule_default-allow-rdp، في ملف السجل عالجت التدفق. |
| T | البروتوكول | ما إذا كان بروتوكول التدفق هو TCP (T) أو UDP (U). |
| -O | الاتجاه | ما إذا كانت نسبة استخدام الشبكة واردة (I) أو صادرة (O). |
| A | إجراء | ما إذا كانت نسبة استخدام الشبكة مسموحًا بها (A) أو مرفوضة (D). |
| C | حالة التدفق Version 2 Only | يلتقط حالة التدفق. الحالات المحتملة هي ب: ابدأ، عندما يتم إنشاء التدفق. لم يتم توفير الإحصائيات. ج: متابعة لتدفق مستمر. يتم توفير الإحصائيات على فترات 5 دقائق. آينشتاين: انتهى، عند انتهاء التدفق. يتم توفير الإحصائيات. |
| 30 | الحزم المرسلة - المصدر إلى الوجهة الإصدار 2 فقط | العدد الإجمالي لحزم TCP أو UDP المرسلة من المصدر إلى الوجهة منذ آخر تحديث. |
| 16978 | البايت المرسلة - المصدر إلى الوجهة Version 2 Only | العدد الإجمالي لوحدات بايت حزم TCP أو UDP المرسلة من المصدر إلى الوجهة منذ آخر تحديث. تتضمن بايتات الحزمة رأس الحزمة والحمولة. |
| 24 | الحزم المرسلة - الوجهة إلى المصدرVersion 2 Only | العدد الإجمالي لحزم TCP أو UDP المرسلة من وجهة إلى مصدر منذ آخر تحديث. |
| 14008 | البايت المرسلة - الوجهة إلى المصدرVersion 2 Only | العدد الإجمالي لوحدات بايت حزم TCP وUDP المرسلة من وجهة إلى مصدر منذ آخر تحديث. تتضمن حزم البايت رأس الحزمة والحمولة. |
الخطوات التالية
في هذا البرنامج التعليمي، نتعلم طريقة القيام بما يأتي:
- تمكين تسجيل تدفق NSG ل NSG
- قم بتنزيل البيانات المسجلة في ملف وعرضها.
قد يكون من الصعب تفسير البيانات الأولية في ملف json. لتصور بيانات سجلات Flow، يمكنك استخدام Azure Traffic AnalyticsوMicrosoft Power BI.
للحصول على طرق بديلة لتمكين NSG Flow سجلات، راجع قوالب PowerShellوAzure CLIوREST APIResource Manager.
تقدم إلى المقالة التالية لمعرفة كيفية مراقبة اتصال الشبكة بين جهازين ظاهريين: