تسجيل الموارد لمجموعة أمان الشبكة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تتضمن مجموعة أمان الشبكة (NSG) القواعد التي تسمح أو ترفض المرور إلى شبكة ظاهرية فرعية أو واجهة شبكة أو كليهما.

عند تمكين تسجيل الدخول لـ NSG، يمكنك جمع الأنواع التالية من معلومات سجل الموارد:

• الحدث: يتم تسجيل الإدخالات التي يتم من أجلها تطبيق قواعد NSG على الأجهزة الظاهرية، استناداً إلى عنوان وحدة تحكم وصول الوسائط.
• عداد القاعدة: يحتوي على إدخالات لعدد المرات التي يتم فيها تطبيق كل قاعدة من قواعد NSG لرفض استخدام الشبكة أو السماح به. يتم جمع حالة هذه القواعد كل 300 ثانية.

لا تتوفر سجلات الموارد إلا لـ NSGs التي تم توزيعها من خلال نموذج توزيع Azure Resource Manager. لا يمكنك تمكين تسجيل الموارد لـ NSGs التي يتم توزيعها من خلال نموذج التوزيع الكلاسيكي. لفهم أفضل للنموذجين، راجع فهم نماذج توزيع Azure.

يتم تمكين تسجيل الموارد بشكل منفصل لكل NSG تريد جمع بيانات التشخيص لها. إذا كنت مهتماً بسجلات النشاط (التشغيلية) بدلاً من ذلك، فراجع تسجيل نشاط Azure. إذا كنت مهتماً بتدفق حركة مرور IP من خلال NSGs فراجع سجلات تدفق NSG في Azure Network Watcher

تمكين التسجيل

يمكنك استخدام مدخل Azure، أو PowerShell، أو Azure CLI لتمكين تسجيل الموارد.

مدخل Azure

1. الانتقال إلى المدخل.

2. حدد "All services"، ثم اكتب "network security groups". عندما تظهر "Network security groups" في نتائج البحث، حددها.

3. حدد NSG التي تريد تمكين التسجيل لها.

4. ضمن "MONITORING"، حدد "Diagnostics logs"، ثم حدد "Turn on diagnostics"، كما هو موضح في الصورة التالية:

   

5. ضمن "Diagnostics settings"، أدخل المعلومات التالية أو حددها، ثم حدد "Save":

   إعداد	القيمة
   الاسم	اسم من اختيارك. على سبيل المثال: myNsgDiagnostics
   الأرشفة إلى حساب تخزين، والبث إلى مركز أحداث، والإرسال إلى تحليلات السجل	يمكنك تحديد عدد الوجهات التي تختارها. لمعرفة المزيد عن كل منها، راجع وجهات السجل.
   LOG	حدد إحدى فئتي السجل أو كليهما. لمعرفة المزيد حول البيانات المسجلة لكل فئة، راجع فئات السجل.

6. عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

PowerShell

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

يمكنك تشغيل الأوامر التي تتبع في Azure Cloud Shell، أو عن طريق تشغيل PowerShell من الكمبيوتر. Azure Cloud Shell هو واجهة تفاعلية مجانية. يحتوي على أدوات Azure الشائعة والمثبتة مسبقًا والتي تم تكوينها للاستخدام مع حسابك. إذا قمت بتشغيل PowerShell من جهاز الكمبيوتر الخاص بك، فأنت بحاجة إلى الوحدة النمطية Azure PowerShell، الإصدار 1.0.0 أو إصدار أحدث. شغّل Get-Module -ListAvailable Az على جهاز الكمبيوتر الخاص بك، للعثور على الإصدار المُثبت. إذا كنت بحاجة إلى الترقية، فراجع تثبيت الوحدة النمطية Azure PowerShell. إذا كنت تقوم بتشغيل PowerShell محلياً، فستحتاج أيضاً إلى تشغيل Connect-AzAccount لتسجيل الدخول إلى Azure بحساب لديه الأذونات اللازمة.

لتمكين تسجيل الموارد، تحتاج معرّف NSG الحالية. إذا لم يكن لديك NSG موجودة، يمكنك إنشاء واحدة باستخدام New-AzNetworkSecurityGroup.

استرداد مجموعة أمان الشبكة التي تريد تمكين تسجيل المورد لها باستخدام Get-AzNetworkSecurityGroup. على سبيل المثال، لاسترداد NSG المسماة myNsg الموجودة في مجموعة موارد تسمى myResourceGroup، أدخل الأمر التالي:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

يمكنك كتابة سجلات الموارد إلى ثلاثة أنواع من الوجهات. لمزيد من المعلومات، راجع وجهات السجل. في هذه المقالة، يتم إرسال السجلات إلى الوجهة Log Analytics، كمثال. استرداد مساحة عمل Log Analytics باستخدام Get-AzOperationalInsightsWorkspace. على سبيل المثال، لاسترداد مساحة عمل موجودة تسمى myWorkspace في مجموعة موارد تسمى myWorkspaces، أدخل الأمر التالي:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

إذا لم تكن لديك مساحة عمل موجودة، يمكنك إنشاء واحدة باستخدام New-AzOperationalInsightsWorkspace.

هناك فئتان من التسجيل يمكنك تمكين السجلات لهما. لمزيد من المعلومات، راجع فئات السجل. تمكين تسجيل الموارد لـ NSG باستخدام Set-AzDiagnosticSetting. يسجل المثال التالي بيانات كل من فئة الحدث وفئة العداد إلى مساحة العمل لـ NSG، باستخدام معرّفات NSG ومساحة العمل التي استرددتها سابقاً:

Set-AzDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

إذا كنت تريد تسجيل البيانات لفئة واحدة فقط بدلاً من كليهما، أضِف الخيار -Categories إلى الأمر السابق متبوعاً بـ NetworkSecurityGroupEvent أو NetworkSecurityGroupRuleCounter. إذا كنت ترغب في التسجيل إلى وجهة مختلفة عن مساحة عمل Log Analytics، فاستخدم المعلمات المناسبة لحساب تخزين Azure أو Event Hub.

عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

Azure CLI

يمكنك تشغيل الأوامر التالية في Azure Cloud Shell، أو عن طريق تشغيل Azure CLI من جهاز الكمبيوتر الخاص بك. Azure Cloud Shell هو واجهة تفاعلية مجانية. يحتوي على أدوات Azure الشائعة والمثبتة مسبقًا والتي تم تكوينها للاستخدام مع حسابك. إذا قمت بتشغيل CLI من الكمبيوتر الخاص بك، فأنت بحاجة إلى الإصدار 2.0.38 أو إصدار أحدث. شغّل az --version على جهاز الكمبيوتر الخاص بك، للعثور على الإصدار المُثبت. إذا كنت بحاجة إلى الترقية، فراجع تثبيت Azure CLI. إذا كنت تقوم بتشغيل CLI محلياً، فستحتاج أيضاً إلى تشغيل az login لتسجيل الدخول إلى Azure بحساب لديه الأذونات اللازمة.

لتمكين تسجيل الموارد، تحتاج معرّف NSG الحالية. إذا لم يكن لديك NSG موجودة، فيمكنك إنشاء واحدة باستخدام az network nsg create.

استرداد مجموعة أمان الشبكة التي تريد تمكين تسجيل المورد لها باستخدام az network nsg show. على سبيل المثال، لاسترداد NSG المسماة myNsg الموجودة في مجموعة موارد تسمى myResourceGroup، أدخل الأمر التالي:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

يمكنك كتابة سجلات الموارد إلى ثلاثة أنواع من الوجهات. لمزيد من المعلومات، راجع وجهات السجل. في هذه المقالة، يتم إرسال السجلات إلى الوجهة Log Analytics، كمثال. لمزيد من المعلومات، راجع فئات السجل.

تمكين تسجيل الموارد لـ NSG باستخدام az monitor diagnostic-settings create. يسجل المثال التالي بيانات كل من فئة الحدث وفئة العداد إلى مساحة عمل موجودة تسمى myWorkspace، الموجودة في مجموعة موارد تسمى myWorkspaces، ومعرّف NSG التي استرددتها سابقاً:

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

إذا لم يكن لديك مساحة عمل موجودة، يمكنك إنشاء واحدة باستخدام مدخل Microsoft Azure أو PowerShell. هناك فئتان من التسجيل يمكنك تمكين السجلات لهما.

إذا كنت تريد تسجيل البيانات لفئة واحدة فقط، فقم بإزالة الفئة التي لا تريد تسجيل البيانات لها في الأمر السابق. إذا كنت ترغب في التسجيل إلى وجهة مختلفة عن مساحة عمل Log Analytics، فاستخدم المعلمات المناسبة لحساب تخزين Azure أو Event Hub.

عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

وجهات السجل

يمكن أن تكون بيانات التشخيص:

• مكتوبة إلى حساب تخزين Azure، للتدقيق أو الفحص اليدوي. يمكنك تحديد وقت الاستبقاء (بالأيام) باستخدام إعدادات تشخيص المورد.
• يتم بثها إلى مركز الحدث لتحويلها بواسطة خدمة تابعة لجهة خارجية، أو حل تحليلات مخصص، مثل PowerBI.
• مكتوبة إلى سجلات Azure Monitor.

فئات السجلات

تتم كتابة البيانات بتنسيق JSON لفئات السجل التالية:

الحدث

يحتوي سجل الأحداث على معلومات حول قواعد NSG التي يتم تطبيقها على الأجهزة الظاهرية، استناداً إلى عنوان وحدة تحكم وصول الوسائط. يتم تسجيل البيانات التالية لكل حدث. في المثال التالي، يتم تسجيل البيانات لجهاز ظاهري بعنوان IP 192.168.1.4 وعنوان وحدة تحكم وصول الوسائط (MAC) 00-0D-3A-92-6A-7C:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupEvent",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupEvents",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"priority":"[PRIORITY-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"conditions":{
			"protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
			"destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
			"destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
			}
		}
}

عدّاد القاعدة

يحتوي سجل عدّاد القاعدة على معلومات حول كل قاعدة يتم تطبيقها على الموارد. يتم تسجيل بيانات المثال التالي في كل مرة يتم فيها تطبيق قاعدة. في المثال التالي، يتم تسجيل البيانات لجهاز ظاهري بعنوان IP 192.168.1.4 وعنوان وحدة تحكم وصول الوسائط (MAC) 00-0D-3A-92-6A-7C:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupRuleCounter",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupCounters",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"matchedConnections":125
		}
}

ملاحظة

لم يتم تسجيل عنوان IP المصدر الخاص بالاتصال. ومع ذلك يمكنك تمكين تسجيل تدفق NSG لـ NSG، الذي يسجل جميع معلومات عدّاد القاعدة، بالإضافة إلى عنوان IP المصدر الذي بدأ الاتصال. تتم كتابة بيانات سجل تدفق مجموعة أمان شبكة الاتصال(NSG) في حساب Azure Storage. يمكنك تحليل البيانات باستخدام إمكانية تحليلات نسبة استخدام الشبكة في Azure Network Watcher.

عرض السجلات وتحليلها

لمعرفة كيفية عرض بيانات سجل الموارد، يرجى مراجعة نظرة عامة على سجلات النظام الأساسي لـ Azure. إذا قمت بإرسال بيانات التشخيص إلى:

• سجلات Azure Monitor: يمكنك استخدام حل تحليلات مجموعة أمان الشبكة للحصول على رؤى محسنة. يوفر الحل تصورات لقواعد NSG التي تسمح أو ترفض حركة المرور، لكل عنوان وحدة تحكم وصول الوسائط، لواجهة الشبكة في جهاز ظاهري.
• حساب تخزين Azure: تتم كتابة البيانات في ملف PT1H.json. يمكنك العثور على:
  • سجل الأحداث في المسار التالي: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
  • سجل عدّاد القاعدة في المسار التالي: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

الخطوات التالية

• تعرف على المزيد حول تسجيل النشاط. يتم تمكين تسجيل النشاط افتراضياً لـ NSGs التي تم إنشاؤها من خلال نموذج توزيع Azure. لتحديد العمليات التي تم إكمالها على NSGs في سجل النشاط، ابحث عن الإدخالات التي تحتوي على أنواع الموارد التالية:
  • Microsoft.ClassicNetwork/networkSecurityGroups
  • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
  • Microsoft.Network/networkSecurityGroups
  • Microsoft.Network/networkSecurityGroups/securityRules
• لمعرفة كيفية تسجيل معلومات التشخيص، لتضمين عنوان IP المصدر لكل تدفق، يرجى مراجعة تسجيل تدفق NSG.