Kurz: Protokolování síťového provozu do a z virtuálního počítače pomocí webu Azure Portal

  • Článek

Protokolování toku skupiny zabezpečení sítě je funkce služby Azure Network Watcher, která umožňuje protokolovat informace o provozu PROTOKOLU IP procházejícího skupinou zabezpečení sítě. Další informace o protokolování toku skupiny zabezpečení sítě najdete v přehledu protokolů toku NSG.

Tento kurz vám pomůže použít protokoly toku NSG k protokolování síťového provozu virtuálního počítače, který prochází skupinou zabezpečení sítě přidruženou k jeho síťovému rozhraní.

Diagram znázorňuje prostředky vytvořené během kurzu.

V tomto kurzu se naučíte:

  • Vytvoření virtuální sítě
  • Vytvoření virtuálního počítače se skupinou zabezpečení sítě přidruženou k jeho síťovému rozhraní
  • Registrace poskytovatele Microsoft.insights
  • Povolení protokolování toku pro skupinu zabezpečení sítě pomocí protokolů toku služby Network Watcher
  • Stáhnout data protokolu
  • Zobrazit data protokolu

Požadavky

  • Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť myVNet s jednou podsítí pro virtuální počítač.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte virtuální sítě. Ve výsledcích hledání vyberte virtuální sítě .

    Snímek obrazovky znázorňující hledání virtuálních sítí na webu Azure Portal

  3. Vyberte + Vytvořit. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Do názvu zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte myVNet.
    Oblast Vyberte USA – východ.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte nastavení a pak vyberte Vytvořit.

Vytvoření virtuálního počítače

V této části vytvoříte virtuální počítač myVM .

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte + Vytvořit a pak vyberte virtuální počítač Azure.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instanci
    Virtual machine name Zadejte myVM.
    Oblast Vyberte USA – východ.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Vyberte položku Standardní.
    Image Vyberte Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Velikost Zvolte velikost nebo ponechte výchozí nastavení.
    účet Správa istrator
    Username Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.

  4. Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.

  5. Na kartě Sítě vyberte následující hodnoty:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte myVNet.
    Podsíť Vyberte mySubnet.
    Veřejná IP adresa Vyberte (nový) myVM-ip.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Basic. Toto nastavení vytvoří skupinu zabezpečení sítě s názvem myVM-nsg a přidruží ji k síťovému rozhraní virtuálního počítače myVM .
    Veřejné příchozí porty Vyberte Povolit vybrané porty.
    Vyberte příchozí porty Vyberte RDP (3389).

    Upozornění

    Pro testování se doporučuje nechat port RDP otevřený na internetu. V produkčních prostředích se doporučuje omezit přístup k portu RDP na konkrétní IP adresu nebo rozsah IP adres. Můžete také zablokovat přístup k internetu k portu RDP a pomocí služby Azure Bastion se bezpečně připojit k virtuálnímu počítači z webu Azure Portal.

  6. Vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a pak vyberte Vytvořit.

  8. Po dokončení nasazení vyberte Přejít k prostředku a přejděte na stránku Přehled virtuálního počítače myVM.

  9. Vyberte Připojení pak vyberte RDP.

  10. Vyberte Stáhnout soubor RDP a otevřete stažený soubor.

  11. Vyberte Připojení a zadejte uživatelské jméno a heslo, které jste vytvořili v předchozích krocích. Pokud se zobrazí výzva, přijměte certifikát.

Registrace poskytovatele Insights

Protokolování toku NSG vyžaduje poskytovatele Microsoft.Insights. Pokud chcete zkontrolovat jeho stav, postupujte takto:

  1. Do vyhledávacího pole v horní části portálu zadejte předplatná. Ve výsledcích hledání vyberte Předplatná .

  2. Vyberte předplatné Azure, pro které chcete povolit poskytovatele v předplatných.

  3. V části Nastavení vašeho předplatného vyberte poskytovatele prostředků.

  4. Do pole filtru zadejte přehled .

  5. Ověřte, že je zobrazený stav poskytovatele zaregistrovaný. Pokud je stav NotRegistered, vyberte poskytovatele Microsoft.Přehledy a pak vyberte Zaregistrovat.

    Snímek obrazovky s registrací poskytovatele Microsoft Přehledy na webu Azure Portal

Vytvoření účtu úložiště

V této části vytvoříte účet úložiště, který ho použije k ukládání protokolů toku.

  1. Do vyhledávacího pole v horní části portálu zadejte účty úložiště. Vevýsledcíchch

  2. Vyberte + Vytvořit. V části Vytvořit účet úložiště zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název účtu úložiště Zadejte jedinečný název. Tento kurz používá mynwstorageaccount.
    Oblast Vyberte USA – východ. Účet úložiště musí být ve stejné oblasti jako virtuální počítač a jeho skupina zabezpečení sítě.
    Výkon Vyberte položku Standardní. Protokoly toku NSG podporují pouze účty úložiště úrovně Standard.
    Redundance Vyberte místně redundantní úložiště (LRS) nebo jinou strategii replikace, která odpovídá vašim požadavkům na stálost.

  3. Vyberte kartu Revize nebo vyberte tlačítko Revize v dolní části.

  4. Zkontrolujte nastavení a pak vyberte Vytvořit.

Vytvoření protokolu toku NSG

V této části vytvoříte protokol toku NSG, který se uloží do účtu úložiště vytvořeného dříve v tomto kurzu.

  1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

  2. V části Protokoly vyberte Protokoly toku.

  3. Ve službě Network Watcher | Protokoly toku, vyberte modré tlačítko + Vytvořit nebo Vytvořit protokol toku.

    Snímek obrazovky se stránkou protokoly toku na webu Azure Portal

  4. V protokolu toku zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte předplatné Azure vaší skupiny zabezpečení sítě, kterou chcete protokolovat.
    Skupina zabezpečení sítě Vyberte a vyberte prostředek.
    V možnosti Vybrat skupinu zabezpečení sítě vyberte myVM-nsg. Pak vyberte Potvrdit výběr.
    Název protokolu toku Ponechte výchozí hodnotu myVM-nsg-myResourceGroup-flowlog.
    Podrobnosti o instanci
    Předplatné Vyberte předplatné Azure vašeho účtu úložiště.
    Účty úložiště Vyberte účet úložiště, který jste vytvořili v předchozích krocích. Tento kurz používá mynwstorageaccount.
    Doba uchování (dny) Zadáním 0 zachovejte data protokolů toku v účtu úložiště navždy (dokud je neodstraníte z účtu úložiště). Pokud chcete použít zásady uchovávání informací, zadejte dobu uchovávání ve dnech. Informace o cenách úložiště najdete v tématu Ceny služby Azure Storage.

    Snímek obrazovky se stránkou pro vytvoření protokolu toku NSG na webu Azure Portal

    Poznámka:

    Azure Portal vytvoří protokoly toku NSG ve skupině prostředků NetworkWatcherRG .

  5. Vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte nastavení a pak vyberte Vytvořit.

  7. Po dokončení nasazení vyberte Přejít k prostředku a potvrďte vytvořený protokol toku a uvedený na stránce Protokoly toku.

    Snímek obrazovky se stránkou protokoly toku na webu Azure Portal zobrazující nově vytvořený protokol toku

  8. Vraťte se k relaci RDP s virtuálním počítačem myVM .

  9. Otevřete Microsoft Edge a přejděte na www.bing.com.

Stažení protokolu toku

V této části přejdete k dříve vybranému účtu úložiště a stáhnete protokol toku NSG vytvořený v předchozí části.

  1. Do vyhledávacího pole v horní části portálu zadejte účty úložiště. Vevýsledcíchch

  2. Vyberte mynwstorageaccount nebo účet úložiště, který jste předtím vytvořili a vybrali pro uložení protokolů.

  3. V části Úložiště dat vyberte Kontejnery.

  4. Vyberte kontejner insights-logs-networksecuritygroupflowevent.

  5. V kontejneru přejděte do hierarchie složek, dokud se nedostanete k PT1H.json souboru. Soubory protokolu NSG se zapisují do hierarchie složek, která se řídí následující konvencí pojmenování:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. Vyberte tři tečky ... napravo od PT1H.json souboru a pak vyberte Stáhnout.

    Snímek obrazovky znázorňující, jak stáhnout protokol toku NSG z kontejneru účtu úložiště na webu Azure Portal

Poznámka:

K přístupu a stahování protokolů toku z účtu úložiště můžete použít Průzkumník služby Azure Storage. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.

Zobrazení protokolu toku

Otevřete stažený PT1H.json soubor pomocí textového editoru podle vašeho výběru. Následující příklad je oddíl převzatý ze staženého PT1H.json souboru, který ukazuje tok zpracovaný pravidlem DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Informace oddělené čárkami pro flowTuples jsou následující:

Příklad dat Co data představují Vysvětlení
1677455097 Časový údaj Časové razítko výskytu toku ve formátu systém UNIX EPOCH. V předchozím příkladu se datum převede na 26. února 2023 11:44:57 UTC/GMT.
10.0.0.4 Zdrojová IP adresa Zdrojová IP adresa, ze které tok pocházel. 10.0.0.4 je privátní IP adresa virtuálního počítače, který jste vytvořili dříve.
13.107.21.200 Cílová IP adresa Cílová IP adresa, na kterou byl tok určen. 13.107.21.200 je IP adresa www.bing.com. Vzhledem k tomu, že provoz je určený mimo Azure, pravidlo zabezpečení DefaultRule_AllowInternetOutBound tok zpracoval.
49982 Zdrojový port Zdrojový port, ze které tok pocházel.
443 Cílový port Cílový port, do kterého tok mířil.
T Protokol Protokol toku. T: TCP.
O Směr Směr toku. O: Odchozí.
A Rozhodnutí Rozhodnutí provedené pravidlem zabezpečení. A: Povoleno.
C Pouze stav toku verze 2 Stav toku. C: Pokračování pro probíhající tok.
7 Pakety odesílané pouze verze 2 Celkový počet paketů TCP od poslední aktualizace odesílaných do cíle.
1158 Pouze bajty odeslané verze 2 Celkový počet bajtů paketů TCP od poslední aktualizace odesílaných ze zdroje do cíle. Bajty paketů zahrnují hlavičku paketu a datovou část.
12 Pouze pakety přijaté verze 2 Celkový počet paketů TCP přijatých z cíle od poslední aktualizace.
8143 Pouze bajty obdržely verzi 2. Celkový počet bajtů paketů TCP přijatých z cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Vyčištění prostředků

Pokud už ji nepotřebujete, odstraňte skupinu prostředků myResourceGroup a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Ve výsledcích hledání vyberte myResourceGroup .

  2. Vyberte Odstranit skupinu prostředků.

  3. V části Odstranit skupinu prostředků zadejte myResourceGroup a pak vyberte Odstranit.

  4. Výběrem možnosti Odstranit potvrďte odstranění skupiny prostředků a všech jejích prostředků.

Poznámka:

Protokol toku myVM-nsg-myResourceGroup-flowlog je ve skupině prostředků NetworkWatcherRG , ale odstraní se po odstranění skupiny zabezpečení sítě myVM-nsg (odstraněním skupiny prostředků myResourceGroup ).

Související obsah

  • Další informace o protokolech toku NSG najdete v tématu Protokolování toku pro skupiny zabezpečení sítě.
  • Informace o vytváření, změnách, povolení, zakázání nebo odstraňování protokolů toku NSG najdete v tématu Správa protokolů toku NSG.
  • Další informace o analýze provozu najdete v přehledu analýzy provozu.