Správa protokolů toku NSG pomocí šablony Azure Resource Manageru

Protokolování toku skupiny zabezpečení sítě je funkce služby Azure Network Watcher, která umožňuje protokolovat informace o provozu PROTOKOLU IP procházejícího skupinou zabezpečení sítě. Další informace o protokolování toku skupiny zabezpečení sítě najdete v přehledu protokolů toku NSG.

V tomto článku se dozvíte, jak prostřednictvím kódu programu spravovat protokoly toku NSG pomocí šablony Azure Resource Manageru a Azure PowerShellu. Dozvíte se, jak spravovat protokol toku NSG pomocí webu Azure Portal, PowerShellu, Azure CLI nebo rozhraní REST API.

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu pomocí deklarativní syntaxe.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

Objekt protokolů toku NSG

Tok NSG protokoluje objekt se všemi parametry v následujícím příkladu. Úplný přehled vlastností objektu najdete v referenčních informacích k šablonám šablony protokolů toku NSG.

{
  "name": "string",
  "type": "Microsoft.Network/networkWatchers/flowLogs",
  "location": "string",
  "apiVersion": "2022-07-01",
  "properties": {
    "targetResourceId": "string",
    "storageId": "string",
    "enabled": "boolean",
    "flowAnalyticsConfiguration": {
      "networkWatcherFlowAnalyticsConfiguration": {
         "enabled": "boolean",
         "workspaceResourceId": "string",
          "trafficAnalyticsInterval": "integer"
        },
        "retentionPolicy": {
           "days": "integer",
           "enabled": "boolean"
         },
        "format": {
           "type": "string",
           "version": "integer"
         }
      }
    }
  }

Pokud chcete vytvořit prostředek Microsoft.Network/networkWatchers/flowLogs, přidejte výše uvedený kód JSON do oddílu prostředků šablony.

Vytvoření šablony

Další informace o používání šablon Azure Resource Manageru najdete tady:

• Nasazení prostředků pomocí šablon Resource Manageru a Azure PowerShellu
• Kurz: Vytvoření a nasazení první šablony Azure Resource Manageru

Následující příklady obsahují kompletní šablony, které umožňují protokoly toku NSG.

Příklad 1

Příklad 1 používá nejjednodušší verzi šablony ARM s minimálními předanými parametry. Následující šablona umožňuje protokoly toku NSG v cílové skupině zabezpečení sítě a uloží je do daného účtu úložiště.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "apiProfile": "2019-09-01",
  "resources": [
 {
    "name": "myNSG-myresourcegroup-flowlog",
    "type": "Microsoft.Network/networkWatchers/FlowLogs/",
    "location": "eastus",
    "apiVersion": "2022-11-01",
    "properties": {
      "targetResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
      "storageId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myStorageAccount",
      "enabled": true,
      "flowAnalyticsConfiguration": {},
      "retentionPolicy": {},
      "format": {}
    }

  }
  ]
}

Poznámka:

• targetResourceId je ID prostředku cílové skupiny zabezpečení sítě.
• storageId je ID prostředku cílového účtu úložiště.

Příklad 2

Příklad 2 používá následující šablonu k povolení protokolů toku NSG (verze 2) s uchováváním 5 dnů a analýzou provozu s intervalem zpracování 10 minut.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "apiProfile": "2019-09-01",
  "resources": [
    {
      "name": "myNSG-myresourcegroup-flowlog",
      "type": "Microsoft.Network/networkWatchers/FlowLogs/",
      "location": "eastus",
      "apiVersion": "2022-11-01",
      "properties": {
        "targetResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
        "storageId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myStorageAccount",
        "enabled": true,
        "flowAnalyticsConfiguration": {
          "networkWatcherFlowAnalyticsConfiguration": {
            "enabled": true,
            "workspaceResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/defaultresourcegroup-eus/providers/Microsoft.OperationalInsights/workspaces/DefaultWorkspace-abcdef01-2345-6789-0abc-def012345678-EUS",
            "trafficAnalyticsInterval": 10
          }
        },
        "retentionPolicy": {
          "days": 5,
          "enabled": true
        },
        "format": {
          "type": "JSON",
          "version": 2
        }
      }
    }
  ]
}

Poznámka:

• targetResourceId je ID prostředku cílové skupiny zabezpečení sítě.
• storageId je ID prostředku cílového účtu úložiště.
• workspaceResourceId je ID prostředku pracovního prostoru analýzy provozu.

Nasazení šablony Azure Resource Manageru

V tomto kurzu se předpokládá, že máte existující skupinu prostředků a skupinu zabezpečení sítě, ke které můžete povolit protokolování toku. Libovolnou z výše uvedených ukázkových šablon můžete uložit místně jako azuredeploy.json. Aktualizujte hodnoty vlastností tak, aby odkazovali na platné prostředky ve vašem předplatném.

Šablonu nasadíte spuštěním následujícího příkazu v PowerShellu.

$context = Get-AzSubscription -SubscriptionId <SubscriptionId>
Set-AzContext $context
New-AzResourceGroupDeployment -Name EnableFlowLog -ResourceGroupName NetworkWatcherRG `
    -TemplateFile "C:\MyTemplates\azuredeploy.json"

Poznámka:

Předchozí příkazy nasadí prostředek do skupiny prostředků NetworkWatcherRG , nikoli do skupiny prostředků obsahující skupinu zabezpečení sítě.

Ověření nasazení

Existuje několik způsobů, jak zkontrolovat, jestli nasazení proběhlo úspěšně. Konzola PowerShellu by měla zobrazovat stav ProvisioningState jako Úspěch. Kromě toho můžete navštívit stránku portálu protokolů toku a potvrdit provedené změny. Pokud došlo k problémům s nasazením, přečtěte si téma Řešení běžných chyb nasazení Azure pomocí Azure Resource Manageru.

Odstranění prostředku

Azure umožňuje odstranění prostředků prostřednictvím režimu kompletního nasazení. Pokud chcete odstranit prostředek protokolů toku, zadejte nasazení v úplném režimu bez zahrnutí prostředku, který chcete odstranit. Další informace najdete v tématu Dokončení režimu nasazení.

Další kroky

• Informace o použití předdefinovaných zásad Azure k auditování nebo nasazení protokolů toku NSG najdete v tématu Správa protokolů toku NSG pomocí Azure Policy.
• Další informace o analýze provozu najdete v tématu Analýza provozu.