Úvod do protokolování toků pro skupiny zabezpečení sítě
Úvod
Protokoly toku skupiny zabezpečení sítě (NSG) jsou funkcí služby Azure Network Watcher, která umožňuje protokolovat informace o provozu IP, který prochází skupinou zabezpečení sítě. Flow se data odesílaná do Azure Storage, ze kterých k ní máte přístup, a také je exportujete do libovolného vizualizačního nástroje, SIEM nebo ID.
Proč používat Flow protokoly?
Pro nenapravené zabezpečení, dodržování předpisů a výkon je důležité monitorovat, spravovat a znát vlastní síť. Znalost vlastního prostředí má prvořadý význam pro jeho ochranu a optimalizaci. Často potřebujete znát aktuální stav sítě, kdo se připojuje, odkud se připojuje, které porty jsou otevřené k internetu, očekávané chování sítě, nepravidelné chování sítě a náhlý nárůst provozu.
Flow jsou zdrojem pravdivých informací pro všechny síťové aktivity ve vašem cloudovém prostředí. Ať už se chystané startupy snažíte optimalizovat prostředky nebo se velké podniky pokoušet zjistit vniknutí, Flow nejlepší možností. Můžete ji použít k optimalizaci síťových toků, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a dalších.
Běžné případy použití
Monitorování sítě: Identifikujte neznámý nebo nežádoucí provoz. Monitorujte úrovně provozu a spotřebu šířky pásma. Filtrování protokolů toku podle IP adresy a portu pro pochopení chování aplikace Exportujte Flow protokoly do analytických a vizualizačních nástrojů podle vašeho výběru a nastavte řídicí panely monitorování.
Monitorování a optimalizace využití: Identifikujte hlavní řečníky ve vaší síti. V kombinaci s daty GeoIP identifikujte provoz mezi oblastmi. Pochopení růstu provozu pro prognózování kapacity Pomocí dat odeberte příliš omezující pravidla provozu.
Dodržování předpisů: Použití toků dat k ověření izolace sítě a dodržování předpisů v pravidlech podnikového přístupu
Forenzní analýza & zabezpečení: Analýza síťových toků z ohrožených IP adresy a síťových rozhraní. Exportujte protokoly toku do libovolného nástroje SIEM nebo IDS podle vašeho výběru.
Jak funguje protokolování
Klíčové vlastnosti
- Flow protokoly pracují ve vrstvě 4 a zaznamenávat všechny toky IP, které se zachytá do skupiny zabezpečení sítě a z nsg.
- Protokoly se shromažďují v 1 min. intervalu prostřednictvím platformy Azure a žádným způsobem neovlivňuje prostředky zákazníků ani výkon sítě.
- Protokoly jsou zapsané ve formátu JSON a zobrazují odchozí a příchozí toky na základě pravidel NSG.
- Každý záznam protokolu obsahuje síťové rozhraní (NIC), na které se tok vztahuje, informace o řazené řazené kolekce 5 členů, informace o rozhodování o provozu & (pouze verze 2). Úplné podrobnosti najdete níže v části Formát protokolu.
- Flow protokoly mají funkci uchovávání, která umožňuje automaticky odstranit protokoly až rok od jejich vytvoření.
Poznámka
Uchovávání je k dispozici pouze v případě, že používáte účty pro obecné účely verze 2 Storage (GPv2).
Základní koncepty
- Softwarově definované sítě jsou uspořádané podle virtuálních sítí a podsítí. Zabezpečení těchto virtuálních sítí a podsítí je možné spravovat pomocí skupiny zabezpečení sítě.
- Skupina zabezpečení sítě (NSG) obsahuje seznam pravidel zabezpečení, která povolují nebo zakírají síťový provoz prostředků, ke které jsou připojené. Ke každé podsíti virtuální sítě a síťovému rozhraní ve virtuálním počítači je možné přidružené NSG. Další informace najdete v tématu Přehled skupin zabezpečení sítě.
- Všechny toky provozu ve vaší síti se vyhodnocují pomocí pravidel v příslušné průvodce zabezpečení sítě.
- Výsledkem těchto hodnocení jsou protokoly zabezpečení Flow zabezpečení. Flow protokoly se shromažďují prostřednictvím platformy Azure a nevyžadují žádné změny zákaznických prostředků.
- Poznámka: Pravidla jsou dva typy – ukončující & neukončující, z nichž každá má jiné chování protokolování.
-
- Ukončují se pravidla odepření NSG. NSG zamítající provoz ho zahlásí do Flow protokolů a zpracování v tomto případě by se zastavilo poté, co jakákoli ze skupiny zabezpečení sítě provoz zamítá.
-
- Pravidla NSG Allow nejsou ukončující, což znamená, že i když to jedna NSG umožňuje, zpracování bude pokračovat k další následující následující 3SG. Poslední NSG, která umožňuje provoz, bude protokolovat provoz do Flow protokolů.
- Protokoly NSG Flow se zapisovat do účtů úložiště, ze kterých je možné k nim získat přístup.
- Protokoly protokolů můžete exportovat, zpracovávat, analyzovat a vizualizovat Flow pomocí nástrojů, jako jsou Analýza provozu, Splunk, Grafana, Neviditelné sledy atd.
Formát protokolu
Flow protokoly obsahují následující vlastnosti:
- time – čas, kdy se událost zaprotokoluje
- systemId – ID systému skupiny zabezpečení sítě.
- category – kategorie události. Kategorie je vždy NetworkSecurityGroupFlowEvent.
- resourceid – ID prostředku skupiny NSG
- operationName – Always NetworkSecurityGroupFlowEvents
- properties – kolekce vlastností toku
- Verze – číslo verze schématu Flow protokolu událostí
- flows – kolekce toků. Tato vlastnost má více položek pro různá pravidla.
- pravidlo – pravidlo, pro které jsou toky uvedené
- flows – kolekce toků
- mac – adresa MAC síťové karty pro virtuální počítač, na kterém se tok shromáždil
- flowTuples – řetězec, který obsahuje více vlastností řazené kolekce členů toku ve formátu odděleném čárkami
- Časové razítko – tato hodnota je časové razítko, kdy k toku došlo systém UNIX epochy.
- Zdrojová IP adresa – zdrojová IP adresa
- Cílová IP adresa – cílová IP adresa
- Zdrojový port – zdrojový port
- Cílový port – cílový port
- Protokol – protokol toku. Platné hodnoty jsou T pro TCP a U pro UDP.
- Traffic Flow – směr toku provozu. Platné hodnoty jsou I pro příchozí a O pro odchozí.
- Rozhodnutí o provozu – jestli byl provoz povolený nebo odepřený. Platné hodnoty jsou A pro povolené a D pro odepření.
- Flow Stav – pouze verze 2 – zachytí stav toku. Možné stavy jsou B: Při vytvoření toku začněte. Statistiky nejsou k dispozici. C: Pokračujeme v probíhajícím toku. Statistiky se poskytují v 5minutových intervalech. E: Konec, když se tok ukončí. K dispozici jsou statistiky.
- Pakety – od zdroje k cíli – pouze verze 2 Celkový počet paketů TCP odeslaných ze zdroje do cíle od poslední aktualizace.
- Odeslané bajty – zdroj do cíle – pouze verze 2 Celkový počet bajtů paketů TCP odeslaných ze zdroje do cíle od poslední aktualizace. Bajty paketů obsahují hlavičku paketu a datovou část.
- Pakety – cíl do zdroje – pouze verze 2 Celkový počet paketů TCP odeslaných z cíle do zdroje od poslední aktualizace.
- Odeslané bajty – cíl do zdroje – pouze verze 2 Celkový počet bajtů paketů TCP odeslaných z cíle do zdroje od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.
- flows – kolekce toků
- pravidlo – pravidlo, pro které jsou toky uvedené
Protokoly toku NSG verze 2 (vs. verze 1)
Verze 2 protokolů představuje koncept stavu toku. Můžete nakonfigurovat, kterou verzi protokolů toku obdržíte.
Flow stavu B se zaznamená při spuštění toku. Flow stavu C a stavu toku E jsou stavy, které označí pokračování toku a ukončení toku v uvedeném pořadí. Stavy C i E obsahují informace o šířce pásma provozu.
Ukázkové záznamy protokolu
Následující text je příkladem protokolu toku. Jak vidíte, existuje více záznamů, které dodržují seznam vlastností popsaný v předchozí části.
Poznámka
Hodnoty ve vlastnosti flowTuples jsou čárkami oddělený seznam.
Ukázka formátu protokolu toku NSG verze 1
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
"records":
[
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
}
Ukázka formátu protokolu toku NSG verze 2
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
Vysvětlení řazené kolekce členů protokolů
Ukázkový výpočet šířky pásma
Flow řazené kolekce členů z konverzace TCP mezi 185.170.185.105:35370 a 10.2.0.4:23:
"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"
Pro pokračování stavů toku C a koncového E jsou počty paketů a počtu paketů agregované z času předchozího záznamu řazené kolekce členů toku. Při odkazování na předchozí příklad konverzace je celkový počet přenesených paketů 1021+52+8005+47 = 9125. Celkový počet přenesených bajtů je 588096+29952+4610880+27072 = 5256000.
Povolení protokolů toků NSG
Průvodce povolením protokolů toku vám umožní odpovídající odkaz níže.
Aktualizace parametrů
Azure Portal
V Azure Portal v části Protokoly zabezpečení Flow zabezpečení Network Watcher. Potom klikněte na název skupiny NSG. Zobrazí se podokno nastavení pro protokol Flow dat. Změňte požadované parametry a klikněte na Uložit, aby se změny nasadily.
PS/CLI/REST/ARM
Pokud chcete aktualizovat parametry pomocí nástrojů příkazového řádku, použijte stejný příkaz, který jste použili k povolení Flow Logs (z výše uvedeného), ale s aktualizovanými parametry, které chcete změnit.
Práce s Flow protokoly
Čtení a export protokolů toku
- Stažení & zobrazení Flow protokolů z portálu
- Čtení Flow pomocí funkcí PowerShellu
- Export protokolů Flow NSG do Splunku
Zatímco protokoly toku cílí na skupiny zabezpečení aplikace, nezobrazí se stejně jako ostatní protokoly. Flow se ukládají jenom v rámci účtu úložiště a postupuje podle cesty protokolování uvedené v následujícím příkladu:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Vizualizace protokolů toku
- Azure Traffic Analytics je nativní služba Azure pro zpracování protokolů toků, extrahování přehledů a vizualizaci protokolů toku.
- [Kurz] Vizualizace protokolů Flow NSG pomocí Power BI
- [Kurz] Vizualizace protokolů Flow NSG s elastickým stackem
- [Kurz] Správa a analýza protokolů Flow NSG pomocí Grafany
- [Kurz] Správa a analýza protokolů Flow NSG pomocí Graylogu
Zákaz protokolů toku
Když je protokol toku zakázaný, protokolování toku pro přidruženou NSG se zastaví. Protokol toku jako prostředek ale dál existuje se všemi jeho nastaveními a přidruženími. Můžete ji povolit kdykoli a začít protokolovat tok u nakonfigurované skupiny zabezpečení sítě. Postup zakázání nebo povolení protokolů toku najdete v tomto návodu.
Odstranění protokolů toku
Při odstranění protokolu toku se zastaví nejen protokolování toku pro přidruženou skupinu zabezpečení sítě, ale také prostředek protokolu toku s jeho nastavením a přidruženími. Pokud chcete znovu začít s protokolováním toku, je nutné vytvořit nový prostředek protokolu toku pro toto NSG.To begin flow logging again, new flow log resource must be created for that NSG. Protokol toku je možné odstranit pomocí PowerShellu, rozhraní příkazového řádku nebo REST API. Podpora odstraňování protokolů toku z Azure Portal je v kanálu.
Při odstranění skupiny zabezpečení zabezpečení aplikace se ve výchozím nastavení odstraní také přidružený prostředek protokolu toku.
Poznámka
Pokud chcete přesunout skupinu NSG do jiné skupiny prostředků nebo předplatného, musíte přidružené protokoly toku odstranit, ale zakázání protokolů toku nebude fungovat. Po migraci NSG je nutné znovu vytvořit protokoly toku, aby se v ní umožnilo protokolování toku.
Aspekty protokolování toku NSG
Storage účtu:
- Umístění: Použitý účet úložiště musí být ve stejné oblasti jako NSG.
- Úroveň výkonu: V současné době se podporují pouze účty úložiště úrovně Standard.
- Samoobslužná správa obměna klíčů: Pokud změníte nebo obměna přístupových klíčů k účtu úložiště, skupina zabezpečení Flow protokoly přestanou fungovat. Pokud chcete tento problém vyřešit, musíte zakázat a znovu povolit NSG Flow protokolů.
Flow protokolování: Protokolování toku NSG se účtuje podle objemu vytvořených protokolů. Velký objem přenosů může vést k velkému objemu protokolů toků a přidruženým nákladům. Ceny protokolů Flow NSG nezahrnují základní náklady na úložiště. Použití funkce zásad uchovávání informací se skupinami zabezpečení sítě Flow znamená, že se vám po delší dobu účtuly samostatné náklady na úložiště. Pokud chcete data uchovávat navždy a nechcete používat žádné zásady uchovávání informací, nastavte uchovávání informací (dny) na hodnotu 0. Další informace najdete v tématu Network Watcher Ceny a Azure Storage Ceny.
Problémy s příchozími pravidly TCP definovanými uživatelem: Skupiny zabezpečení sítě (NSG) jsou implementované jako stavová brána firewall. Kvůli aktuálním omezením platformy jsou ale uživatelsky definovaná pravidla, která ovlivňují příchozí toky TCP, implementovaná beze stavu. Z tohoto důvodu se toky ovlivněné uživatelem definovanými příchozími pravidly neukončují. Kromě toho se u těchto toků nezaznamenaly počty paketů a počtu paketů. V důsledku toho se počet bajtů a paketů hlášených v NSG Flow (a Analýza provozu) může lišit od skutečných čísel. Tento problém lze vyřešit nastavením vlastnosti FlowTimeoutInMinutes v přidružených virtuálních sítích na hodnotu, která není null.
Příchozí toky protokolované z internetových IP adres na virtuální počítače bez veřejných IP adres: virtuální počítače, které nemají přiřazenou veřejnou IP adresu prostřednictvím veřejné IP adresy přidružené k síťovému rozhraní jako veřejné IP adrese na úrovni instance nebo které jsou součástí back-endového fondu základního nástroje pro vyrovnávání zatížení, používají výchozí SNAT a mají IP adresu přiřazenou Azure pro usnadnění odchozího připojení. V důsledku toho můžete vidět položky protokolu toku pro toky z internetových IP adres, pokud je tok určený na port v rozsahu portů přiřazených pro SNAT. I když Azure tyto toky do virtuálního počítače nepovolí, pokus se zaprotokoluje a zobrazí se Network Watcher protokolu toku NSG. Doporučujeme, aby se nežádoucí příchozí internetový provoz explicitně zablokoval pomocí NSG.
NSG v podsíti brány ExpressRoute – Nedoporučuje se protokolovat toky v podsíti brány ExpressRoute, protože provoz může bránu ExpressRoute obejít (příklad: FastPath). Proto pokud je NSG propojená s podsítí brány ExpressRoute a jsou povolené protokoly toku NSG, nemusí se odchozí toky do virtuálních počítačů zachytit. Tyto toky musí být zachyceny v podsíti nebo síťovém rozhraní virtuálního počítače.
Provoz přes privátní propojení – Pokud chcete protokolovat provoz při přístupu k prostředkům PaaS prostřednictvím privátního propojení, povolte protokoly toku NSG v podsíti NSG obsahující privátní propojení. Z důvodu omezení platformy je možné zachytit provoz na všech zdrojových virtuálních počítači, zatímco v cílovém prostředku PaaS není možné zachytit.
Problém s Application Gateway NSG podsítě V2: Flow se v současné době nepodporuje protokolování pro podsíť Application Gateway V2. Tento problém nemá vliv na Application Gateway V1.
Nekompatibilní služby: Vzhledem k aktuálním omezením platformy nepodporuje NSG malou sadu služeb Azure Flow protokolů. Aktuální seznam nekompatibilních služeb je
Osvědčené postupy
Povolit v důležitých virtuálních sítich nebo podsítích: Protokoly Flow by měly být povolené ve všech důležitých virtuálních sítich nebo podsítích ve vašem předplatném jako osvědčený postup pro auditovatelnost a zabezpečení.
Povolte protokolování Flow NSG u všech skupin zabezpečení sítě připojených k prostředku: Flow v Azure je nakonfigurované pro prostředek NSG. Tok bude přidružený jenom k jednomu pravidlu NSG. Ve scénářích, ve kterých se využívá více skupin zabezpečení sítě, doporučujeme povolit protokoly toků NSG pro všechny skupiny zabezpečení sítě použité pro síťové rozhraní nebo podsíť prostředku, aby se zajistilo zaznamenávání veškerého provozu. Další informace najdete v tématu o vyhodnocení provozu ve skupinách zabezpečení sítě.
Několik běžných scénářů:
- Více síťových připojení na virtuálním počítači: Pokud je k virtuálnímu počítači připojeno více síťových připojení, musí být protokolování toku povoleno na všech z nich.
- Mít NSG na úrovni síťové karty i podsítě: V případě, že je na síťovém rozhraní i na úrovni podsítě nakonfigurovaná NSG, musí být protokolování toku povolené u obou NSG.
- Podsíť clusteru AKS: AKS přidá do podsítě clusteru výchozí NSG. Jak je vysvětleno ve výše uvedeném bodě, pro tuto výchozí NSG musí být povolené protokolování toku.
Storage zřizování: Storage by mělo být zřízeno v souladu s očekávaným Flow svazku protokolu.
Pojmenování: Název skupiny NSG musí mít až 80 znaků a název pravidla NSG musí mít až 65 znaků. Pokud názvy překročí limit počtu znaků, může se během protokolování zkrátit.
Řešení běžných potíží
Nepodařilo se mi povolit protokoly toku NSG
- Microsoft. Přehledy poskytovatele prostředků není zaregistrovaný
Pokud dojde k chybě AuthorizationFailed nebo GatewayAuthenticationFailed, pravděpodobně jste ve svém předplatném nepovolili poskytovatele prostředků Microsoft Insights. Postupujte podle pokynů a povolte poskytovatele Přehledy Microsoftu.
Po povolení protokolů toku NSG se v účtu úložiště nezobrazují žádná data
- Čas nastavení
Zobrazení protokolů toku NSG v účtu úložiště může trvat až 5 minut (v případě správné konfigurace). Zobrazí se soubor PT1H.json, který můžete otevřít podle těchto pokynů.
- Žádný provoz ve skupinách zabezpečení sítě
Protokoly se někdy nezobrazí, protože vaše virtuální počítače nejsou aktivní nebo ve službě App Gateway nebo na jiných zařízeních existují nadřazené filtry, které blokují provoz do vašich skupin zabezpečení sítě.
Chci automatizovat protokoly toku NSG
Podpora automatizace prostřednictvím šablon ARM je teď dostupná pro protokoly NSG Flow protokoly. Další informace najdete v & rychlé zprovoznění v dokumentu šablony ARM.
Časté otázky
Co protokoly zabezpečení Flow zabezpečení aplikace?
Síťové prostředky Azure je možné kombinovat a spravovat prostřednictvím skupin zabezpečení sítě (NSG). Protokoly Flow NSG umožňují protokolovat informace o toku řazené kolekce 5 členů o veškerém provozu prostřednictvím vašich NSG. Nezpracované protokoly toku se zapisují do účtu Azure Storage, odkud je můžete podle potřeby dále zpracovávat, analyzovat, dotazovat nebo exportovat.
Má použití Flow protokoly vliv na latenci nebo výkon sítě?
Flow protokoly se shromažďují mimo cestu síťového provozu, a proto neovlivňuje propustnost ani latenci sítě. Protokoly toků můžete vytvářet nebo odstraňovat bez rizika, že by to ovlivnilo výkon sítě.
Návody protokolu NSG Flow s účtem Storage za bránou firewall?
Pokud chcete použít účet Storage za bránou firewall, musíte poskytnout výjimku, aby důvěryhodné služby Microsoftu měly přístup k vašemu účtu úložiště:
- Přejděte k účtu úložiště zadáním názvu účtu úložiště do globální vyhledávání na portálu nebo na Storage Účty úložiště.
- V části NASTAVENÍ vyberte Brány firewall a virtuální sítě.
- V části Povolit přístup z vyberte Vybrané sítě. Potom v části Výjimky zaškrtněte políčko vedle možnosti Povolit důvěryhodným služby Microsoft přístup k tomuto účtu úložiště.
- Pokud je tato možnost již vybraná, není potřeba provádět žádné změny.
- Na stránce přehledu protokolů zabezpečení sítě vyhledejte cílovou Flow zabezpečení sítě a povolte skupiny zabezpečení sítě Flow s vybraným výše uvedeným účtem úložiště.
Po několika minutách můžete zkontrolovat protokoly úložiště, ve kterých by se mělo zobrazit aktualizované časové razítko nebo nově vytvořený soubor JSON.
Návody koncového bodu Flow služby používáte Storage NSG?
Protokoly NSG Flow kompatibilní s koncovými body služby bez nutnosti další konfigurace. Prohlédněte si kurz povolení koncových bodů služby ve vaší virtuální síti.
Jaký je rozdíl mezi protokoly toku verze 1 & 2?
Flow Protokoly verze 2 zavádí koncept Flow State & ukládá informace o bajtech a přenášených paketech. Další informace
Ceny
Protokoly Flow NSG se účtují za GB shromážděných protokolů a mají bezplatnou úroveň 5 GB za měsíc na předplatné. Aktuální ceny ve vaší oblasti najdete na stránce Network Watcher cen.
Storage protokolů se účtují samostatně, relevantní ceny najdete na Azure Storage stránce Ceny objektů blob bloku.