Kurz: Protokolování síťového provozu do a z virtuálního počítače pomocí portálu Azure Portal

Skupina zabezpečení sítě (NSG) umožňuje filtrovat příchozí provoz do a odchozí provoz z virtuálního počítače. Můžete protokolovat síťový provoz procházející skupinou zabezpečení sítě pomocí funkce protokolu toku NSG služby Network Watcher.

V tomto kurzu se naučíte:

  • Vytvořit virtuální počítač se skupinou zabezpečení sítě
  • Povolit Network Watcher a zaregistrovat poskytovatele Microsoft.Insights
  • Povolit protokol toku provozu pro NSG pomocí funkce protokolu toku NSG služby Network Watcher
  • Stáhnout data protokolu
  • Zobrazit data protokolu

Požadavky

Vytvoření virtuálního počítače

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Vyberte Virtuální počítače.

  3. Na virtuální počítače vyberte + vytvořit a potom + virtuální počítač.

  4. Zadejte nebo vyberte následující informace v části vytvořit virtuální počítač.

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte myResourceGroup .
    Vyberte OK.
    Podrobnosti o instancích
    Název virtuálního počítače Zadejte myVM.
    Oblast Vyberte (US) východní USA.
    Možnosti dostupnosti Vyberte možnost nepožaduje se žádná redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image vyberte Windows Server 2022 Datacenter: Azure Edition – Gen2.
    Instance Azure Spot Nechte zadanou výchozí hodnotu.
    Velikost Vyberte velikost.
    Účet správce
    Typ ověřování Vyberte veřejný klíč SSH.
    Uživatelské jméno Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrzení hesla Potvrďte heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Ponechte výchozí nastavení povoleno vybraných portů.
    Vyberte příchozí porty Ponechte výchozí hodnotu RDP (3389).

  5. Vyberte Zkontrolovat a vytvořit.

  6. Vyberte Vytvořit.

Vytvoření virtuálního počítače trvá několik minut. Se zbývajícími kroky nepokračujte, dokud se vytvoření virtuálního počítače nedokončí. Zatímco portál vytvoří virtuální počítač, vytvoří také skupinu zabezpečení sítě s názvem myVM-NSG a přidruží ji k síťovému rozhraní virtuálního počítače.

Povolení Network Watcheru

Pokud už máte sledovací proces sítě v oblasti USA – východ povolený, přejděte na Registrace poskytovatele Insights.

  1. Do vyhledávacího pole v horní části portálu zadejte Network Watcher. Ve výsledcích hledání vyberte Network Watcher .

  2. Na stránce přehled Network Watcher vyberte + Přidat.

    Snímek obrazovky s povoleným sledovacím procesem sítě na portálu

  3. Vyberte své předplatné v nástroji Přidat sledovací proces sítě. Vyberte (US) východní USA v oblasti.

  4. Vyberte Přidat.

Registrace poskytovatele Insights

Protokolování toku NSG vyžaduje poskytovatele Microsoft.Insights. Poskytovatele zaregistrujete pomocí těchto kroků:

  1. Do vyhledávacího pole v horní části portálu zadejte odběry. Ve výsledcích hledání vyberte odběry .

  2. Vyberte předplatné, pro které chcete povolit poskytovatele pro v předplatných.

  3. v Nastavení svého předplatného vyberte poskytovatelé prostředků .

  4. do pole filtr zadejte Microsoft. Přehledy .

  5. Potvrďte, že se stav zobrazeného poskytovatele zaregistroval. Pokud je stav neregistrovaný, vyberte poskytovatele a pak vyberte zaregistrovat.

Povolení protokolů toku NSG

Data protokolu toku NSG se zapisují do účtu Azure Storage. Provedením následujících kroků vytvořte účet úložiště pro data protokolu.

  1. do vyhledávacího pole v horní části portálu zadejte Storage účet. ve výsledcích hledání vyberte Storage účty .

  2. v Storage účty vyberte + vytvořit.

  3. V části vytvořit účet úložiště zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instancích
    Název účtu úložiště Zadejte název účtu úložiště.
    Délka musí být 3-24 znaků, může obsahovat jenom malá písmena a číslice a musí být jedinečné napříč všemi Azure Storage.
    Oblast Vyberte (US) východní USA.
    Výkon Ponechte výchozí hodnotu Standard.
    Redundance Ponechte výchozí geograficky redundantní úložiště (GRS).

  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Vytvoření účtu úložiště může trvat kolem minuty. Se zbývajícími kroky nepokračujte, dokud se účet úložiště nevytvoří. Ve všech případech musí být účet úložiště ve stejné oblasti jako NSG.

  1. Do vyhledávacího pole v horní části portálu zadejte Network Watcher. Ve výsledcích hledání vyberte Network Watcher .

  2. V protokolech vyberte protokoly toku NSG .

  3. V Network Watcher | NSG Flow log, vyberte + vytvořit.

    Snímek obrazovky s vytvořením protokolu toku skupiny zabezpečení sítě

  4. Zadejte nebo vyberte následující informace v části Vytvoření protokolu toku.

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina zabezpečení sítě Vyberte myVM-NSG.
    název Flow protokolu Ponechte výchozí hodnotu myVM-NSG-myResourceGroup-flowlog.
    Podrobnosti o instancích
    Výběr účtu úložiště
    Předplatné Vyberte své předplatné.
    Účty úložiště Vyberte účet úložiště, který jste vytvořili v předchozích krocích.
    Ukládání (dny) Zadejte dobu uchovávání protokolů.

  5. Vyberte Zkontrolovat a vytvořit.

  6. Vyberte Vytvořit.

Stažení toku protokolu

  1. do vyhledávacího pole v horní části portálu zadejte Storage účet. ve výsledcích hledání vyberte Storage účty .

  2. Vyberte účet úložiště, který jste vytvořili v předchozích krocích.

  3. V úložišti dat vyberte kontejnery.

  4. Vyberte kontejner Insights-logs-networksecuritygroupflowevent .

  5. V kontejneru přejděte do hierarchie složek, dokud se nedostanete do souboru PT1H. JSON. Soubory protokolu se zapisují do hierarchie složek, které následují po následujících konvencích vytváření názvů:

    https://{storageAccountName}. blob. Core. Windows. NET/Insights-logs-networksecuritygroupflowevent/resourceId =/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. SÍŤ/NETWORKSECURITYGROUPS/{nsgName}/y = {Year}/m = {month}/d = {Day}/h = {Hour}/m = 00/macAddress = {macAddress}/PT1H.json

  6. Vyberte ... napravo od souboru PT1H. JSON a pak vyberte Stáhnout.

    Snímek obrazovky se stažením protokolu toku skupiny zabezpečení sítě.

Zobrazení protokolu toku

Následující příklad JSON zobrazuje data, která se zobrazí v souboru PT1H. JSON pro každý protokolovaný tok:

Událost protokolu toku verze 1

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Událost protokolu toku verze 2

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Hodnota mac v předchozím výstupu je adresa MAC síťového rozhraní, které se vytvořilo při vytvoření virtuálního počítače. Informace oddělené čárkou pro flowTuples vypadají takto:

Příklad dat Co data představují Vysvětlení
1542110377 Časové razítko Časové razítko, kdy tok proběhl, ve formátu UNIX EPOCH. V předchozím příkladu se data interpretují jako 1. května 2018 ve 14:59:05 GMT.
10.0.0.4 Zdrojová IP adresa Zdrojová IP adresa, ze které tok pocházel. 10.0.0.4 je privátní IP adresa virtuálního počítače, který jste vytvořili v části Vytvoření virtuálního počítače.
13.67.143.118 Cílová IP adresa Cílová IP adresa, kam tok mířil.
44931 Zdrojový port Zdrojový port, ze které tok pocházel.
443 Cílový port Cílový port, do kterého tok mířil. Vzhledem k tomu, že provoz byl určen pro port 443, pravidlo s názvem UserRule_default-Allow-RDP v souboru protokolu zpracovalo tok.
T Protokol Jestli byl protokol toku TCP (T) nebo UDP (U).
O Směr Jestli byl provoz příchozí (I) nebo odchozí (O).
A Akce Jestli byl provoz povolený (A) nebo odmítnutý (D).
C jenom Flow stav verze 2 Zachycuje stav toku. Možné stavy jsou při vytváření toku B: begin. Statistiky nejsou k dispozici. C: pokračuje se na průběžný tok. Statistika je k dispozici v intervalu 5 minut. E: end, když se ukončí tok. Statistiky jsou k dispozici.
30 Odeslané pakety – pouze zdrojová do cílové verze 2 Celkový počet paketů TCP nebo UDP odeslaných ze zdroje do cíle od poslední aktualizace.
16978 Odeslané bajty – pouze zdrojová do cíle verze 2 Celkový počet bajtů paketů TCP nebo UDP odeslaných ze zdroje do cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.
24 Odeslané pakety – pouze cíl až ke zdrojové verzi 2 Celkový počet paketů TCP nebo UDP odeslaných z cíle do zdroje od poslední aktualizace.
14008 Odeslané bajty – pouze cíl až ke zdrojové verzi 2 Celkový počet bajtů paketů TCP a UDP odeslaných z cíle do zdroje od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Další kroky

V tomto kurzu jste se naučili:

  • Povolit protokolování toku NSG pro NSG
  • Stáhněte a zobrazte data zaznamenaná v souboru.

Nezpracovaná data v souboru json může být obtížné interpretovat. k vizualizaci dat protokolů Flow můžete použít Azure Analýza provozu a Microsoft Power BI.

alternativní metody povolení protokolů Flow NSG najdete v tématu PowerShell, Azure CLI, REST APIa šablony Správce prostředků.

V dalším článku se dozvíte, jak monitorovat síťovou komunikaci mezi dvěma virtuálními počítači:

Monitorování síťové komunikace mezi dvěma virtuálními počítači pomocí Azure Portal