Kurz: Protokolování síťového provozu do a z virtuálního počítače pomocí portálu Azure PortalTutorial: Log network traffic to and from a virtual machine using the Azure portal

Skupina zabezpečení sítě (NSG) umožňuje filtrovat příchozí provoz do a odchozí provoz z virtuálního počítače.A network security group (NSG) enables you to filter inbound traffic to, and outbound traffic from, a virtual machine (VM). Můžete protokolovat síťový provoz procházející skupinou zabezpečení sítě pomocí funkce protokolu toku NSG služby Network Watcher.You can log network traffic that flows through an NSG with Network Watcher's NSG flow log capability. V tomto kurzu se naučíte:In this tutorial, you learn how to:

  • Vytvořit virtuální počítač se skupinou zabezpečení sítěCreate a VM with a network security group
  • Povolit Network Watcher a zaregistrovat poskytovatele Microsoft.InsightsEnable Network Watcher and register the Microsoft.Insights provider
  • Povolit protokol toku provozu pro NSG pomocí funkce protokolu toku NSG služby Network WatcherEnable a traffic flow log for an NSG, using Network Watcher's NSG flow log capability
  • Stáhnout data protokoluDownload logged data
  • Zobrazit data protokoluView logged data

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.If you don't have an Azure subscription, create a free account before you begin.

Vytvoření virtuálního počítačeCreate a VM

  1. V levém horním rohu webu Azure Portal vyberte + Vytvořit prostředek.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Vyberte COMPUTEa potom vyberte Windows Server 2016 Datacenter nebo verzi Ubuntu serveru.Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. Zadejte nebo vyberte následující informace, u zbývajících nastavení přijměte výchozí hodnoty a pak vyberte OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    NastaveníSetting HodnotaValue
    NázevName myVmmyVm
    Uživatelské jménoUser name Zadejte libovolné uživatelské jméno.Enter a user name of your choosing.
    HesloPassword Zadejte libovolné heslo.Enter a password of your choosing. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost.The password must be at least 12 characters long and meet the defined complexity requirements.
    PředplatnéSubscription Vyberte své předplatné.Select your subscription.
    Skupina prostředkůResource group Vyberte Vytvořit novou a zadejte myResourceGroup.Select Create new and enter myResourceGroup.
    UmístěníLocation Vyberte východní USASelect East US
  4. Vyberte velikost virtuálního počítače a pak vyberte Vybrat.Select a size for the VM and then select Select.

  5. V části Nastavení přijměte všechny výchozí hodnoty a vyberte OK.Under Settings, accept all the defaults, and select OK.

  6. V části Vytvořit na kartě Souhrn vyberte Vytvořit a spusťte nasazování virtuálního počítače.Under Create of the Summary, select Create to start VM deployment. Nasazení virtuálního počítače trvá několik minut.The VM takes a few minutes to deploy. Než budete pokračovat ve zbývajících krocích, počkejte, až virtuální počítač dokončí nasazování.Wait for the VM to finish deploying before continuing with the remaining steps.

Vytvoření virtuálního počítače trvá několik minut.The VM takes a few minutes to create. Se zbývajícími kroky nepokračujte, dokud se vytvoření virtuálního počítače nedokončí.Don't continue with remaining steps until the VM has finished creating. Když portál vytvoří virtuální počítač, vytvoří také skupinu zabezpečení sítě s názvem myVM-nsg a přidruží ji k síťovému rozhraní virtuálního počítače.While the portal creates the VM, it also creates a network security group with the name myVm-nsg, and associates it to the network interface for the VM.

Povolení Network WatcheruEnable Network Watcher

Pokud už máte sledovací proces sítě v oblasti USA – východ povolený, přejděte na Registrace poskytovatele Insights.If you already have a network watcher enabled in the East US region, skip to Register Insights provider.

  1. Na webu Azure Portal vyberte Všechny služby.In the portal, select All services. Do pole filtru zadejte Network Watcher.In the Filter box, enter Network Watcher. Jakmile se služba Network Watcher zobrazí ve výsledcích, vyberte ji.When Network Watcher appears in the results, select it.

  2. Rozbalte Oblasti a potom vedle USA – východ vyberte ... (stejně jako v následujícím obrázku):Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Povolení Network Watcheru

  3. Vyberte Povolit Network Watcher.Select Enable Network Watcher.

Registrace poskytovatele InsightsRegister Insights provider

Protokolování toku NSG vyžaduje poskytovatele Microsoft.Insights.NSG flow logging requires the Microsoft.Insights provider. Poskytovatele zaregistrujete pomocí těchto kroků:To register the provider, complete the following steps:

  1. V levé horním rohu portálu vyberte Všechny služby.In the top, left corner of portal, select All services. Do pole Filtr zadejte Předplatná.In the Filter box, type Subscriptions. Když se Předplatná zobrazí ve výsledcích hledání, vyberte je.When Subscriptions appear in the search results, select it.

  2. Ze seznamu předplatných vyberte předplatné, pro které chcete poskytovatele povolit.From the list of subscriptions, select the subscription you want to enable the provider for.

  3. Vyberte Poskytovatelé prostředků v NASTAVENÍ.Select Resource providers, under SETTINGS.

  4. Zkontrolujte, jestli STAV poskytovatele microsoft.insights je Zaregistrováno, jak je vidět na následujícím obrázku.Confirm that the STATUS for the microsoft.insights provider is Registered, as shown in the picture that follows. Pokud je stav Neregistrováno, pak vpravo od poskytovatele vyberte Zaregistrovat.If the status is Unregistered, then select Register, to the right of the provider.

    Registrace poskytovatele

Povolení protokolů toku NSGEnable NSG flow log

  1. Data protokolu toku NSG se zapisují do účtu Azure Storage.NSG flow log data is written to an Azure Storage account. Pokud chcete vytvořit účet Azure Storage, v levém horním rohu portálu vyberte + Vytvořit prostředek.To create an Azure Storage account, select + Create a resource at the top, left corner of the portal.

  2. Vyberte Úložiště a pak vyberte Účet úložiště – objekt blob, soubor, tabulka, fronta.Select Storage, then select Storage account - blob, file, table, queue.

  3. Zadejte nebo vyberte následující informace, přijměte zbývající výchozí hodnoty a pak vyberte vytvořit.Enter, or select the following information, accept the remaining defaults, and then select Create.

    NastaveníSetting HodnotaValue
    NázevName Délka 3–24 znaků, může obsahovat jenom malá písmena a čísla a musí být jedinečný v rámci všech účtů Azure Storage.3-24 characters in length, can only contain lowercase letters and numbers, and must be unique across all Azure Storage accounts.
    UmístěníLocation Vyberte východní USASelect East US
    Skupina prostředkůResource group Vyberte použít existujícía pak vyberte myResourceGroup .Select Use existing, and then select myResourceGroup

    Vytvoření účtu úložiště může trvat kolem minuty.The storage account may take around minute to create. Se zbývajícími kroky nepokračujte, dokud se účet úložiště nevytvoří.Don't continue with remaining steps until the storage account is created. Ve všech případech musí být účet úložiště ve stejné oblasti jako NSG.In all cases, the storage account must be in the same region as the NSG.

  4. V levé horním rohu portálu vyberte Všechny služby.In the top, left corner of portal, select All services. Do pole Filtr zadejte Network Watcher.In the Filter box, type Network Watcher. Jakmile se službaNetwork Watcher zobrazí ve výsledcích hledání, vyberte ji.When Network Watcher appears in the search results, select it.

  5. Pod PROTOKOLY vyberte Protokoly toku NSG, jak je vidět na tomto obrázku:Under LOGS, select NSG flow logs, as shown in the following picture:

    Skupiny NSG

  6. V seznamu NSG vyberte NSG s názvem myVm-nsg.From the list of NSGs, select the NSG named myVm-nsg.

  7. V Nastavení protokolů toku vyberte Zapnuto.Under Flow logs settings, select On.

  8. Vyberte verzi protokolování toku.Select the flow logging version. Verze 2 obsahuje statistiku relací toků (bajty a pakety).Version 2 contains flow-session statistics (Bytes and Packets)

    Vyberte verzi protokolů Flow

  9. Vyberte účet úložiště, který jste vytvořili v kroku 3.Select the storage account that you created in step 3.

    Poznámka

    Protokoly toku NSG nefungují s účty úložiště, které mají povolený hierarchický obor názvů .NSG Flow Logs do not work with storage accounts that have hierarchical namespace enabled.

  10. V levé horním rohu portálu vyberte Všechny služby.In the top, left corner of portal, select All services. Do pole Filtr zadejte Network Watcher.In the Filter box, type Network Watcher. Jakmile se službaNetwork Watcher zobrazí ve výsledcích hledání, vyberte ji.When Network Watcher appears in the search results, select it.

  11. Nastavte Doba uchování (dny) na 5 a pak vyberte Uložit.Set Retention (days) to 5, and then select Save.

Stažení toku protokoluDownload flow log

  1. Ze služby Network Watcher na portálu vyberte Protokoly toku NSG pod PROTOKOLY.From Network Watcher, in the portal, select NSG flow logs under LOGS.

  2. Vyberte Protokoly toku si můžete stáhnout z nakonfigurovaných účtů úložiště, jak je vidět na tomto obrázku:Select You can download flow logs from configured storage accounts, as shown in the following picture:

    Stažení protokolů toku

  3. Vyberte účet úložiště, který jste nakonfigurovali ve 2. kroku Povolení protokolu toku NSG.Select the storage account that you configured in step 2 of Enable NSG flow log.

  4. V části BLOB Servicevyberte objekty bloba potom vyberte kontejner Insights-logs-networksecuritygroupflowevent .Under Blob service, select Blobs, and then select the insights-logs-networksecuritygroupflowevent container.

  5. V kontejneru přejděte do hierarchie složek, dokud se nedostanete do souboru PT1H. JSON, jak je znázorněno na následujícím obrázku.In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. Soubory protokolu se zapisují do hierarchie složek, které následují po následujících konvencích vytváření názvů: https://{storageAccountName}. blob. Core. Windows. NET/Insights-logs-networksecuritygroupflowevent/resourceId =/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y = {Year}/m = {month}/d = {Day}/h = {Hour}/m = 00/macAddress = {macAddress}/PT1H.jsonLog files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

    Protokol toku

  6. Vyberte **... ** vpravo od souboru PT1H.json a vyberte Stáhnout.Select ... to the right of the PT1H.json file and select Download.

Zobrazení protokolu tokuView flow log

Následující kód json je příkladem toho, co se zobrazí v souboru PT1H.json pro každý tok, pro který se protokolují data:The following json is an example of what you'll see in the PT1H.json file for each flow that data is logged for:

Událost protokolu toku verze 1Version 1 flow log event

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Událost protokolu toku verze 2Version 2 flow log event

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Hodnota mac v předchozím výstupu je adresa MAC síťového rozhraní, které se vytvořilo při vytvoření virtuálního počítače.The value for mac in the previous output is the MAC address of the network interface that was created when the VM was created. Informace oddělené čárkou pro flowTuples vypadají takto:The comma-separated information for flowTuples, is as follows:

Příklad datExample data Co data představujíWhat data represents VysvětleníExplanation
15421103771542110377 Časové razítkoTime stamp Časové razítko, kdy tok proběhl, ve formátu UNIX EPOCH.The time stamp of when the flow occurred, in UNIX EPOCH format. V předchozím příkladu se data interpretují jako 1. května 2018 ve 14:59:05 GMT.In the previous example, the date converts to May 1, 2018 at 2:59:05 PM GMT.
10.0.0.410.0.0.4 Zdrojová IP adresaSource IP address Zdrojová IP adresa, ze které tok pocházel.The source IP address that the flow originated from. 10.0.0.4 je privátní IP adresa virtuálního počítače, který jste vytvořili ve Vytvoření virtuálního počítače.10.0.0.4 is the private IP address of the VM you created in Create a VM.
13.67.143.11813.67.143.118 Cílová IP adresaDestination IP address Cílová IP adresa, kam tok mířil.The destination IP address that the flow was destined to.
4493144931 Zdrojový portSource port Zdrojový port, ze které tok pocházel.The source port that the flow originated from.
443443 Cílový portDestination port Cílový port, do kterého tok mířil.The destination port that the flow was destined to. Vzhledem k tomu, že provoz byl určen pro port 443, pravidlo s názvem UserRule_default-Allow-RDPv souboru protokolu zpracovalo tok.Since the traffic was destined to port 443, the rule named UserRule_default-allow-rdp, in the log file processed the flow.
TT Protocol (Protokol)Protocol Jestli byl protokol toku TCP (T) nebo UDP (U).Whether the protocol of the flow was TCP (T) or UDP (U).
OO SměrDirection Jestli byl provoz příchozí (I) nebo odchozí (O).Whether the traffic was inbound (I) or outbound (O).
AA AkceAction Jestli byl provoz povolený (A) nebo odmítnutý (D).Whether the traffic was allowed (A) or denied (D).
CC Pouze stav toku verze 2Flow State Version 2 Only Zachycuje stav toku.Captures the state of the flow. Možné stavy jsou při vytváření toku B: begin.Possible states are B: Begin, when a flow is created. Statistiky nejsou k dispozici.Statistics aren't provided. C: pokračuje se na průběžný tok.C: Continuing for an ongoing flow. Statistika je k dispozici v intervalu 5 minut.Statistics are provided at 5-minute intervals. E: end, když se ukončí tok.E: End, when a flow is terminated. Statistiky jsou k dispozici.Statistics are provided.
3030 Odeslané pakety – pouze zdrojová do cílové verze 2Packets sent - Source to destination Version 2 Only Celkový počet paketů TCP nebo UDP odeslaných ze zdroje do cíle od poslední aktualizace.The total number of TCP or UDP packets sent from source to destination since last update.
1697816978 Odeslané bajty – pouze zdrojová do cíle verze 2Bytes sent - Source to destination Version 2 Only Celkový počet bajtů paketů TCP nebo UDP odeslaných ze zdroje do cíle od poslední aktualizace.The total number of TCP or UDP packet bytes sent from source to destination since last update. Bajty paketů zahrnují hlavičku paketu a datovou část.Packet bytes include the packet header and payload.
2424 Odeslané pakety – pouze cíl až ke zdrojové verzi 2Packets sent - Destination to source Version 2 Only Celkový počet paketů TCP nebo UDP odeslaných z cíle do zdroje od poslední aktualizace.The total number of TCP or UDP packets sent from destination to source since last update.
1400814008 Odeslané bajty – pouze cíl až ke zdrojové verzi 2Bytes sent - Destination to source Version 2 Only Celkový počet bajtů paketů TCP a UDP odeslaných z cíle do zdroje od poslední aktualizace.The total number of TCP and UDP packet bytes sent from destination to source since last update. Bajty paketů zahrnují hlavičku paketu a datovou část.Packet bytes include packet header and payload.

Další krokyNext steps

V tomto kurzu jste se naučili, jak povolit protokolování toku pro NSG pro NSG.In this tutorial, you learned how to enable NSG flow logging for an NSG. Dál jste zjistili, jak stáhnout a zobrazit data zaprotokolovaná v souboru.You also learned how to download and view data logged in a file. Nezpracovaná data v souboru json může být obtížné interpretovat.The raw data in the json file can be difficult to interpret. K vizualizaci dat protokolů toků můžete použít Azure Analýza provozu, Microsoft Power BIa další nástroje.To visualize Flow Logs data, you can use Azure Traffic Analytics, Microsoft Power BI, and other tools. Můžete vyzkoušet alternativní metody povolení protokolů toku NSG, jako jsou PowerShell, Azure CLI, REST API a šablony ARM.You can try alternate methods of enabling NSG Flow Logs like PowerShell, Azure CLI, REST API and ARM templates.