Konfigurieren von Datenflussprotokollen für Netzwerksicherheitsgruppen mit der Azure CLI

Datenflussprotokolle für Netzwerksicherheitsgruppen sind ein Network Watcher-Feature, mit dem Sie Informationen zu ein- und ausgehendem IP-Datenverkehr über eine Netzwerksicherheitsgruppe anzeigen können. Diese Datenflussprotokolle sind im JSON-Format geschrieben und zeigen ausgehende und eingehende Datenflüsse pro Regel, die NIC, auf die sich der Datenfluss bezieht, 5-Tupel-Informationen über den Datenfluss (Quell-/Ziel-IP, Quell-/Zielport, Protokoll) und Informationen zu zugelassenem oder verweigertem Datenverkehr.

Um die Schritte in diesem Artikel ausführen zu können, müssen Sie die Azure-Befehlszeilenschnittstelle für Mac, Linux und Windows (CLI) installieren. Eine ausführliche Spezifikation aller Datenflussprotokolle finden Sie hier.

Registrieren von Insights-Anbietern

Der Anbieter Microsoft.Insights muss registriert sein, damit die Datenflussprotokollierung ordnungsgemäß funktioniert. Wenn Sie sich nicht sicher sind, ob der Anbieter Microsoft.Insights registriert ist, führen Sie folgendes Skript aus.

az provider register --namespace Microsoft.Insights

Aktivieren von Flowprotokollen für Netzwerksicherheitsgruppen

Der Befehl zum Aktivieren von Flowprotokollen wird im folgenden Beispiel gezeigt:

az network watcher flow-log create --resource-group resourceGroupName --enabled true --nsg nsgName --storage-account storageAccountName --location location
# Configure 
az network watcher flow-log create --resource-group resourceGroupName --enabled true --nsg nsgName --storage-account storageAccountName --location location --format JSON --log-version 2

Für das von Ihnen angegebene Speicherkonto dürfen keine Netzwerkregeln konfiguriert sein, die den Netzwerkzugriff nur auf Microsoft-Dienste oder bestimmte virtuelle Netzwerke beschränken. Das Speicherkonto kann sich im gleichen Azure-Abonnement wie die NSG, für die Sie das Datenflussprotokoll aktivieren, befinden oder in einem anderen Azure-Abonnement. Wenn Sie unterschiedliche Abonnements verwenden, müssen beide demselben Azure Active Directory-Mandanten zugeordnet sein. Die für die beiden Abonnements verwendeten Konten müssen über die erforderlichen Berechtigungen verfügen.

Wenn sich das Speicherkonto in einer anderen Ressourcengruppe oder einem anderen Abonnement als die Netzwerksicherheitsgruppe befindet, geben Sie statt des Namens die vollständige ID des Speicherkontos an. Wenn sich beispielsweise das Speicherkonto in einer Ressourcengruppe namens RG-Storage befindet, würden Sie anstelle von storageAccountName im vorherigen Befehl die ID /subscriptions/{Abonnement-ID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/storageAccountName angeben.

Deaktivieren von Flowprotokollen für Netzwerksicherheitsgruppen

Verwenden Sie das folgende Beispiel, um Flowprotokolle zu deaktivieren:

az network watcher flow-log configure --resource-group resourceGroupName --enabled false --nsg nsgName

Herunterladen eines Flowprotokolls

Bei der Erstellung wird der Speicherort eines Flowprotokolls definiert. Ein nützliches Tool für den Zugriff auf diese in einem Speicherkonto gespeicherten Flowprotokolle ist der Microsoft Azure Storage-Explorer, der hier heruntergeladen werden kann: https://storageexplorer.com/

Wenn ein Speicherkonto angegeben wird, werden die Dateien der Flowprotokolle in einem Speicherkonto am folgenden Speicherort gespeichert:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Nächste Schritte

Erfahren Sie, wie Sie Ihre NSG-Flowprotokolle mit Power BI visualisieren.

Erfahren Sie, wie Sie Ihre NSG-Flowprotokolle mit Open Source-Tools visualisieren.