Einführung in die Datenflussprotokollierung für NetzwerksicherheitsgruppenIntroduction to flow logging for network security groups

EinführungIntroduction

NSG-Datenflussprotokolle (Netzwerksicherheitsgruppe) sind ein Feature von Azure Network Watcher, mit dem Sie Informationen zum IP-Datenverkehr protokollieren können, der eine NSG durchläuft.Network security group (NSG) flow logs is a feature of Azure Network Watcher that allows you to log information about IP traffic flowing through an NSG. Flussdaten werden an Azure Storage-Konten gesendet. Dort können Sie darauf zugreifen und die Daten in beliebige Visualisierungstools, SIEM- Systeme oder IDS Ihrer Wahl exportieren.Flow data is sent to Azure Storage accounts from where you can access it as well as export it to any visualization tool, SIEM, or IDS of your choice.

Übersicht über Datenflussprotokolle

Gründe für die Verwendung von DatenflussprotokollenWhy use Flow Logs?

Es ist wichtig, dass Sie Ihr eigenes Netzwerk kennen, überwachen und verwalten, um die Sicherheit, Compliance und Leistung zu gewährleisten.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Eine genaue Kenntnis Ihrer eigenen Umgebung ist von großer Bedeutung für deren Schutz und Optimierung.Knowing your own environment is of paramount importance to protect and optimize it. Häufig müssen Sie den aktuellen Status des Netzwerks kennen und wissen, wer womit verbunden ist, von wo die Verbindung erstellt wird, welche Ports zum Internet geöffnet sind, welches Netzwerkverhalten zu erwarten ist oder ob unregelmäßiges Netzwerkverhalten oder plötzliche Anstiege beim Datenverkehr auftreten.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

Datenflussprotokolle sind die Quelle der Wahrheit für alle Netzwerkaktivitäten in ihrer Cloudumgebung.Flow logs are the source of truth for all network activity in your cloud environment. Ganz gleich, ob Sie als aufstrebendes Startup-Unternehmen Ihre Ressourcen optimieren oder als großes Unternehmen Eindringversuche entdecken möchten: Flussprotokolle sind die beste Lösung.Whether you're an upcoming startup trying to optimize resources or large enterprise trying to detect intrusion, Flow logs are your best bet. Sie können sie zur Optimierung des Netzwerkdatenflusses, zur Überwachung des Durchsatzes, zur Überprüfung der Compliance, zur Erkennung von Eindringversuchen und für vieles mehr verwenden.You can use it for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more.

Gängige AnwendungsfälleCommon use cases

Netzwerküberwachung: Erkennen Sie unbekannten oder unerwünschten Datenverkehr.Network Monitoring: Identify unknown or undesired traffic. Überwachen Sie die Datenverkehrsebenen und die Bandbreitennutzung.Monitor traffic levels and bandwidth consumption. Filtern Sie Datenflussprotokolle nach IP-Adresse und Port, um das Anwendungsverhalten zu verstehen.Filter flow logs by IP and port to understand application behavior. Exportieren Sie Datenfluss Protokolle in Analyse- und Visualisierungstools Ihrer Wahl, um Überwachungsdashboards einzurichten.Export Flow Logs to analytics and visualization tools of your choice to set up monitoring dashboards.

Nutzungsüberwachung und -optimierung: Identifizieren Sie die wichtigsten Datenflüsse („Top Talkers“) in Ihrem Netzwerk.Usage monitoring and optimization: Identify top talkers in your network. Kombinieren Sie Datenflüsse mit GeoIP-Daten, um regionsübergreifenden Datenverkehr zu identifizieren.Combine with GeoIP data to identify cross-region traffic. Verstehen Sie das Wachstum des Datenverkehrs, um Kapazitätsprognosen abgeben zu können.Understand traffic growth for capacity forecasting. Verwenden Sie Daten, um übermäßig restriktive Datenverkehrsregeln zu entfernen.Use data to remove overtly restrictive traffic rules.

Compliance: Verwenden Sie Datenflussdaten zum Überprüfen der Netzwerkisolation und -compliance mit Unternehmenszugriffsregeln.Compliance: Use flow data to verify network isolation and compliance with enterprise access rules

Netzwerkforensik und Sicherheitsanalyse: Analysieren Sie Netzwerkdatenflüsse von kompromittierten IP-Adressen und Netzwerkschnittstellen.Network forensics & Security analysis: Analyze network flows from compromised IPs and network interfaces. Exportieren Sie Datenflussprotokolle in ein beliebiges SIEM- oder IDS-Tool Ihrer Wahl.Export flow logs to any SIEM or IDS tool of your choice.

Funktionsweise der ProtokollierungHow logging works

SchlüsseleigenschaftenKey Properties

  • Datenflussprotokolle arbeiten auf Ebene 4 und zeichnen alle IP-Datenflüsse auf, die eine NSG durchlaufen.Flow logs operate at Layer 4 and record all IP flows going in and out of an NSG
  • Protokolle werden über die Azure-Plattform erfasst und wirken sich nicht auf Kundenressourcen oder die Netzwerkleistung aus.Logs are collected through the Azure platform and do not affect customer resources or network performance in any way.
  • Protokolle werden im JSON-Format geschrieben und zeigen eingehende und ausgehende Datenflüsse auf NSG-Regelbasis ab.Logs are written in the JSON format and show outbound and inbound flows on a per NSG rule basis.
  • Jeder Protokolldatensatz enthält die Netzwerkschnittstelle (NIC), auf die sich der Datenfluss bezieht, 5-Tupel-Informationen, die Datenverkehrsentscheidung und (nur Version 2) Durchsatzinformationen.Each log record contains the network interface (NIC) the flow applies to, 5-tuple information, the traffic decision & (Version 2 only) throughput information. Ausführliche Informationen finden Sie weiter unten unter Protokollformat.See Log Format below for full details.
  • Datenflussprotokolle verfügen über eine Aufbewahrungsfunktion, die das automatische Löschen der Protokolle bis zu einem Jahr nach ihrer Erstellung ermöglicht.Flow Logs have a retention feature that allows automatically deleting the logs up to a year after their creation.

Hinweis

Aufbewahrung ist nur verfügbar, wenn Sie GPv2-Speicherkonten (Speicherkonten vom Typ „Allgemein v2“) verwenden.Retention is available only if you use General purpose v2 Storage accounts (GPv2).

Wichtige KonzepteCore concepts

  • Softwaredefinierte Netzwerke werden um virtuelle Netzwerke (VNETs) und Subnetze herum organisiert.Software defined networks are organized around Virtual Networks (VNETs) and subnets. Die Sicherheit dieser VNETs und Subnetze kann über eine Netzwerksicherheitsgruppe (NSG) verwaltet werden.The security of these VNets and subnets can be managed using an NSG.
  • Eine Netzwerksicherheitsgruppe (NSG) enthält eine Liste mit Sicherheitsregeln, mit denen Netzwerkdatenverkehr in verbundenen Ressourcen zugelassen oder verweigert wird.A Network security group (NSG) contains a list of security rules that allow or deny network traffic in resources it is connected to. NSGs können Subnetzen, einzelnen VMs oder einzelnen Netzwerkschnittstellen (NICs) zugeordnet werden, die mit virtuellen Computern (Resource Manager) verbunden sind.NSGs can be associated with subnets, individual VMs, or individual network interfaces (NIC) attached to VMs (Resource Manager). Weitere Informationen finden Sie unter Übersicht über Netzwerksicherheit.For more information, see Network security group overview.
  • Alle Datenverkehrsflüsse in Ihrem Netzwerk werden mithilfe der Regeln in der entsprechenden NSG ausgewertet.All traffic flows in your network are evaluated using the rules in the applicable NSG.
  • Das Ergebnis dieser Auswertungen sind NSG-Datenflussprotokolle.The result of these evaluations is NSG Flow Logs. Datenflussprotokolle werden über die Azure-Plattform erfasst und erfordern keine Änderung an den Kundenressourcen.Flow logs are collected through the Azure platform and don't require any change to the customer resources.
  • Hinweis: Es gibt zwei Arten von Regeln: beendende und nicht beendende, mit jeweils unterschiedlichem Protokollierungsverhalten.Note: Rules are of two types - terminating & non-terminating, each with different logging behaviors.
    • Verweigerungsregeln von Netzwerksicherheitsgruppen sind beendende Regeln.NSG Deny rules are terminating. Die Netzwerksicherheitsgruppe, die Datenverkehr ablehnt, protokolliert dies in Flussprotokollen, und die Verarbeitung wird in diesem Fall beendet, wenn eine NSG den Datenverkehr abgelehnt hat.The NSG denying the traffic will log it in Flow logs and processing in this case would stop after any NSG denies traffic.
    • NSG-Zulassungsregeln sind nicht beendende Regeln, was bedeutet, dass die Verarbeitung mit der nächsten NSG fortgesetzt wird, selbst wenn eine NSG den Datenverkehr zulässt.NSG Allow rules are non-terminating, which means even if one NSG allows it, processing will continue to the next NSG. Die letzte NSG, die Datenverkehr zulässt, protokolliert den Datenverkehr in Flussprotokollen.The last NSG allowing traffic will log the traffic to Flow logs.
  • NSG-Datenflussprotokolle werden in Speicherkonten geschrieben, von wo aus auf sie zugegriffen werden kann.NSG Flow Logs are written to storage accounts from where they can be accessed.
  • Sie können Datenflussprotokolle mithilfe von Tools wie TA, Splunk, Grafana, Stealthwatch usw. exportieren, verarbeiten, analysieren und visualisieren.You can export, process, analyze, and visualize Flow Logs using tools like TA, Splunk, Grafana, Stealthwatch, etc.

ProtokollformatLog format

Datenflussprotokolle enthalten die folgenden Eigenschaften:Flow logs include the following properties:

  • time: Zeitpunkt, zu dem das Ereignis ausgelöst wurdetime - Time when the event was logged
  • systemId: System-ID der Netzwerksicherheitsgruppe.systemId - Network Security Group system ID.
  • category: Die Kategorie des Ereignisses.category - The category of the event. Die Kategorie ist immer NetworkSecurityGroupFlowEvent.The category is always NetworkSecurityGroupFlowEvent
  • resourceid: Ressourcen-ID der Netzwerksicherheitsgrupperesourceid - The resource ID of the NSG
  • operationName: immer NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • properties: Sammlung der Eigenschaften des Datenflussesproperties - A collection of properties of the flow
    • Version: Versionsnummer des Ereignisschemas für das DatenflussprotokollVersion - Version number of the Flow Log event schema
    • flows: Sammlung von Datenflüssen.flows - A collection of flows. Diese Eigenschaft verfügt über mehrere Einträge für verschiedene Regeln.This property has multiple entries for different rules
      • rule: Regel, für die die Datenflüsse aufgeführt werdenrule - Rule for which the flows are listed
        • flows: Sammlung von Datenflüssenflows - a collection of flows
          • mac: MAC-Adresse der Netzwerkkarte für den virtuellen Computer, auf dem der Datenfluss erfasst wurdemac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: Zeichenfolge, die mehrere Eigenschaften für das Datenflusstupel in einem Format mit Trennzeichen enthältflowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Zeitstempel: Wert des Zeitstempels für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX EPOCHE-FormatTime Stamp - This value is the time stamp of when the flow occurred in UNIX epoch format
            • Quell-IP: Quell-IP-AdresseSource IP - The source IP
            • Ziel-IP: Ziel-IP-AdresseDestination IP - The destination IP
            • Quellport: QuellportSource Port - The source port
            • Zielport: ZielportDestination Port - The destination Port
            • Protokoll: Protokoll des Datenflusses.Protocol - The protocol of the flow. Gültige Werte sind T für TCP und U für UDP.Valid values are T for TCP and U for UDP
            • Datenfluss: Richtung des Datenflusses.Traffic Flow - The direction of the traffic flow. Gültige Werte sind I für eingehende (inbound) und O für ausgehende (outbound) Nachrichten.Valid values are I for inbound and O for outbound.
            • Entscheidung zum Datenverkehr: Gibt an, ob Datenverkehr zugelassen oder verweigert wurde.Traffic Decision - Whether traffic was allowed or denied. Gültige Werte sind A für zugelassen (allowed) und D für verweigert (denied).Valid values are A for allowed and D for denied.
            • Flowstatus (nur Version 2): Erfasst den Flowstatus.Flow State - Version 2 Only - Captures the state of the flow. Mögliche Statusangaben: B: („Begin“/Anfang): Erstellung eines Flows.Possible states are B: Begin, when a flow is created. Statistiken werden nicht bereitgestellt.Statistics aren't provided. C: („Continue“/Fortsetzung): Ein laufender Flow wird weiter fortgesetzt.C: Continuing for an ongoing flow. Statistiken werden in Intervallen von 5 Minuten bereitgestellt.Statistics are provided at 5-minute intervals. E: („End“/Beendigung): Beendigung eines Flows.E: End, when a flow is terminated. Statistiken werden bereitgestellt.Statistics are provided.
            • Pakete – Quelle zu Ziel – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurdenPackets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Gesendete Bytes – Quelle zu Ziel – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurdenBytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include the packet header and payload.
            • Pakete – Ziel zu Quelle – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update vom Ziel zur Quelle gesendet wurdenPackets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Gesendete Bytes – Ziel zu Quelle – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update vom Ziel zur Quelle gesendet wurdenBytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include packet header and payload.

Version 2 der NSG-Datenflussprotokolle (im Gegensatz zu Version 1)NSG flow logs Version 2 (vs Version 1)

In Version 2 der Protokolle wird das Konzept des Flowzustands eingeführt.Version 2 of the logs introduces the concept of flow state. Sie können konfigurieren, welche Version von Flowprotokollen Sie erhalten.You can configure which version of flow logs you receive.

Der Flowzustand B wird aufgezeichnet, wenn ein Flow initiiert wird.Flow state B is recorded when a flow is initiated. Die Flowzustände C und E markieren die Fortsetzung bzw. die Beendung eines Flows.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Die Zustände C und E enthalten Informationen zur Bandbreite des Datenverkehrs.Both C and E states contain traffic bandwidth information.

BeispielprotokolleinträgeSample log records

Der folgende Text ist ein Beispiel für ein Datenflussprotokoll.The text that follows is an example of a flow log. Wie Sie sehen können, sind mehrere Datensätze vorhanden, die der im vorherigen Abschnitt beschriebenen Eigenschaftenliste entsprechen.As you can see, there are multiple records that follow the property list described in the preceding section.

Hinweis

Die Werte in der Eigenschaft flowTuples sind eine durch Trennzeichen getrennte Liste.Values in the flowTuples property are a comma-separated list.

Beispiel für das Format eines NSG-Flowprotokolls der Version 1Version 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        
        

Beispiel für das Format eines NSG-Flowprotokolls der Version 2Version 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
        

Erläuterungen zum ProtokolltupelLog tuple explained

Datenflussprotokolltupel

Beispiel für BandbreitenberechnungSample bandwidth calculation

Flowtupel von einer TCP-Unterhaltung zwischen 185.170.185.105:35370 und 10.2.0.4:23:Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Für die Flowzustände C (Fortsetzung) und E (Beendung) wird die Anzahl von Bytes und Paketen vom Zeitpunkt des vorherigen Flowtupeldatensatzes an aggregiert.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Entsprechend der vorherigen Beispielkonversation ist die Gesamtanzahl der übertragenen Pakete 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. Die Gesamtanzahl der übertragenen Bytes ist 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Aktivieren von NSG-FlussprotokollenEnabling NSG Flow Logs

Verwenden Sie den entsprechenden Link unten, um Anleitungen zum Aktivieren von Datenflussprotokollen zu erhalten.Use the relevant link from below for guides on enabling flow logs.

Aktualisieren von ParameternUpdating parameters

Azure portalAzure portal

Navigieren Sie im Azure-Portal zum Abschnitt „NSG-Datenflussprotokolle“ in Network Watcher.On the Azure portal, navigate to the NSG Flow Logs section in Network Watcher. Klicken Sie dann auf den Namen der NSG.Then click the name of the NSG. Dadurch wird der Bereich "Einstellungen" für das Datenflussprotokoll geöffnet.This will bring up the settings pane for the Flow log. Ändern Sie die gewünschten Parameter, und klicken Sie auf Speichern, um die Änderungen bereitzustellen.Change the parameters you want and hit Save to deploy the changes.

PS/CLI/REST/ARMPS/CLI/REST/ARM

Zum Aktualisieren von Parametern über Befehlszeilentools verwenden Sie denselben Befehl, der zum Aktivieren von Datenflussprotokollen verwendet wurde (siehe oben), jedoch mit aktualisierten Parametern, die Sie ändern möchten.To update parameters via command-line tools, use the same command used to enable Flow Logs (from above) but with updated parameters that you want to change.

Arbeiten mit DatenflussprotokollenWorking with Flow logs

Lesen und Exportieren von DatenflussprotokollenRead and Export flow logs

Da sich Datenflussprotokolle auf NSGs beziehen, werden sie nicht wie andere Protokolle angezeigt.While flow logs target NSGs, they are not displayed the same as the other logs. Datenflussprotokolle werden nur innerhalb eines Speicherkontos gespeichert. Der Protokollpfad entspricht dabei dem folgenden Beispiel:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Visualisieren von DatenflussprotokollenVisualize flow Logs

Überlegungen zur NSG-FlowprotokollierungNSG flow logging considerations

Überlegungen zum Speicherkonto:Storage account considerations:

  • Standort: Das verwendete Speicherkonto muss sich in derselben Region wie die Netzwerksicherheitsgruppe befinden.Location: The storage account used must be in the same region as the NSG.
  • Rotation von selbstverwalteten Schlüsseln: Wenn Sie die Zugriffsschlüssel für Ihr Speicherkonto ändern oder rotieren, funktionieren die NSG-Datenflussprotokolle nicht mehr.Self-manage key rotation: If you change/rotate the access keys to your storage account, NSG Flow Logs will stop working. Um dieses Problem zu beheben, müssen Sie die NSG-Datenflussprotokolle deaktivieren und anschließend wieder aktivieren.To fix this issue, you must disable and then re-enable NSG Flow Logs.

Kosten der Datenflussprotokollierung: Die NSG-Datenflussprotokollierung wird über die Menge der erzeugten Protokolle abgerechnet.Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. Hohe Datenverkehrsvolumen können zu großen Datenflussprotokollvolumen und den damit verbundenen Kosten führen.High traffic volume can result in large flow log volume and the associated costs. Preise für NSG-Datenflussprotokolle enthalten nicht die zugrunde liegenden Kosten der Speicherung.NSG Flow log pricing does not include the underlying costs of storage. Die Verwendung der Aufbewahrungsrichtlinienfunktion mit NSG-Datenflussprotokollierung bedeutet, dass separate Speicherkosten für längere Zeiträume anfallen.Using the retention policy feature with NSG Flow Logging means incurring separate storage costs for extended periods of time. Wenn Sie die Aufbewahrungsrichtlinienfunktion nicht benötigen, empfehlen wir, dass Sie diesen Wert auf 0 festlegen.If you do not require the retention policy feature, we recommend that you set this value to 0. Weitere Informationen und zusätzliche Details finden Sie unter Network Watcher – Preise und Preise für Azure Storage.For more information, see Network Watcher Pricing and Azure Storage Pricing for additional details.

Probleme mit benutzerdefinierten TCP-Eingangsregeln: Netzwerksicherheitsgruppen (NSGs) werden als eine zustandsbehaftete Firewall implementiert.Issues with User-defined Inbound TCP rules: Network Security Groups (NSGs) are implemented as a Stateful firewall. Aufgrund der aktuellen Plattformeinschränkungen werden benutzerdefinierte Regeln, die sich auf eingehende TCP-Flows auswirken, jedoch in einer zustandslosen Weise implementiert.However, due to current platform limitations, user-defined rules that affect inbound TCP flows are implemented in a stateless fashion. Aus diesem Grund führen die von den benutzerdefinierten Eingangsregeln betroffenen Flows zu keiner Beendigung.Due to this, flows affected by user-defined inbound rules become non-terminating. Darüber hinaus wird die Byte- und Paketanzahl für diese Flows nicht aufgezeichnet.Additionally byte and packet counts are not recorded for these flows. Entsprechend kann die Anzahl der Bytes und Pakete, die in den NSG-Flussprotokollen (und der Datenverkehrsanalyse) gemeldet wird, von den tatsächlichen Werten abweichen.Consequently the number of bytes and packets reported in NSG Flow Logs (and Traffic Analytics) could be different from actual numbers. Ein Flag, das diese Probleme behebt und abonniert werden kann, soll spätestens im Dezember 2020 zur Verfügung stehen.An opt-in flag that fixes these issues is scheduled to be available by December 2020 latest. In der Zwischenzeit können Kunden mit schwerwiegenden Problemen, die infolge dieses Verhaltens auftreten, die Aktivierung des Flags über den Support anfordern. Stellen Sie dazu unter „Network Watcher“ > „NSG-Flowprotokolle“ eine Supportanfrage.In the interim, customers facing severe issues due to this behavior can request opting-in via Support, please raise a support request under Network Watcher > NSG Flow Logs.

Aus Internet-IP-Adressen protokollierte eingehende Datenflüsse an virtuelle Computer ohne öffentliche IP-Adressen: Für virtuelle Computer, denen keine öffentliche IP-Adresse über eine öffentliche IP-Adresse zugewiesen wurde, die der Netzwerkkarte als öffentliche IP-Adresse auf Instanzebene zugeordnet ist, oder die zu einem Basis-Back-End-Pool für Lastenausgleich gehören, werden standardmäßiges SNAT und eine IP-Adresse verwendet, die von Azure zugewiesen wurde, um ausgehende Verbindung zu unterstützen.Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. Daher sehen Sie möglicherweise Datenflussprotokolleinträge für Datenflüsse von Internet-IP-Adressen, wenn der jeweilige Datenfluss für einen Port im Bereich der Ports bestimmt war, die für SNAT zugewiesen sind.As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Obwohl Azure diese Datenflüsse zu dem virtuellen Computer nicht zulässt, wird der Versuch protokolliert und konzeptbedingt im NSG-Datenflussprotokoll von Network Watcher aufgeführt.While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. Es empfiehlt sich, unerwünschten eingehenden Internet-Datenverkehr explizit mit NSG zu blockieren.We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

Inkompatible Dienste: Aufgrund der derzeitigen Plattformeinschränkungen wird eine kleine Anzahl von Azure-Diensten nicht von NSG-Datenflussprotokollen unterstützt.Incompatible Services: Due to current platform limitations, a small set of Azure services are not supported by NSG Flow Logs. Die aktuelle Liste der inkompatiblen Dienste lautet:The current list of incompatible services is

Bewährte MethodenBest practices

Aktivieren für kritische VNETs/Subnetze: Datenflussprotokolle sollten für alle kritischen VNETs/Subnetze in Ihrem Abonnement als bewährte Methode für Überwachbarkeit und Sicherheit aktiviert werden.Enable on critical VNETs/Subnets: Flow Logs should be enabled on all critical VNETs/subnets in your subscription as an auditability and security best practice.

Aktivieren der NSG-Datenflussprotokollierung für alle Netzwerksicherheitsgruppen (NSGs), die einer Ressource angefügt sind: Datenflussprotokollierung in Azure wird für die einzelne NSG-Ressource konfiguriert.Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. Ein Flow wird nur einer einzigen NSG-Regel zugeordnet.A flow will only be associated to one NSG Rule. In Szenarien, in denen mehrere NSGs verwendet werden, empfehlen wir, die NSG-Datenflussprotokollierung für alle auf das Subnetz oder die Netzwerkschnittstelle einer Ressource angewendeten Netzwerksicherheitsgruppen zu aktivieren, um sicherzustellen, dass der gesamte Datenverkehr aufgezeichnet wird.In scenarios where multiple NSGs are utilized, we recommend enabling NSG flow logs on all NSGs applied a resource's subnet or network interface to ensure that all traffic is recorded. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Auswertung von Datenverkehr.For more information, see how traffic is evaluated in Network Security Groups.

Speicherbereitstellung: Speicher sollte in Abstimmung mit dem erwarteten Datenflussprotokoll-Volumen bereitgestellt werden.Storage provisioning: Storage should be provisioned in tune with expected Flow Log volume.

Behandeln allgemeiner ProblemeTroubleshooting common issues

Ich konnte die NSG-Flussprotokolle nicht aktivieren.I could not enable NSG Flow Logs

  • Microsoft.Insights-Ressourcenanbieter ist nicht registriertMicrosoft.Insights resource provider is not registered

Wenn Sie den Fehler AuthorizationFailed oder GatewayAuthenticationFailed erhalten, haben Sie unter Umständen den Microsoft Insights-Ressourcenanbieter für Ihr Abonnement nicht aktiviert.If you received an AuthorizationFailed or a GatewayAuthenticationFailed error, you might have not enabled the Microsoft Insights resource provider on your subscription. Befolgen Sie die Anleitung, um den Microsoft Insights-Anbieter zu aktivieren.Follow the instructions to enable the Microsoft Insights provider.

Ich habe die NSG-Flussprotokolle aktiviert, aber in meinem Speicherkonto werden keine Daten angezeigt.I have enabled NSG Flow Logs but do not see data in my storage account

  • EinrichtungszeitSetup time

Es kann bis zu fünf Minuten dauern, bis NSG-Flussprotokolle in Ihrem Speicherkonto angezeigt werden (bei ordnungsgemäßer Konfiguration).NSG Flow Logs may take up to 5 minutes to appear in your storage account (if configured correctly). Die Datei „PT1H.json“ wird angezeigt. Darauf kann wie hier beschrieben zugegriffen werden.A PT1H.json will appear which can be accessed as described here.

  • Kein Datenverkehr in Ihren NSGsNo Traffic on your NSGs

In einigen Fällen werden keine Protokolle angezeigt, weil Ihre VMs nicht aktiv sind, oder der Datenverkehr zu Ihren NSGs wird aufgrund von Upstream-Filtern auf einem App Gateway oder anderen Geräten blockiert.Sometimes you will not see logs because your VMs are not active or there are upstream filters at an App Gateway or other devices that are blocking traffic to your NSGs.

Ich möchte NSG-Flussprotokolle automatisierenI want to automate NSG Flow Logs

Die Unterstützung der Automatisierung über ARM-Vorlagen ist derzeit für NSG-Datenflussprotokolle nicht verfügbar.Support for automation via ARM templates is currently not available for NSG Flow Logs. Weitere Informationen finden Sie in der Featureankündigung.Read the feature announcement for more information.

Häufig gestellte FragenFAQ

Welche Aufgabe haben NSG-Datenflussprotokolle?What does NSG Flow Logs do?

Azure-Netzwerkressourcen können mithilfe von Netzwerksicherheitsgruppen (NSGs) kombiniert und verwaltet werden.Azure network resources can be combined and managed through Network Security Groups (NSGs). NSG-Flussprotokolle ermöglichen Ihnen, Flussinformationen mit 5 Tupeln zum gesamten Datenverkehr durch Ihre NSGs zu protokollieren.NSG Flow Logs enable you to log 5-tuple flow information about all traffic through your NSGs. Die unformatierten Flowprotokolle werden in ein Azure Storage-Konto geschrieben, in dem Sie nach Bedarf weiterverarbeitet, analysiert, abgefragt oder exportiert werden können.The raw flow logs are written to an Azure Storage account from where they can be further processed, analyzed, queried, or exported as needed.

Wirkt sich die Verwendung von Datenflussprotokollen auf die Netzwerklatenz oder -leistung aus?Does using Flow Logs impact my network latency or performance?

Die Daten von Datenflussprotokollen werden außerhalb des Pfads Ihres Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die -latenz aus.Flow logs data is collected outside of the path of your network traffic, and therefore does not affect network throughput or latency. Sie können Datenflussprotokolle erstellen oder löschen, ohne dass sich dies auf die Netzwerkleistung auswirkt.You can create or delete flow logs without any risk of impact to network performance.

Wie verwende ich NSG-Flussprotokolle mit einem Speicherkonto hinter einer Firewall?How do I use NSG Flow Logs with a Storage account behind a firewall?

Wenn Sie ein Speicherkonto hinter einer Firewall verwenden möchten, müssen Sie eine Ausnahme für vertrauenswürdige Microsoft-Dienste für den Zugriff auf Ihr Speicherkonto bereitstellen:To use a Storage account behind a firewall, you have to provide an exception for Trusted Microsoft Services to access your storage account:

  • Navigieren Sie zum Speicherkonto, indem Sie im Portal oder auf der Seite Speicherkonten den Namen des Speicherkontos in das Feld für die globale Suche eingeben.Navigate to the storage account by typing the storage account's name in the global search on the portal or from the Storage Accounts page
  • Wählen Sie im Abschnitt EINSTELLUNGEN die Option Firewalls und virtuelle Netzwerke aus.Under the SETTINGS section, select Firewalls and virtual networks
  • Wählen Sie unter Zugriff erlauben von die Option Ausgewählte Netzwerke aus.In Allow access from, select Selected networks. Aktivieren Sie anschließend unter Ausnahmen das Kontrollkästchen neben ****Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben****Then under Exceptions, tick the box next to ****Allow trusted Microsoft services to access this storage account****
  • Falls die Option bereits ausgewählt ist, ist keine Änderung erforderlich.If it is already selected, no change is needed.
  • Suchen Sie auf der Seite NSG-Flussprotokolle: Übersicht nach ihrer Ziel-NSG, und aktivieren Sie NSG-Flussprotokolle mit dem oben ausgewählten Speicherkonto.Locate your target NSG on the NSG Flow Logs overview page and enable NSG Flow Logs with the above storage account selected.

Sie können nach einigen Minuten die Speicherprotokolle überprüfen, um zu ermitteln, ob ein aktualisierter Zeitstempel vorhanden ist oder eine neue JSON-Datei erstellt wurde.You can check the storage logs after a few minutes, you should see an updated TimeStamp or a new JSON file created.

Wie verwende ich NSG-Flussprotokolle mit einem Speicherkonto hinter einem Dienstendpunkt?How do I use NSG Flow Logs with a Storage account behind a Service Endpoint?

NSG-Flussprotokolle sind ohne weitere Konfiguration mit Dienstendpunkten kompatibel.NSG Flow Logs are compatible with Service Endpoints without requiring any extra configuration. Weitere Informationen finden Sie im Tutorial zum Aktivieren von Dienstendpunkten in Ihrem virtuellen Netzwerk.See the tutorial on enabling Service Endpoints in your virtual network.

Worin besteht der Unterschied zwischen den Datenflussprotokollen der Version 1 und 2?What is the difference between flow logs versions 1 & 2?

In Flowprotokolle der Version 2 wurde des Konzept des Flowzustands eingeführt, gemäß dem Informationen zu Bytes und Paketen gespeichert werden.Flow Logs version 2 introduces the concept of Flow State & stores information about bytes and packets transmitted. hierRead more

PreisePricing

NSG-Datenflussprotokolle werden pro GB an erfassten Protokollen abgerechnet und verfügen über einen Free-Tarif von 5 GB/Monat pro Abonnement.NSG Flow Logs are charged per GB of logs collected and come with a free tier of 5 GB/month per subscription. Die aktuellen Preise in Ihrer Region finden Sie auf der Seite Network Watcher-Preise.For the current pricing in your region, see the Network Watcher pricing page.

Die Speicherung von Protokollen wird separat abgerechnet. Weitere Informationen zu den relevanten Preisen finden Sie auf der Seite Azure Storage-Blockblobpreise.Storage of logs is charged separately, see Azure Storage Block blob pricing page for relevant prices.