Einführung in die Datenflussprotokollierung für NetzwerksicherheitsgruppenIntroduction to flow logging for network security groups

Datenflussprotokolle für Netzwerksicherheitsgruppen (NSG) sind ein Network Watcher-Feature, mit dem Sie Informationen zu ein- und ausgehendem IP-Datenverkehr über eine NSG anzeigen können.Network security group (NSG) flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through an NSG. Die Flowprotokolle sind im JSON-Format geschrieben und zeigen aus- und eingehende Datenflows pro Regel, die Netzwerkschnittstelle, auf die sich der Datenflow bezieht, 5-Tupel-Informationen über den Datenflow (Quell-/Ziel-IP-Adresse, Quell-/Zielport, Protokoll) und Informationen zu zugelassenem oder verweigertem Datenverkehr an. In Version 2 sind darüber hinaus Durchsatzinformationen (Bytes und Pakete) angegeben.Flow logs are written in JSON format, and show outbound and inbound flows on a per rule basis, the network interface (NIC) the flow applies to, 5-tuple information about the flow (Source/destination IP, source/destination port, and protocol), if the traffic was allowed or denied, and in Version 2, throughput information (Bytes and Packets).

Übersicht über Datenflussprotokolle

Da sich Datenflussprotokolle auf NSGs beziehen, werden sie nicht wie andere Protokolle angezeigt.While flow logs target NSGs, they are not displayed the same as the other logs. Datenflussprotokolle werden nur innerhalb eines Speicherkontos gespeichert. Der Protokollpfad entspricht dabei dem folgenden Beispiel:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Sie können Datenflussprotokolle analysieren und so mithilfe von Datenverkehrsanalysen Einblicke in Ihren Netzwerkdatenverkehr gewinnen.You can analyze flow logs and gain insights into your network traffic using traffic analytics.

Für Datenflussprotokolle gelten die gleichen Aufbewahrungsrichtlinien wie für andere Protokolle.The same retention policies seen for other logs apply to flow logs. Sie können Protokollaufbewahrungs-Richtlinien von einem Tag bis zu 2.147.483.647 Tagen festlegen.You can set log retention policy from 1 day to 2147483647 days. Wenn keine Aufbewahrungsrichtlinie festgelegt wurde, werden die Protokolle unbegrenzt aufbewahrt.If a retention policy is not set, the logs are maintained forever.

Hinweis

Wenn Sie die Aufbewahrungsrichtlinienfunktion mit der NSG-Datenflussprotokollierung verwenden, kann dies zu einem hohen Volumen von Speichervorgängen und den damit verbundenen Kosten führen.Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. Wenn Sie die Aufbewahrungsrichtlinienfunktion nicht benötigen, empfehlen wir, dass Sie diesen Wert auf 0 festlegen.If you do not require the retention policy feature, we recommend that you set this value to 0.

ProtokolldateiLog file

Datenflussprotokolle enthalten die folgenden Eigenschaften:Flow logs include the following properties:

  • time: Zeitpunkt, zu dem das Ereignis ausgelöst wurdetime - Time when the event was logged
  • systemId: ID der Netzwerksicherheitsgruppen-RessourcesystemId - Network Security Group resource Id.
  • category: Die Kategorie des Ereignisses.category - The category of the event. Die Kategorie ist immer NetworkSecurityGroupFlowEvent.The category is always NetworkSecurityGroupFlowEvent
  • resourceid: Ressourcen-ID der Netzwerksicherheitsgrupperesourceid - The resource Id of the NSG
  • operationName: immer NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • properties: Sammlung der Eigenschaften des Datenflussesproperties - A collection of properties of the flow
    • Version: Versionsnummer des Ereignisschemas für das DatenflussprotokollVersion - Version number of the Flow Log event schema
    • flows: Sammlung von Datenflüssen.flows - A collection of flows. Diese Eigenschaft verfügt über mehrere Einträge für verschiedene Regeln.This property has multiple entries for different rules
      • rule: Regel, für die die Datenflüsse aufgeführt werdenrule - Rule for which the flows are listed
        • flows: Sammlung von Datenflüssenflows - a collection of flows
          • mac: MAC-Adresse der Netzwerkkarte für den virtuellen Computer, auf dem der Datenfluss erfasst wurdemac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: Zeichenfolge, die mehrere Eigenschaften für das Datenflusstupel in einem Format mit Trennzeichen enthältflowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Zeitstempel: Wert des Zeitstempels für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX EPOCHE-FormatTime Stamp - This value is the time stamp of when the flow occurred in UNIX EPOCH format
            • Quell-IP: Quell-IP-AdresseSource IP - The source IP
            • Ziel-IP: Ziel-IP-AdresseDestination IP - The destination IP
            • Quellport: QuellportSource Port - The source port
            • Zielport: ZielportDestination Port - The destination Port
            • Protokoll: Protokoll des Datenflusses.Protocol - The protocol of the flow. Gültige Werte sind T für TCP und U für UDP.Valid values are T for TCP and U for UDP
            • Datenfluss: Richtung des Datenflusses.Traffic Flow - The direction of the traffic flow. Gültige Werte sind I für eingehende (inbound) und O für ausgehende (outbound) Nachrichten.Valid values are I for inbound and O for outbound.
            • Entscheidung zum Datenverkehr: Gibt an, ob Datenverkehr zugelassen oder verweigert wurde.Traffic Decision - Whether traffic was allowed or denied. Gültige Werte sind A für zugelassen (allowed) und D für verweigert (denied).Valid values are A for allowed and D for denied.
            • Flowstatus (nur Version 2): Erfasst den Flowstatus.Flow State - Version 2 Only - Captures the state of the flow. Mögliche Statusangaben: B: („Begin“/Anfang): Erstellung eines Flows.Possible states are B: Begin, when a flow is created. Statistiken werden nicht bereitgestellt.Statistics aren't provided. C: („Continue“/Fortsetzung): Ein laufender Flow wird weiter fortgesetzt.C: Continuing for an ongoing flow. Statistiken werden in Intervallen von 5 Minuten bereitgestellt.Statistics are provided at 5-minute intervals. E: („End“/Beendigung): Beendigung eines Flows.E: End, when a flow is terminated. Statistiken werden bereitgestellt.Statistics are provided.
            • Pakete – Quelle zu Ziel – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurdenPackets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Gesendete Bytes – Quelle zu Ziel – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurdenBytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include the packet header and payload.
            • Pakete – Ziel zu Quelle – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update vom Ziel zur Quelle gesendet wurdenPackets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Gesendete Bytes – Ziel zu Quelle – nur Version 2: Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update vom Ziel zur Quelle gesendet wurdenBytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include packet header and payload.

Version 2 der NSG-FlowprotokolleNSG flow logs version 2

In Version 2 der Protokollierung wird der Flowzustand eingeführt.Version 2 of the logs introduces flow state. Sie können konfigurieren, welche Version von Flowprotokollen Sie erhalten.You can configure which version of flow logs you receive. Wie Sie Datenflussprotokolle aktivieren, erfahren Sie unter Tutorial: Verwalten von Datenflussprotokollen für Netzwerksicherheitsgruppen über das Azure-Portal.To learn how to enable flow logs, see Enabling NSG flow logging.

Der Flowzustand B wird aufgezeichnet, wenn ein Flow initiiert wird.Flow state B is recorded when a flow is initiated. Die Flowzustände C und E markieren die Fortsetzung bzw. die Beendung eines Flows.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Die Zustände C und E enthalten Informationen zur Bandbreite des Datenverkehrs.Both C and E states contain traffic bandwidth information.

Für die Flowzustände C (Fortsetzung) und E (Beendung) wird die Anzahl von Bytes und Paketen vom Zeitpunkt des vorherigen Flowtupeldatensatzes an aggregiert.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Entsprechend der vorherigen Beispielkonversation ist die Gesamtanzahl der übertragenen Pakete 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. Die Gesamtanzahl der übertragenen Bytes ist 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Beispiel: Flowtupel von einer TCP-Unterhaltung zwischen 185.170.185.105:35370 und 10.2.0.4:23:Example: Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Für die Flowzustände C (Fortsetzung) und E (Beendung) wird die Anzahl von Bytes und Paketen vom Zeitpunkt des vorherigen Flowtupeldatensatzes an aggregiert.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Entsprechend der vorherigen Beispielkonversation ist die Gesamtanzahl der übertragenen Pakete 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. Die Gesamtanzahl der übertragenen Bytes ist 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Der folgende Text ist ein Beispiel für ein Datenflussprotokoll.The text that follows is an example of a flow log. Wie Sie sehen können, sind mehrere Datensätze vorhanden, die der im vorherigen Abschnitt beschriebenen Eigenschaftenliste entsprechen.As you can see, there are multiple records that follow the property list described in the preceding section.

Überlegungen zur NSG-DatenflussprotokollierungNSG Flow Logging Considerations

Aktivieren der NSG-Datenflussprotokollierung für alle Netzwerksicherheitsgruppen (NSGs), die einer Ressource angefügt sind: Datenflussprotokollierung in Azure wird für die einzelne NSG-Ressource konfiguriert.Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. Ein Flow wird nur einer einzigen NSG-Regel zugeordnet.A flow will only be associated to one NSG Rule. In Szenarien, in denen mehrere NSGs verwendet werden, empfehlen wir, dass die NSG-Datenflussprotokollierung für alle auf das Subnetz oder die Netzwerkschnittstelle einer Ressource angewendeten Netzwerksicherheitsgruppen aktiviert wird, um sicherzustellen, dass der gesamte Datenverkehr aufgezeichnet wird.In scenarios where multiple NSGs are utilized, we recommend that NSG flow logging is enabled on all NSGs applied a resource's subnet or network interface to ensure that all traffic is recorded. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Gewusst wie: Bewertung von Datenverkehr.See how traffic is evaluated for more information on Network Security Groups.

Kosten der Datenflussprotokollierung: Die NSG-Datenflussprotokollierung wird über die Menge der erzeugten Protokolle abgerechnet.Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. Hohe Datenverkehrsvolumen können zu großen Datenflussprotokollvolumen und den damit verbundenen Kosten führen.High traffic volume can result in large flow log volume and the associated costs. Preise für NSG-Datenflussprotokolle enthalten nicht die zugrunde liegenden Kosten der Speicherung.NSG Flow log pricing does not include the underlying costs of storage. Wenn Sie die Aufbewahrungsrichtlinienfunktion mit der NSG-Datenflussprotokollierung verwenden, kann dies zu einem hohen Volumen von Speichervorgängen und den damit verbundenen Kosten führen.Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. Wenn Sie die Aufbewahrungsrichtlinienfunktion nicht benötigen, empfehlen wir, dass Sie diesen Wert auf 0 festlegen.If you do not require the retention policy feature, we recommend that you set this value to 0. Zusätzliche Details finden Sie unter Network Watcher – Preise und Preise für Azure Storage.See Network Watcher Pricing and Azure Storage Pricing for additional details.

Aus Internet-IP-Adressen protokollierte eingehende Datenflüsse an virtuelle Computer ohne öffentliche IP-Adressen: Für virtuelle Computer, denen keine öffentliche IP-Adresse über eine öffentliche IP-Adresse zugewiesen wurde, die der Netzwerkkarte als öffentliche IP-Adresse auf Instanzebene zugeordnet ist, oder die zu einem Basis-Back-End-Pool für Lastenausgleich gehören, werden standardmäßiges SNAT und eine IP-Adresse verwendet, die von Azure zugewiesen wurde, um ausgehende Verbindung zu unterstützen.Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. Daher sehen Sie möglicherweise Datenflussprotokolleinträge für Datenflüsse von Internet-IP-Adressen, wenn der jeweilige Datenfluss für einen Port im Bereich der Ports bestimmt war, die für SNAT zugewiesen sind.As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Obwohl Azure diese Datenflüsse zu dem virtuellen Computer nicht zulässt, wird der Versuch protokolliert und konzeptbedingt im NSG-Datenflussprotokoll von Network Watcher aufgeführt.While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. Es empfiehlt sich, unerwünschten eingehenden Internet-Datenverkehr explizit mit NSG zu blockieren.We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

BeispielprotokolleinträgeSample log records

Der folgende Text ist ein Beispiel für ein Datenflussprotokoll.The text that follows is an example of a flow log. Wie Sie sehen können, sind mehrere Datensätze vorhanden, die der im vorherigen Abschnitt beschriebenen Eigenschaftenliste entsprechen.As you can see, there are multiple records that follow the property list described in the preceding section.

Hinweis

Die Werte in der *flowTuples-Eigenschaft sind eine durch Trennzeichen getrennte Liste.Values in the *flowTuples property are a comma-separated list.

Beispiel für das Format eines NSG-Flowprotokolls der Version 1Version 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

Beispiel für das Format eines NSG-Flowprotokolls der Version 2Version 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        ...

Nächste SchritteNext steps