Tutorial: Protokollieren des Netzwerkdatenverkehrs zu und von einem virtuellen Computer über das Azure-PortalTutorial: Log network traffic to and from a virtual machine using the Azure portal

Mithilfe einer Netzwerksicherheitsgruppe (NSG) können Sie eingehenden Datenverkehr zu und ausgehenden Datenverkehr von einem virtuellen Computer filtern.A network security group (NSG) enables you to filter inbound traffic to, and outbound traffic from, a virtual machine (VM). Sie können den Netzwerkdatenverkehr, der über eine NSG verläuft, mithilfe der Funktion für NSG-Flussprotokolle von Network Watcher protokollieren.You can log network traffic that flows through an NSG with Network Watcher's NSG flow log capability. In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Erstellen eines virtuellen Computers mit einer NetzwerksicherheitsgruppeCreate a VM with a network security group
  • Aktivieren von Network Watcher und Registrieren des Microsoft.Insights-AnbietersEnable Network Watcher and register the Microsoft.Insights provider
  • Aktivieren eines Datenflussprotokolls für eine NSG mithilfe der Funktion für NSG-Flussprotokolle von Network WatcherEnable a traffic flow log for an NSG, using Network Watcher's NSG flow log capability
  • Herunterladen protokollierter DatenDownload logged data
  • Anzeigen protokollierter DatenView logged data

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Erstellen einer VMCreate a VM

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Wählen Sie Compute und anschließend Windows Server 2016 Datacenter oder eine Version von Ubuntu Server.Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, übernehmen Sie die Standardwerte für die übrigen Einstellungen, und klicken Sie auf OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    EinstellungSetting WertValue
    NAMEName myVmmyVm
    BenutzernameUser name Geben Sie den gewünschten Benutzernamen ein.Enter a user name of your choosing.
    KennwortPassword Geben Sie das gewünschte Kennwort ein.Enter a password of your choosing. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.The password must be at least 12 characters long and meet the defined complexity requirements.
    SubscriptionSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    Resource groupResource group Klicken Sie auf Neu erstellen, und geben Sie myResourceGroup ein.Select Create new and enter myResourceGroup.
    LocationLocation Wählen Sie USA, Osten aus.Select East US
  4. Wählen Sie eine Größe für den virtuellen Computer aus, und klicken Sie dann auf Auswählen.Select a size for the VM and then select Select.

  5. Übernehmen Sie unter Einstellungen alle Standardwerte, und klicken Sie auf OK.Under Settings, accept all the defaults, and select OK.

  6. Wählen Sie auf der Seite Zusammenfassung unter Erstellen die Option Erstellen, um die Bereitstellung des virtuellen Computers zu starten.Under Create of the Summary, select Create to start VM deployment. Die Bereitstellung des virtuellen Computers dauert einige Minuten.The VM takes a few minutes to deploy. Warten Sie, bis die Bereitstellung des virtuellen Computers abgeschlossen ist, bevor Sie mit den weiteren Schritten fortfahren.Wait for the VM to finish deploying before continuing with the remaining steps.

Die Erstellung des virtuellen Computers dauert einige Minuten.The VM takes a few minutes to create. Fahren Sie erst dann mit den weiteren Schritten fort, wenn die Erstellung des virtuellen Computers abgeschlossen ist.Don't continue with remaining steps until the VM has finished creating. Beim Erstellen des virtuellen Computers im Portal wird auch eine Netzwerksicherheitsgruppe mit dem Namen myVm-nsg erstellt und der Netzwerkschnittstelle für den virtuellen Computer zugeordnet.While the portal creates the VM, it also creates a network security group with the name myVm-nsg, and associates it to the network interface for the VM.

Aktivieren von Network WatcherEnable Network Watcher

Wenn Sie bereits über eine aktivierte Network Watcher-Instanz in der Region „USA, Osten“ verfügen, fahren Sie mit Registrieren des Insights-Anbieters fort.If you already have a network watcher enabled in the East US region, skip to Register Insights provider.

  1. Klicken Sie im Portal auf Alle Dienste.In the portal, select All services. Geben Sie im Feld Filter die Zeichenfolge Network Watcher ein.In the Filter box, enter Network Watcher. Wenn Network Watcher in den Ergebnissen angezeigt wird, wählen Sie ihn aus.When Network Watcher appears in the results, select it.

  2. Wählen Sie die Regionen aus, um sie zu erweitern, und wählen Sie dann ... rechts von USA, Osten aus (siehe folgende Abbildung):Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Aktivieren von Network Watcher

  3. Klicken Sie auf Network Watcher aktivieren.Select Enable Network Watcher.

Registrieren von Insights-AnbieternRegister Insights provider

Für die NSG-Datenflussprotokollierung ist der Microsoft.Insights-Anbieter erforderlich.NSG flow logging requires the Microsoft.Insights provider. Führen Sie zum Registrieren des Anbieters die folgenden Schritte aus:To register the provider, complete the following steps:

  1. Wählen Sie oben links im Portal die Option Alle Dienste aus.In the top, left corner of portal, select All services. Geben Sie im Feld „Filter“ den Text Abonnements ein.In the Filter box, type Subscriptions. Wenn Abonnements in den Suchergebnissen angezeigt wird, wählen Sie diesen Eintrag aus.When Subscriptions appear in the search results, select it.

  2. Wählen Sie in der Liste der Abonnements das Abonnement aus, für das Sie den Anbieter aktivieren möchten.From the list of subscriptions, select the subscription you want to enable the provider for.

  3. Klicken Sie unter EINSTELLUNGEN auf Ressourcenanbieter.Select Resource providers, under SETTINGS.

  4. Überprüfen Sie, ob der STATUS für den microsoft.insights-Anbieter Registriert lautet (siehe folgende Abbildung).Confirm that the STATUS for the microsoft.insights provider is Registered, as shown in the picture that follows. Lautet der Status Nicht registriert, wählen Sie rechts neben dem Anbieter die Option Registrieren aus.If the status is Unregistered, then select Register, to the right of the provider.

    Registrieren des Anbieters

Aktivieren des NSG-FlussprotokollsEnable NSG flow log

  1. NSG-Flussprotokolldaten werden in einem Azure Storage-Konto gespeichert.NSG flow log data is written to an Azure Storage account. Zum Erstellen eines Azure Storage-Kontos wählen Sie oben links im Portal die Option + Ressource erstellen aus.To create an Azure Storage account, select + Create a resource at the top, left corner of the portal.

  2. Wählen Sie die Option Speicher und anschließend Speicherkonto – Blob, Datei, Tabelle, Warteschlange aus.Select Storage, then select Storage account - blob, file, table, queue.

  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, übernehmen Sie die verbleibenden Standardeinstellungen, und wählen Sie dann Erstellen aus.Enter, or select the following information, accept the remaining defaults, and then select Create.

    EinstellungSetting WertValue
    NAMEName Länge von 3 bis 24 Zeichen, darf nur Kleinbuchstaben und Ziffern enthalten und muss für alle Azure Storage-Konten eindeutig sein.3-24 characters in length, can only contain lowercase letters and numbers, and must be unique across all Azure Storage accounts.
    LocationLocation Wählen Sie USA, Osten aus.Select East US
    Resource groupResource group Wählen Sie Vorhandene verwenden und dann myResourceGroup aus.Select Use existing, and then select myResourceGroup

    Das Erstellen des Speicherkontos kann etwa eine Minute dauern.The storage account may take around minute to create. Fahren Sie erst dann mit den weiteren Schritten fort, wenn das Speicherkonto erstellt wurde.Don't continue with remaining steps until the storage account is created. Wenn Sie kein Speicherkonto erstellen, sondern ein vorhandenes Konto verwenden, vergewissern Sie sich, dass Sie ein Speicherkonto auswählen, für das Alle Netzwerke (Standard) unter Firewalls und virtuelle Netzwerken in EINSTELLUNGEN ausgewählt ist.If you use an existing storage account instead of creating one, ensure you select a storage account that has All networks (default) selected for Firewalls and virtual networks, under the SETTINGS for the storage account. Das Speicherkonto muss sich immer in derselben Region wie die NSG befinden.In all cases, the storage account must be in the same region as the NSG.

    Hinweis

    Microsoft.Insight- und Microsoft.Network-Anbieter werden derzeit zwar als vertrauenswürdige Microsoft-Dienste für Azure Storage unterstützt, die NSG-Flussprotokolle wurden jedoch noch nicht vollständig integriert.While Microsoft.Insight and Microsoft.Network providers are currently supported as trusted Microsoft Services for Azure Storage, NSG Flow logs is still not fully onboarded. Zum Aktivieren der NSG-Flussprotokollierung muss wie oben erwähnt Alle Netzwerke ausgewählt werden.To enable NSG Flow logging, All Networks must be selected as mentioned above.

  4. Wählen Sie oben links im Portal die Option Alle Dienste aus.In the top, left corner of portal, select All services. Geben Sie im Feld Filter die Zeichenfolge Network Watcher ein.In the Filter box, type Network Watcher. Wählen Sie Network Watcher aus, wenn der Begriff in den Suchergebnissen angezeigt wird.When Network Watcher appears in the search results, select it.

  5. Wählen Sie unter PROTOKOLLE die Option NSG-Flussprotokolle aus (siehe folgende Abbildung):Under LOGS, select NSG flow logs, as shown in the following picture:

    NSGs

  6. Wählen Sie in der Liste der Netzwerksicherheitsgruppen die Gruppe mit dem Namen myVm-nsg aus.From the list of NSGs, select the NSG named myVm-nsg.

  7. Wählen Sie unter Flowprotokolleinstellungen die Option Ein aus.Under Flow logs settings, select On.

  8. Wählen Sie die Flowprotokollierungsversion aus.Select the flow logging version. Version 2 enthält Statistiken zur Flowsitzung (Bytes und Pakete).Version 2 contains flow-session statistics (Bytes and Packets)

    Auswählen der Flowprotokollversion

  9. Wählen Sie das in Schritt 3 erstellte Speicherkonto aus.Select the storage account that you created in step 3.

    Hinweis

    NSG-Flowprotokolle können in den folgenden Fällen nicht mit Speicherkonten verwendet werden:NSG Flow Logs do not work with storage accounts if:

  10. Wählen Sie oben links im Portal die Option Alle Dienste aus.In the top, left corner of portal, select All services. Geben Sie im Feld Filter die Zeichenfolge Network Watcher ein.In the Filter box, type Network Watcher. Wählen Sie Network Watcher aus, wenn der Begriff in den Suchergebnissen angezeigt wird.When Network Watcher appears in the search results, select it.

  11. Setzen Sie Aufbewahrung (Tage) auf 5, und klicken Sie dann auf Speichern.Set Retention (days) to 5, and then select Save.

    Wichtig

    Zurzeit gibt es ein Problem, bei dem die Flowprotokolle für Netzwerksicherheitsgruppen (NSG) für Network Watcher nicht auf Grundlage der Einstellungen für die Aufbewahrungsrichtlinie automatisch aus dem Blobspeicher gelöscht werden.Currently, there’s an issue where network security group (NSG) flow logs for Network Watcher are not automatically deleted from Blob storage based on retention policy settings. Wenn eine Aufbewahrungsrichtlinie ungleich Null vorhanden ist, wird empfohlen, die Speicherblobs mit überschrittenem Aufbewahrungszeitraum regelmäßig zu löschen, um Gebühren zu vermeiden.If you have an existing non-zero retention policy, we recommend that you periodically delete the storage blobs that are past their retention period to avoid any incurring charges. Weitere Informationen zum Löschen des Speicherblobs mit NSG-Flowprotokoll finden Sie unter Delete network security group flow log storage blobs in Network Watcher (Löschen von Speicherblobs mit NSG-Flowprotokollen in Network Watcher).For more information about how to delete the NSG flow log storage blog, see Delete NSG flow log storage blobs.

Herunterladen des FlussprotokollsDownload flow log

  1. Wählen Sie in Network Watcher im Portal die Option NSG-Flussprotokolle unter PROTOKOLLE aus.From Network Watcher, in the portal, select NSG flow logs under LOGS.

  2. Wählen Sie Sie können Flowprotokolle aus konfigurierten Speicherkonten herunterladen aus (siehe folgende Abbildung):Select You can download flow logs from configured storage accounts, as shown in the following picture:

    Herunterladen von Flowprotokollen

  3. Wählen Sie das in Schritt 2 unter Aktivieren des NSG-Flussprotokolls konfigurierte Speicherkonto aus.Select the storage account that you configured in step 2 of Enable NSG flow log.

  4. Wählen Sie unter Blob-Dienst Blobs aus, und wählen Sie dann den Container insights-logs-networksecuritygroupflowevent aus.Under Blob service, select Blobs, and then select the insights-logs-networksecuritygroupflowevent container.

  5. Navigieren Sie in dem Container in der Ordnerhierarchie, bis Sie zu einer Datei „PT1H.json“ gelangen, wie in der folgenden Abbildung dargestellt.In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. Protokolldateien werden in einer Ordnerhierarchie gespeichert, die der folgenden Namenskonvention folgt: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonLog files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

    Flowprotokoll

  6. Wählen Sie ... rechts neben der Datei „PT1H.json“ und dann Herunterladen aus.Select ... to the right of the PT1H.json file and select Download.

Anzeigen des FlussprotokollsView flow log

Der folgende JSON-Code ist ein Beispiel für den Inhalt der Datei „PT1H.json“ für jeden Datenfluss, für den Daten protokolliert werden:The following json is an example of what you'll see in the PT1H.json file for each flow that data is logged for:

Ereignis des Flowprotokolls (Version 1)Version 1 flow log event

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Ereignis des Flowprotokolls (Version 2)Version 2 flow log event

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Bei dem Wert für mac in der vorherigen Ausgabe handelt es sich um die MAC-Adresse der Netzwerkschnittstelle, die beim Erstellen des virtuellen Computers erstellt wurde.The value for mac in the previous output is the MAC address of the network interface that was created when the VM was created. Die durch Kommas getrennten Informationen für flowTuples sind wie folgt:The comma-separated information for flowTuples, is as follows:

BeispieldatenExample data AngabeWhat data represents ErklärungExplanation
15421103771542110377 ZeitstempelTime stamp Der Zeitstempel für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX EPOCHE-Format.The time stamp of when the flow occurred, in UNIX EPOCH format. Im vorherigen Beispiel wird das Datum in den 1. Mai 2018 um 14:59:05 Uhr GMT konvertiert.In the previous example, the date converts to May 1, 2018 at 2:59:05 PM GMT.
10.0.0.410.0.0.4 Quell-IP-AdresseSource IP address Die Quell-IP-Adresse, von der der Datenfluss stammte.The source IP address that the flow originated from. 10.0.0.4 ist die private IP-Adresse des virtuellen Computers, den Sie unter Erstellen eines virtuellen Computers erstellt haben.10.0.0.4 is the private IP address of the VM you created in Create a VM.
13.67.143.11813.67.143.118 IP-ZieladresseDestination IP address Die Ziel-IP-Adresse, für die der Datenfluss bestimmt war.The destination IP address that the flow was destined to.
4493144931 QuellportSource port Der Quellport, von dem der Datenfluss stammte.The source port that the flow originated from.
443443 ZielportDestination port Der Zielport, für den der Datenfluss bestimmt war.The destination port that the flow was destined to. Da der Datenverkehr für Port 443 bestimmt war, wurde der Flow anhand der Regel namens UserRule_default-allow-rdp in der Protokolldatei verarbeitet.Since the traffic was destined to port 443, the rule named UserRule_default-allow-rdp, in the log file processed the flow.
TT ProtocolProtocol Gibt an, ob das Protokoll des Datenflusses TCP (T) oder UDP (U) war.Whether the protocol of the flow was TCP (T) or UDP (U).
OO DirectionDirection Gibt an, ob es sich um eingehenden (I) oder ausgehenden (O) Datenverkehr handelte.Whether the traffic was inbound (I) or outbound (O).
Eine DateiA AktionAction Gibt an, ob es sich um zulässigen (A) oder verweigerten (D) Datenverkehr handelte.Whether the traffic was allowed (A) or denied (D).
CC Flowstatus (nur Version 2)Flow State Version 2 Only Erfasst den Flowstatus.Captures the state of the flow. Mögliche Statusangaben: B („Begin“/Anfang): Erstellung eines Flows.Possible states are B: Begin, when a flow is created. Statistiken werden nicht bereitgestellt.Statistics aren't provided. C: („Continue“/Fortsetzung): Ein laufender Flow wird weiter fortgesetzt.C: Continuing for an ongoing flow. Statistiken werden in Intervallen von 5 Minuten bereitgestellt.Statistics are provided at 5-minute intervals. E: („End“/Beendigung): Beendigung eines Flows.E: End, when a flow is terminated. Statistiken werden bereitgestellt.Statistics are provided.
3030 Gesendete Pakete – Quelle zu Ziel (nur Version 2)Packets sent - Source to destination Version 2 Only Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden.The total number of TCP or UDP packets sent from source to destination since last update.
1697816978 Gesendete Bytes – Quelle zu Ziel (nur Version 2)Bytes sent - Source to destination Version 2 Only Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden.The total number of TCP or UDP packet bytes sent from source to destination since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include the packet header and payload.
2424 Gesendete Pakete – Ziel zu Quelle (nur Version 2)Packets sent - Destination to source Version 2 Only Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden.The total number of TCP or UDP packets sent from destination to source since last update.
1400814008 Gesendete Bytes – Ziel zu Quelle (nur Version 2)Bytes sent - Destination to source Version 2 Only Die Gesamtanzahl von TCP- und UDP-Paketbytes, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden.The total number of TCP and UDP packet bytes sent from destination to source since last update. Paketbytes enthalten den Paketheader und die Nutzlast.Packet bytes include packet header and payload.

Nächste SchritteNext steps

In diesem Tutorial haben Sie gelernt, wie Sie die NSG-Datenflussprotokollierung für eine Netzwerksicherheitsgruppe aktivieren.In this tutorial, you learned how to enable NSG flow logging for an NSG. Sie haben außerdem erfahren, wie Sie in einer Datei protokollierte Daten herunterladen und anzeigen.You also learned how to download and view data logged in a file. Die Rohdaten in der JSON-Datei sind möglicherweise schwer zu interpretieren.The raw data in the json file can be difficult to interpret. Zur visuellen Darstellung der Daten können Sie die Datenverkehrsanalyse von Network Watcher, Microsoft PowerBI und andere Tools verwenden.To visualize the data, you can use Network Watcher traffic analytics, Microsoft PowerBI, and other tools.