Visualisieren der Datenflussprotokolle von Netzwerksicherheitsgruppen mit Power BI

  • Artikel

Mit Datenflussprotokollen von Netzwerksicherheitsgruppen können Sie Informationen zu eingehendem und ausgehendem IP-Datenverkehr für Netzwerksicherheitsgruppen anzeigen. In diesen Datenflussprotokollen werden ausgehende und eingehende Datenflüsse pro Regel, die NIC, auf die sich der Datenfluss bezieht, 5-Tupel-Informationen zum Datenfluss (Quell-/Ziel-IP, Quell-/Zielport, Protokoll) und Informationen zu zugelassenem oder abgelehntem Datenverkehr angezeigt.

Es kann schwierig sein, Erkenntnisse zu Datenflussprotokoll-Daten zu gewinnen, indem die Protokolldateien manuell durchsucht werden. In diesem Artikel stellen wir eine Lösung vor, mit der Sie Ihre aktuellen Datenflussprotokolle visualisieren und sich über den Datenverkehr in Ihrem Netzwerk informieren können.

Warnung

In den folgenden Schritten werden Flowprotokolle der Version 1 verwendet. Ausführliche Informationen finden Sie unter Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen. Die folgenden Anweisungen funktionieren ohne Änderungen nicht mit Version 2 der Protokolldateien.

Szenario

Im folgenden Szenario verbinden wir Power BI Desktop mit dem Speicherkonto, das wir als Senke für unsere Daten der NSG-Datenflussprotokollierung konfiguriert haben. Nachdem wir eine Verbindung mit unserem Speicherkonto hergestellt haben, lädt Power BI die Protokolle herunter und analysiert sie, um eine visuelle Darstellung des Datenverkehrs zu erzeugen, der von den Netzwerksicherheitsgruppen protokolliert wird.

Anhand der visuellen Elemente der Vorlage können Sie Folgendes untersuchen:

  • „Top Talkers“
  • Zeitreihen-Datenflussdaten nach Richtung und Regelentscheidung
  • Datenflüsse nach MAC-Adresse der Netzwerkschnittstelle
  • Datenflüsse nach NSG und Regel
  • Datenflüsse nach Zielport

Die bereitgestellte Vorlage kann bearbeitet werden. Sie können sie also ändern, um neue Daten oder visuelle Elemente hinzuzufügen oder Abfragen an Ihre Anforderungen anzupassen.

Einrichten

Bevor Sie beginnen, müssen Sie die NSG-Datenflussprotokollierung für mindestens eine Netzwerksicherheitsgruppe Ihres Kontos aktiviert haben. Eine Anleitung zum Aktivieren von NSG-Datenflussprotokollen finden Sie im Artikel Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen.

Außerdem muss der Power BI Desktop-Client auf Ihrem Computer installiert sein, und auf dem Computer muss ausreichend freier Speicherplatz vorhanden sein, um die Protokolldaten, die in Ihrem Speicherkonto vorhanden sind, herunterzuladen und zu laden.

Visio-Diagramm

Schritte

  1. Laden Sie die folgende Power BI-Vorlage in der Power BI Desktop-Anwendung herunter, und öffnen Sie sie: Network Watcher – Vorlage für Power BI-Datenflussprotokolle.

  2. Geben Sie die erforderlichen Abfrageparameter ein.

    1. StorageAccountName: Gibt den Namen des Speicherkontos mit den NSG-Datenflussprotokollen an, die geladen und visualisiert werden sollen.

    2. NumberOfLogFiles: Gibt die Anzahl von Protokolldateien an, die heruntergeladen und in Power BI visualisiert werden sollen. Wenn beispielsweise der Wert 50 angegeben ist, sind dies die letzten 50 Protokolldateien. Wenn zwei NSGs aktiviert und für das Senden von NSG-Datenflussprotokollen an dieses Konto konfiguriert sind, können die letzten 25 Stunden des Protokollverlaufs angezeigt werden.

      Power BI-Hauptfenster

  3. Geben Sie den Zugriffsschlüssel für Ihr Speicherkonto ein. Sie gelangen zu den gültigen Zugriffsschlüsseln, indem Sie im Azure-Portal zu Ihrem Speicherkonto navigieren und im Menü „Einstellungen“ die Option Zugriffsschlüssel wählen. Klicken Sie auf Verbinden, und wenden Sie anschließend die Änderungen an.

    Zugriffsschlüssel

    Zugriffsschlüssel 2

  4. Ihre Protokolle werden heruntergeladen und analysiert, und Sie können die vorab erstellten visuellen Elemente nutzen.

Grundlegendes zu den visuellen Elementen

In der Vorlage ist eine Gruppe von visuellen Elementen angegeben, die dazu dienen, die Daten der NSG-Flowprotokollierung verständlich zu machen. Die folgenden Abbildungen zeigen ein Beispiel dafür, wie das Dashboard aussieht, wenn es mit Daten gefüllt wird. Im Folgenden wird jedes visuelle Element ausführlicher beschrieben.

Power BI

Mit dem visuellen Element „Top Talkers“ werden die IP-Adressen dargestellt, die im angegebenen Zeitraum die meisten Verbindungen initiiert haben. Die Größe der Felder entspricht der relativen Anzahl von Verbindungen.

Top Talkers

In den folgenden Zeitseriengraphen ist die Anzahl von Datenflüssen für den Zeitraum dargestellt. Der obere Graph ist nach der Datenflussrichtung segmentiert, und der untere Graph ist nach der getroffenen Entscheidung (Zulassen oder Ablehnen) segmentiert. Mit diesem visuellen Element können Sie Ihre Datenverkehrstrends in Abhängigkeit der Zeit untersuchen und ungewöhnliche Spitzen oder Rückgänge des Datenverkehrs bzw. der Datenverkehrssegmentierung erkennen.

Datenflüsse in Abhängigkeit des Zeitraums

Die folgenden Graphen zeigen die Datenflüsse pro Netzwerkschnittstelle, wobei der obere nach der Flussrichtung und der untere nach der getroffenen Entscheidung segmentiert ist. Mit diesen Informationen können Sie ermitteln, welche VM im Vergleich mit den anderen VMs am meisten kommuniziert hat und ob der Datenverkehr zu einer bestimmten VM zulässig oder nicht zulässig ist.

Datenflüsse pro NIC

Im folgenden Ringdiagramm sind die Datenflüsse nach Zielport unterteilt angegeben. Mit diesen Informationen können Sie die am häufigsten verwendeten Zielports anzeigen, die im angegebenen Zeitraum verwendet wurden.

Ring

Im folgenden Balkendiagramm ist der Datenfluss nach NSG und Regel dargestellt. Mit diesen Informationen können Sie verfolgen, welche NSGs für den meisten Datenverkehr verantwortlich sind und wie sich der Datenverkehr auf einer NSG nach der Regel verteilt.

Balkendiagramm

In den folgenden Informationsdiagrammen werden Informationen zu den NSGs in den Protokollen, zur Anzahl von erfassten Datenflüssen im Zeitraum und das Datum des ältesten erfassten Protokolls angezeigt. Anhand dieser Informationen wissen Sie, welche NSGs protokolliert werden und in welchem Datumsbereich sich die Datenflüsse bewegen.

Infodiagramm 1

Infodiagramm 2

Diese Vorlage enthält die folgenden Slicer, damit Sie bei Bedarf nur die Daten anzeigen können, die für Sie am interessantesten sind. Sie können nach Ressourcengruppen, NSGs und Regeln filtern. Außerdem können Sie nach 5-Tupel-Informationen, der Entscheidung und dem Zeitpunkt der Protokollerstellung filtern.

Slicer

Zusammenfassung

In diesem Szenario wurde veranschaulicht, dass es durch die Verwendung von Datenflussprotokollen von Netzwerksicherheitsgruppen, die per Network Watcher und Power BI bereitgestellt werden, möglich ist, den Datenverkehr zu visualisieren und zu verstehen. Mithilfe der bereitgestellten Vorlage lädt Power BI die Protokolle direkt aus dem Speicher herunter und verarbeitet sie lokal. Die Zeit, die zum Laden der Vorlage benötigt wird, variiert je nach Anzahl angeforderter Dateien und Gesamtgröße der heruntergeladenen Dateien.

Sie können diese Vorlage an Ihre Anforderungen anpassen. Es gibt viele verschiedene Möglichkeiten, wie Sie Power BI mit Datenflussprotokollen für Netzwerksicherheitsgruppen verwenden können.

Notizen

  • Protokolle werden standardmäßig unter https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/ gespeichert.

    • Falls noch andere Daten in einem anderen Verzeichnis vorhanden sind, müssen die Abfragen zum Abrufen und Verarbeiten der Daten geändert werden.

  • Es ist nicht zu empfehlen, die bereitgestellte Vorlage mit mehr als 1 GB an Protokollen zu verwenden.

  • Wenn Sie über eine größere Menge von Protokollen verfügen, raten wir Ihnen, die Verwendung einer Lösung mit einem anderen Datenspeicher wie Data Lake oder SQL Server zu prüfen.

Nächste Schritte

Informieren Sie sich unter Visualisieren von Azure Network Watcher-NSG-Datenflussprotokollen mit Open-Source-Tools darüber, wie Sie Ihre NSG-Datenflussprotokolle per Elastic Stack visualisieren.