Tutorial: Registro del tráfico de red de entrada y salida de una máquina virtual mediante Azure Portal
Un grupo de seguridad de red (NSG) le permite filtrar el tráfico entrante y el tráfico saliente en una máquina virtual (VM). Puede registrar el tráfico de red que fluye a través de un NSG gracias a la capacidad de registro de flujos de NSG de Network Watcher.
En este tutorial, aprenderá a:
- Crear un grupo de seguridad de red con una máquina virtual.
- Habilitar Network Watcher y registrar un proveedor de Microsoft.Insights.
- Habilitar un registro de flujo de tráfico para un NSG, mediante la capacidad de registro de flujos de NSG de Network Watcher.
- Descargar los datos registrados.
- Ver los datos registrados.
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Creación de una máquina virtual
Inicie sesión en Azure Portal.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. Seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear y, a continuación, Máquina virtual.
En Crear una máquina virtual, escriba o seleccione esta información.
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione Crear nuevo. Escriba myResourceGroup en Nombre. Seleccione Aceptar. Detalles de instancia Nombre de la máquina virtual Escriba myVM. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Deje el valor predeterminado Estándar. Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - Gen2. Instancia de Azure Spot deje el valor predeterminado. Size Seleccione un tamaño. Cuenta de administrador Tipo de autenticación Seleccione Clave pública SSH. Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. Confirmación de la contraseña Confirme la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Deje el valor predeterminado Permitir los puertos seleccionados. Selección de puertos de entrada Deje el valor predeterminado, RDP (3389) . Seleccione Revisar + crear.
Seleccione Crear.
La creación de la máquina virtual tarda algunos minutos. No continúe con los pasos restantes hasta que la VM haya finalizado el proceso de creación. Además de crear la máquina virtual, el portal también crea un grupo de seguridad de red denominado myVM-nsg y lo asocia a la interfaz de red de la máquina virtual.
Habilitación de Network Watcher
Si ya dispone de un monitor de red habilitado en la región este de EE. UU., vaya al Registro del proveedor de Insights.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Network Watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En la página de información general de Network Watcher, seleccione + Agregar.
En Agregar Network Watcher, seleccione su suscripción. En Región, seleccione (EE. UU.) Este de EE. UU.
Seleccione Agregar.
Registro del proveedor de Insights
Para iniciar sesión en el flujo de NSG, es necesario recurrir al proveedor Microsoft.Insights. Para registrar el proveedor, realice los pasos siguientes:
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Suscripciones. En los resultados de la búsqueda, seleccione Suscripciones.
En Suscripciones, seleccione la suscripción para la que quiera habilitar el proveedor.
En la sección Ajustes de la suscripción, seleccione Proveedores de recursos.
En el cuadro de filtro, escriba Microsoft.Insights.
Confirme que el estado que se muestra para el proveedor es Registrado. Si el estado es Sin registrar, seleccione el proveedor y luego seleccione Registrar.
Habilitar el registro de flujos de NSG
Los datos del registro de flujos de NSG se escriben en una cuenta de Azure Storage. Complete los pasos siguientes para crear una cuenta de almacenamiento para los datos de registro.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
En Cuentas de almacenamiento, seleccione + Crear.
En Crear una cuenta de almacenamiento, escriba o seleccione la siguiente información.
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione myResourceGroup. Detalles de instancia Nombre de la cuenta de almacenamiento Escriba un nombre para la cuenta de almacenamiento. Debe tener entre 3 y 24 caracteres de longitud y solo puede contener letras minúsculas y números; asimismo, debe ser único para todas las instancias de Azure Storage. Region Seleccione (EE. UU.) Este de EE. UU.. Rendimiento Deje el valor predeterminado Estándar. Redundancia Deje el valor predeterminado de Almacenamiento con redundancia geográfica (GRS). Seleccione Revisar + crear.
Seleccione Crear.
La cuenta de almacenamiento tardará unos minutos en crearse. No continúe con los pasos restantes hasta que haya creado la cuenta de almacenamiento. En cualquier caso, la cuenta de almacenamiento debe estar en la misma región que el grupo de seguridad de red.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Network Watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo de NSG.
En Network Watcher | Registros de flujo de NSG, seleccione + Crear.
En Crear un registro de flujo, escriba o seleccione la siguiente información.
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Grupo de seguridad de red Seleccione myVM-nsg. Nombre del registro de flujo Deje el valor predeterminado myVM-nsg-myResourceGroup-flowlog. Detalles de instancia Selección de la cuenta de almacenamiento Suscripción Seleccione su suscripción. Cuentas de almacenamiento Seleccione la cuenta de almacenamiento que creó en los pasos previos. Retención (días) Escriba un período de retención para los registros. Seleccione Revisar + crear.
Seleccione Crear.
Descargar el registro de flujos
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione la cuenta de almacenamiento que creó en los pasos previos.
En Almacenamiento de datos, seleccione Contenedores.
Seleccione el contenedor insights-logs-networksecuritygroupflowevent.
En el contenedor, desplácese por la jerarquía de carpetas hasta llegar a un archivo PT1H.json. Los archivos de registro se escriben en una jerarquía de carpetas que sigue la convención de nomenclatura siguiente:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Seleccione ... a la derecha del archivo PT1H.json y luego seleccione Descargar.
Ver el registro de flujos
El siguiente JSON de ejemplo muestra los datos que verá en el archivo PT1H.json para cada flujo registrado:
Evento de registro de flujo de la versión 1
{
"time": "2018-05-01T15:00:02.1713710Z",
"systemId": "<Id>",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3A170C69",
"flowTuples": [
"1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
]
}
]
}
]
}
}
Evento de registro de flujo de la versión 2
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
}
El valor de mac en la salida anterior es la dirección MAC de la interfaz de red que se creó cuando creó la máquina virtual. La información separada por comas de flowTuples tiene el siguiente aspecto:
| Datos de ejemplo | Qué representan los datos | Explicación |
|---|---|---|
| 1542110377 | Marca de tiempo | La marca de tiempo de cuando se produjo el flujo en formato UNIX EPOCH. En el ejemplo anterior, la fecha se convierte en el 1 de mayo de 2018 a las 2:59:05 P.M. GMT. |
| 10.0.0.4 | Dirección IP de origen | La dirección IP de origen en la que se ha originado el flujo. 10.0.0.4 es la dirección IP privada de la máquina virtual que creó en el paso Crear una máquina virtual. |
| 13.67.143.118 | Dirección IP de destino | La dirección IP de destino a la que se destina el flujo. |
| 44931 | Puerto de origen | El puerto de origen en el que se ha originado el flujo. |
| 443 | Puerto de destino | El puerto de destino al que se destina el flujo. Puesto que el tráfico se destinó al puerto 443, la regla denominada UserRule_default-allow-rdp, en el archivo de registro, es la que procesa el flujo. |
| T | Protocolo | Si el protocolo del flujo es TCP (T) o UDP (U). |
| O | Dirección | Si el tráfico es entrante (I) o saliente (O). |
| A | Acción | Si el tráfico está permitido (A) o si está denegado (D). |
| C | Estado de flujo solo versión 2 | Captura el estado del flujo. Los estados posibles sonB: Begin (Comienzo), cuando se crea el flujo. No se proporcionan las estadísticas. C: Continuación de un flujo en curso. Las estadísticas se proporcionan a intervalos de cinco minutos. E: final, cuando finaliza el flujo. Se proporcionan las estadísticas. |
| 30 | Paquetes enviados: origen a destino solo versión 2 | El número total de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización. |
| 16978 | Bytes enviados: origen a destino solo versión 2 | El número total de bytes de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete. |
| 24 | Paquetes enviados: destino a origen solo versión 2 | El número total de paquetes TCP o UDP enviados desde el destino al origen desde la última actualización. |
| 14008 | Bytes enviados: destino a origen solo versión 2 | El número total de bytes de paquetes TCP y UDP enviados desde el destino al origen desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete. |
Pasos siguientes
En este tutorial, ha aprendido a:
- Habilitación del registro de flujo de NSG para un NSG
- Descargue y vea los datos registrados en un archivo.
Los datos sin procesar del archivo json pueden ser difíciles de interpretar. Para visualizar datos de los registros de flujo, puede usar Análisis de tráfico de Azure y Microsoft Power BI.
Para ver métodos alternativos de habilitar los registros de flujos de los grupos de seguridad de red, consulte PowerShell, la CLI de Azure, la API de REST y las plantillas de Resource Manager.
Avance al siguiente artículo para aprender a supervisar la comunicación de red entre dos máquinas virtuales: