Introducción al registro de flujo de grupos de seguridad de redIntroduction to flow logging for network security groups

IntroducciónIntroduction

Los registros de flujos de grupos de seguridad de red (NSG) son una característica de Azure Network Watcher que permite registrar información acerca del tráfico IP que pasa por un grupo de seguridad de red.Network security group (NSG) flow logs is a feature of Azure Network Watcher that allows you to log information about IP traffic flowing through an NSG. Los datos del flujo se envían a cuentas de Azure Storage desde donde puede acceder a ellos y exportarlos a cualquier herramienta de visualización, SIEM o IDS de su elección.Flow data is sent to Azure Storage accounts from where you can access it as well as export it to any visualization tool, SIEM, or IDS of your choice.

información general de los registros de flujo

¿Por qué usar registros de flujo?Why use Flow Logs?

Es esencial supervisar, administrar y conocer su propia red para no poner en peligro la seguridad, el cumplimiento y el rendimiento.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Conocer su propio entorno es de gran importancia para protegerlo y optimizarlo.Knowing your own environment is of paramount importance to protect and optimize it. A menudo, es necesario conocer el estado actual de la red, quién se conecta, desde dónde se conecta, qué puertos están abiertos a Internet, el comportamiento esperado de la red, comportamientos irregulares de esta o picos repentinos de tráfico.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

Los registros de flujo son el origen único de toda la actividad de red del entorno en la nube.Flow logs are the source of truth for all network activity in your cloud environment. Tanto para una startup que intenta optimizar recursos como para una gran empresa que busca detectar intrusiones, los registros de flujo son la mejor opción.Whether you're an upcoming startup trying to optimize resources or large enterprise trying to detect intrusion, Flow logs are your best bet. Puede usarlos para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más.You can use it for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more.

Casos de uso comunesCommon use cases

Supervisión de red: identifique tráfico desconocido o no deseado.Network Monitoring: Identify unknown or undesired traffic. Supervise los niveles de tráfico y el consumo de ancho de banda.Monitor traffic levels and bandwidth consumption. Filtre los registros de flujo por IP y puerto para comprender el comportamiento de la aplicación.Filter flow logs by IP and port to understand application behavior. Exporte registros de flujo a las herramientas de visualización y análisis que desee para configurar paneles de supervisión.Export Flow Logs to analytics and visualization tools of your choice to set up monitoring dashboards.

Supervisión y optimización del uso: identifique desde dónde se envían más datos en la red.Usage monitoring and optimization: Identify top talkers in your network. Combine datos de GeoIP para identificar el tráfico entre regiones.Combine with GeoIP data to identify cross-region traffic. Comprenda el crecimiento del tráfico para realizar previsiones de capacidad.Understand traffic growth for capacity forecasting. Use datos para quitar reglas de tráfico excesivamente restrictivas.Use data to remove overtly restrictive traffic rules.

Cumplimiento: uso de datos de flujo para comprobar el aislamiento de red y el cumplimiento con las reglas de acceso empresariales.Compliance: Use flow data to verify network isolation and compliance with enterprise access rules

Análisis forense y de seguridad de la red: analice flujos de red de interfaces de red y direcciones IP comprometidas.Network forensics & Security analysis: Analyze network flows from compromised IPs and network interfaces. Exporte los registros de flujo a cualquier herramienta SIEM o IDS de su elección.Export flow logs to any SIEM or IDS tool of your choice.

Cómo funciona el registroHow logging works

Propiedades claveKey Properties

  • Los registros de flujo operan en el nivel 4 y registran todos los flujos de IP que entran y salen de un grupo de seguridad de red.Flow logs operate at Layer 4 and record all IP flows going in and out of an NSG
  • Los registros se recopilan en intervalos de 1 minuto mediante la plataforma Azure y no afectan a los recursos del cliente ni al rendimiento de la red de ningún modo.Logs are collected at 1-min interval through the Azure platform and do not affect customer resources or network performance in any way.
  • Los registros se escriben en formato JSON y muestran flujos entrantes y salientes por cada regla de grupo de seguridad de red.Logs are written in the JSON format and show outbound and inbound flows on a per NSG rule basis.
  • Cada entrada del registro contiene la interfaz de red (NIC) a la que se aplica el flujo, información de 5-tupla, la decisión de tráfico e información de rendimiento (solo en la versión 2).Each log record contains the network interface (NIC) the flow applies to, 5-tuple information, the traffic decision & (Version 2 only) throughput information. Consulte Formato del registro más adelante para obtener información detallada.See Log Format below for full details.
  • Los registros de flujo tienen una característica de retención que permite la eliminación automática de los registros hasta un año después de su creación.Flow Logs have a retention feature that allows automatically deleting the logs up to a year after their creation.

Nota

La retención solo está disponible si usa cuentas de almacenamiento de uso general v2 (GPv2).Retention is available only if you use General purpose v2 Storage accounts (GPv2).

Conceptos principalesCore concepts

  • Las redes definidas por software están organizadas en torno a redes virtuales y subredes.Software defined networks are organized around Virtual Networks (VNETs) and subnets. La seguridad de estas redes virtuales y subredes se puede administrar mediante un grupo de seguridad de red.The security of these VNets and subnets can be managed using an NSG.
  • Un grupo de seguridad de red (NSG) contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de red en recursos a los que está conectado.A Network security group (NSG) contains a list of security rules that allow or deny network traffic in resources it is connected to. Los grupos de seguridad de red se pueden asociar a subredes, máquinas virtuales individuales o interfaces de red (NIC) individuales conectadas a máquinas virtuales (Resource Manager).NSGs can be associated with subnets, individual VMs, or individual network interfaces (NIC) attached to VMs (Resource Manager). Para más información, consulte Introducción a los grupos de seguridad de red.For more information, see Network security group overview.
  • Todos los flujos de tráfico de la red se evalúan mediante las reglas de los grupos de seguridad de red correspondientes.All traffic flows in your network are evaluated using the rules in the applicable NSG.
  • El resultado de estas evaluaciones son los registros de flujo de NSG.The result of these evaluations is NSG Flow Logs. Los registros de flujo se recopilan mediante la plataforma Azure y no requieren ningún cambio en los recursos del cliente.Flow logs are collected through the Azure platform and don't require any change to the customer resources.
  • Nota: Las reglas son de dos tipos: de terminación y de no terminación, cada una con distintos comportamientos de registro.Note: Rules are of two types - terminating & non-terminating, each with different logging behaviors.
    • Las reglas de denegación de NSG son de terminación.NSG Deny rules are terminating. El NSG que deniega el tráfico lo registrará en los registros de flujo, y el procesamiento, en este caso, se detendrá después de que NSG deniegue el tráfico.The NSG denying the traffic will log it in Flow logs and processing in this case would stop after any NSG denies traffic.
    • Las reglas de permiso de NSG son de no terminación, lo que significa que, aunque un NSG lo permita, el procesamiento continuará hasta el siguiente NSG.NSG Allow rules are non-terminating, which means even if one NSG allows it, processing will continue to the next NSG. El último NSG que permita el tráfico registrará el tráfico en los registros de flujo.The last NSG allowing traffic will log the traffic to Flow logs.
  • Los registros de flujo de NSG se escriben en cuentas de almacenamiento desde donde se puede acceder a ellos.NSG Flow Logs are written to storage accounts from where they can be accessed.
  • Puede exportar, procesar, analizar y visualizar registros de flujo mediante herramientas como TA, Splunk, Grafana, Stealthwatch, etc.You can export, process, analyze, and visualize Flow Logs using tools like TA, Splunk, Grafana, Stealthwatch, etc.

Formato de registroLog format

Los registros de flujo incluyen las siguientes propiedades:Flow logs include the following properties:

  • time: la hora en la que se registró el eventotime - Time when the event was logged
  • systemId: El identificador del sistema del grupo de seguridad de red.systemId - Network Security Group system ID.
  • category: la categoría del evento.category - The category of the event. La categoría es siempre NetworkSecurityGroupFlowEventThe category is always NetworkSecurityGroupFlowEvent
  • resourceid: el identificador del recurso del grupo de seguridad de red.resourceid - The resource ID of the NSG
  • operationName: siempre es NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • properties: una recopilación de las propiedades del flujoproperties - A collection of properties of the flow
    • Version: número de versión del esquema de eventos del registro de flujosVersion - Version number of the Flow Log event schema
    • flows: una recopilación de flujos.flows - A collection of flows. Esta propiedad tiene varias entradas para diferentes reglasThis property has multiple entries for different rules
      • rule: regla para la que se muestran los flujosrule - Rule for which the flows are listed
        • flows: una recopilación de flujosflows - a collection of flows
          • mac: la dirección MAC de la NIC de la máquina virtual en la que se recopiló el flujomac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: una cadena que contiene varias propiedades de la tupla de flujo en un formato separado por comasflowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp: este valor es la marca de tiempo de cuando se produjo el flujo en formato de época de UNIXTime Stamp - This value is the time stamp of when the flow occurred in UNIX epoch format
            • Source IP: la IP de origenSource IP - The source IP
            • Destination IP: la IP de destinoDestination IP - The destination IP
            • Source Port: el puerto de origenSource Port - The source port
            • Destination Port: el puerto de destinoDestination Port - The destination Port
            • Protocol: el protocolo del flujo.Protocol - The protocol of the flow. Los valores válidos son T para TCP y U para UDPValid values are T for TCP and U for UDP
            • Traffic Flow: la dirección del flujo de tráfico.Traffic Flow - The direction of the traffic flow. Los valores válidos son I para el correo entrante y O para el saliente.Valid values are I for inbound and O for outbound.
            • Decisión de tráfico: indica si el tráfico se permitió o se denegó.Traffic Decision - Whether traffic was allowed or denied. Los valores válidos son A para permitido y D para denegado.Valid values are A for allowed and D for denied.
            • Estado de flujo, solo versión 2: captura el estado del flujo.Flow State - Version 2 Only - Captures the state of the flow. Los estados posibles son B: Begin (Comienzo), cuando se crea el flujo.Possible states are B: Begin, when a flow is created. No se proporcionan las estadísticas.Statistics aren't provided. C: Continuación de un flujo en curso.C: Continuing for an ongoing flow. Las estadísticas se proporcionan a intervalos de cinco minutos.Statistics are provided at 5-minute intervals. E: End (Final), cuando termina el flujo.E: End, when a flow is terminated. Se proporcionan las estadísticas.Statistics are provided.
            • Paquetes: origen a destino, solo versión 2 El número total de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.Packets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Bytes enviados: origen a destino, solo versión 2 El número total de bytes de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.Bytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include the packet header and payload.
            • Paquetes: destino a origen, solo versión 2 El número total de paquetes TCP o UDP enviados desde el destino al origen desde la última actualización.Packets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Bytes enviados: destino a origen, solo versión 2 El número total de bytes de paquetes TCP y UDP enviados desde el destino al origen desde la última actualización.Bytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include packet header and payload.

Versión 2 de los registros de flujo de NSG (frente a la versión 1)NSG flow logs Version 2 (vs Version 1)

La versión 2 de los registros presenta el concepto de estado de flujo.Version 2 of the logs introduces the concept of flow state. Puede configurar qué versión de los registros de flujo recibe.You can configure which version of flow logs you receive.

El estado de flujo B se registra cuando se inicia un flujo.Flow state B is recorded when a flow is initiated. El estado de flujo C y el estado de flujo E son estados que marcan la continuación de un flujo y la terminación de este, respectivamente.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Los estados C y E contienen información sobre el ancho de banda del tráfico.Both C and E states contain traffic bandwidth information.

Entradas de registro de ejemploSample log records

El texto que sigue es un ejemplo de un registro de flujo.The text that follows is an example of a flow log. Como puede ver, hay varios registros que siguen la lista de propiedades que se describe en la sección anterior.As you can see, there are multiple records that follow the property list described in the preceding section.

Nota

Los valores de la propiedad flowTuples son una lista separada por comas.Values in the flowTuples property are a comma-separated list.

Muestra de formato de la versión 1 del registro de flujo de NSGVersion 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        
        

Muestra de formato de la versión 2 del registro de flujo de NSGVersion 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
        

Tupla de registro explicadaLog tuple explained

tupla de registros de flujo

Ejemplo de cálculo de ancho de bandaSample bandwidth calculation

tuplas de flujo de una conversación TCP entre 185.170.185.105:35370 y 10.2.0.4:23:Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Para los estados de continuación C y finalización E, los recuentos de paquetes y bytes son recuentos agregados desde el momento del registro de la tupla de flujo anterior.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Con referencia a la conversación de ejemplo anterior, el número total de paquetes transferidos es 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. El número total de bytes transferidos es 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Deshabilitar registros de flujo de NSGEnabling NSG Flow Logs

Use el vínculo correspondiente a continuación para consultar guías sobre cómo habilitar los registros de flujo.Use the relevant link from below for guides on enabling flow logs.

Actualizar parámetrosUpdating parameters

Azure PortalAzure portal

En Azure Portal, vaya a la sección Registro de flujos de NSG en Network Watcher.On the Azure portal, navigate to the NSG Flow Logs section in Network Watcher. A continuación, haga clic en el nombre del grupo de seguridad de red.Then click the name of the NSG. Se abrirá el panel de configuración del registro de flujo.This will bring up the settings pane for the Flow log. Cambie los parámetros que desee y presione Guardar para implementar los cambios.Change the parameters you want and hit Save to deploy the changes.

PS/CLI/REST/ARMPS/CLI/REST/ARM

Para actualizar parámetros mediante herramientas de línea de comandos, use el mismo comando que se usa para habilitar los registros de flujo (arriba), pero con los parámetros actualizados que desea cambiar.To update parameters via command-line tools, use the same command used to enable Flow Logs (from above) but with updated parameters that you want to change.

Trabajar con registros de flujoWorking with Flow logs

Lectura y exportación de registros de flujoRead and Export flow logs

Aunque los registros de flujo tienen como destino los NSG, no se muestran como los demás registros.While flow logs target NSGs, they are not displayed the same as the other logs. Los registros de flujo se almacenan solo dentro de una cuenta de almacenamiento y siguen la ruta de acceso del registro que se muestra en el ejemplo siguiente:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Visualización de registros de flujoVisualize flow Logs

Consideraciones acerca del registro de flujo de NSGNSG flow logging considerations

Consideraciones de la cuenta de almacenamiento:Storage account considerations:

  • Ubicación: la cuenta de almacenamiento usada debe estar en la misma región que NSG.Location: The storage account used must be in the same region as the NSG.
  • Nivel de rendimiento: Actualmente, solo se admiten las cuentas de almacenamiento del nivel Estándar.Performance Tier: Currently, only standard tier storage accounts are supported.
  • Rotación de claves autoadministrable: si se cambian o rotan las claves de acceso a su cuenta de almacenamiento, los registros de flujos de NSG dejarán de funcionar.Self-manage key rotation: If you change/rotate the access keys to your storage account, NSG Flow Logs will stop working. Para solucionar este problema, se deben deshabilitar y volver a habilitar los registros de flujos de NSG.To fix this issue, you must disable and then re-enable NSG Flow Logs.

Costos del registro de flujo: El registro de flujos de NSG se factura según el volumen de registros generados.Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. Un volumen de tráfico elevado puede producir un volumen de registro de flujo elevado, con los costos asociados.High traffic volume can result in large flow log volume and the associated costs. Los precios del registro de flujos de NSG no incluyen los costos de almacenamiento subyacentes.NSG Flow log pricing does not include the underlying costs of storage. El uso de la característica de directiva de retención con el registro de flujos de NSG implica que se incurre en costos de almacenamiento independientes durante prolongados períodos de tiempo.Using the retention policy feature with NSG Flow Logging means incurring separate storage costs for extended periods of time. Si no necesita la característica de directiva de retención, se recomienda que establezca este valor en 0.If you do not require the retention policy feature, we recommend that you set this value to 0. Para obtener más información, consulte precios de Network Watcher y precios de Azure Storage para obtener más detalles.For more information, see Network Watcher Pricing and Azure Storage Pricing for additional details.

Problemas con las reglas TCP de entrada definidas por el usuario: Los grupos de seguridad de red (NSG) se implementan como firewall con estado.Issues with User-defined Inbound TCP rules: Network Security Groups (NSGs) are implemented as a Stateful firewall. Sin embargo, debido a las limitaciones actuales de la plataforma, las reglas definidas por el usuario que afectan a los flujos TCP de entrada se implementan en modo sin estado.However, due to current platform limitations, user-defined rules that affect inbound TCP flows are implemented in a stateless fashion. Debido a esto, los flujos afectados por las reglas de entrada definidas por el usuario pasan a no ser de terminación.Due to this, flows affected by user-defined inbound rules become non-terminating. Además, los recuentos de bytes y de paquetes no se registran para estos flujos.Additionally byte and packet counts are not recorded for these flows. Por lo tanto, el número de bytes y paquetes que se indican en los registros de flujo de NSG (y Análisis de tráfico) podrían ser diferentes de los números reales.Consequently the number of bytes and packets reported in NSG Flow Logs (and Traffic Analytics) could be different from actual numbers. Está previsto que una marca de suscripción que corrige estos problemas esté disponible a finales de diciembre de 2020.An opt-in flag that fixes these issues is scheduled to be available by December 2020 latest. Mientras tanto, los clientes que se enfrentan a problemas graves debido a este comportamiento pueden solicitar la suscripción mediante el soporte técnico. Presente una solicitud de soporte técnico en Network Watcher > Registro de flujos de NSG.In the interim, customers facing severe issues due to this behavior can request opting-in via Support, please raise a support request under Network Watcher > NSG Flow Logs.

Flujos entrantes registrados desde direcciones IP de Internet a VM sin direcciones IP públicas: Las VM que no tienen una dirección IP pública asignada a través de una dirección IP pública asociada con la NIC como dirección IP pública de nivel de instancia, o que forman parte de un grupo de back-end de equilibrador de carga básico, usan SNAT predeterminada y tiene una dirección IP asignada por Azure para facilitar la conectividad de salida.Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. Como consecuencia, es posible que vea las entradas de registro de flujo para los flujos desde las direcciones IP de Internet, si el flujo está destinado a un puerto en el intervalo de puertos asignados para SNAT.As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Si bien Azure no permitirá estos flujos a la VM, el intento se registra y aparece en el registro de flujos de NSG de Network Watcher por diseño.While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. Se recomienda que el tráfico entrante de Internet no deseado se bloquee explícitamente con NSG.We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

Problema con el grupo de seguridad de red de la subred de Application Gateway V2: El registro de flujo en el grupo de seguridad de red de la subred de Application Gateway V2 no se admite actualmente.Issue with Application Gateway V2 Subnet NSG: Flow logging on the application gateway V2 subnet NSG is not supported currently. Este problema no afecta a Application Gateway V1.This issue does not affect Application Gateway V1.

Servicios incompatibles: debido a las limitaciones actuales de la plataforma, los registros de flujo de NSG no admiten un pequeño conjunto de servicios de Azure.Incompatible Services: Due to current platform limitations, a small set of Azure services are not supported by NSG Flow Logs. La lista actual de servicios incompatibles es:The current list of incompatible services is

Procedimientos recomendadosBest practices

Habilitar en redes virtuales o subredes críticas: los registros de flujo deben habilitarse en todas las redes virtuales o subredes críticas de la suscripción como procedimiento recomendado de seguridad y auditoría.Enable on critical VNETs/Subnets: Flow Logs should be enabled on all critical VNETs/subnets in your subscription as an auditability and security best practice.

Habilitar el registro de flujo de NSG en todos los NSG asociados a un recurso: En Azure, el registro de flujo en Azure se configura en el recurso de NSG.Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. Un flujo solo se asociará a una regla de NSG.A flow will only be associated to one NSG Rule. En escenarios en los que se utilizan varios grupos de seguridad de red, se recomienda habilitar los registros de flujo de NSG en todos los grupos de seguridad de red aplicados a la interfaz de red o subred de un recurso para garantizar que todo el tráfico se registre.In scenarios where multiple NSGs are utilized, we recommend enabling NSG flow logs on all NSGs applied at the resource's subnet or network interface to ensure that all traffic is recorded. Para más información, consulte cómo se evalúa el tráfico en los grupos de seguridad de red.For more information, see how traffic is evaluated in Network Security Groups.

Algunos escenarios comunes:Few common scenarios:

  1. Varias NIC en una máquina virtual: en caso de que varias NIC se asocien a una máquina virtual, el registro de flujos debe estar habilitado en todas ellas.Multiple NICs at a VM: In case multiple NICs are attached to a virtual machine, flow logging must be enabled on all of them
  2. Tener grupos de seguridad de red en el nivel de NIC y en el de subred: en caso de que un grupo de seguridad de red esté configurado en el nivel de NIC y en el de subred, el registro de flujo debe estar habilitado en ambos.Having NSG at both NIC and Subnet Level: In case NSG is configured at the NIC as well as the Subnet level, then flow logging must be enabled at both the NSGs.

Aprovisionamiento de almacenamiento: el almacenamiento debe aprovisionarse en línea con el volumen de registros de flujo esperado.Storage provisioning: Storage should be provisioned in tune with expected Flow Log volume.

Nomenclatura: El nombre del grupo de seguridad de red debe tener 80 caracteres como máximo y los nombres de las reglas del mismo hasta 65 caracteres.Naming: The NSG name must be upto 80 chars and the NSG rule names upto 65 chars. Si los nombres superan el límite de caracteres, se pueden truncar durante el registro.If the names exceed their character limit, it may get truncated while logging.

Solución de problemas habitualesTroubleshooting common issues

No puedo habilitar los registros de flujo de NSGI could not enable NSG Flow Logs

  • El proveedor de recursos Microsoft.Insights no está registradoMicrosoft.Insights resource provider is not registered

Si ha recibido un error AuthorizationFailed o GatewayAuthenticationFailed, es posible que no haya habilitado el proveedor de recursos Microsoft Insights en su suscripción.If you received an AuthorizationFailed or a GatewayAuthenticationFailed error, you might have not enabled the Microsoft Insights resource provider on your subscription. Siga las instrucciones para habilitar el proveedor Microsoft Insights.Follow the instructions to enable the Microsoft Insights provider.

He habilitado los registros de flujo de NSG pero no veo los datos en mi cuenta de almacenamientoI have enabled NSG Flow Logs but do not see data in my storage account

  • Tiempo de instalaciónSetup time

Los registros de flujo de NSG pueden tardar hasta 5 minutos en aparecer en la cuenta de almacenamiento (si se configuró correctamente).NSG Flow Logs may take up to 5 minutes to appear in your storage account (if configured correctly). Aparecerá un archivo PT1H. JSON, al que puede acceder tal y como se describe aquí.A PT1H.json will appear which can be accessed as described here.

  • No hay tráfico en los NSGNo Traffic on your NSGs

En ocasiones, no verá registros porque las máquinas virtuales no están activas o hay filtros ascendentes en una puerta de enlace de aplicaciones u otros dispositivos que bloquean el tráfico a su NSG.Sometimes you will not see logs because your VMs are not active or there are upstream filters at an App Gateway or other devices that are blocking traffic to your NSGs.

Deseo automatizar los registros de flujo de NSGI want to automate NSG Flow Logs

Actualmente las plantillas de ARM no permiten automatizar los registros de flujo de NSG.Support for automation via ARM templates is currently not available for NSG Flow Logs. Consulte el anuncio de característica para obtener más información.Read the feature announcement for more information.

Preguntas más frecuentesFAQ

¿Qué hace Registro de flujo de NSG?What does NSG Flow Logs do?

Los recursos de red de Azure se pueden combinar y administrar mediante grupos de seguridad de red.Azure network resources can be combined and managed through Network Security Groups (NSGs). Registro de flujo de NSG permite registrar información de flujo de una tupla de 5 sobre todo el tráfico de los grupos de seguridad de red.NSG Flow Logs enable you to log 5-tuple flow information about all traffic through your NSGs. Los registros de flujo sin procesar se escriben en una cuenta de Azure Storage desde donde se pueden procesar, analizar, consultar o exportar según sea necesario.The raw flow logs are written to an Azure Storage account from where they can be further processed, analyzed, queried, or exported as needed.

¿El uso de registros de flujo afecta a la latencia o el rendimiento de la red?Does using Flow Logs impact my network latency or performance?

Los datos de los registros de flujo se recopilan fuera de la ruta del tráfico de red y, por tanto, no afectan al rendimiento o la latencia de la red.Flow logs data is collected outside of the path of your network traffic, and therefore does not affect network throughput or latency. Puede crear o eliminar registros de flujo sin riesgo de que afecte al rendimiento de la red.You can create or delete flow logs without any risk of impact to network performance.

¿Cómo se usan los registros de flujo de grupo de seguridad de red en una cuenta de Storage con un firewall?How do I use NSG Flow Logs with a Storage account behind a firewall?

Para usar una cuenta de Storage con un firewall, debe especificar una excepción para que los Servicios de Microsoft de confianza accedan a la cuenta de almacenamiento:To use a Storage account behind a firewall, you have to provide an exception for Trusted Microsoft Services to access your storage account:

  • Para ir a la cuenta de almacenamiento, escriba el nombre de la misma en la búsqueda global del portal o en la página de cuentas de almacenamientoNavigate to the storage account by typing the storage account's name in the global search on the portal or from the Storage Accounts page
  • En la sección CONFIGURACIÓN, seleccione Firewalls y redes virtuales.Under the SETTINGS section, select Firewalls and virtual networks
  • En Permitir el acceso desde, seleccione Redes seleccionadas.In Allow access from, select Selected networks. Después, en Excepciones, active la casilla situada junto a ****Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento****.Then under Exceptions, tick the box next to ****Allow trusted Microsoft services to access this storage account****
  • Si ya está seleccionada, no hay que hacer ningún cambio.If it is already selected, no change is needed.
  • Busque el grupo de seguridad de red de destino en la página de introducción a los registros de flujo de NSG y habilite los registros de flujo de NSG con la cuenta de almacenamiento anterior seleccionada.Locate your target NSG on the NSG Flow Logs overview page and enable NSG Flow Logs with the above storage account selected.

Puede comprobar los registros de almacenamiento después de unos minutos; verá una marca de tiempo actualizada o un nuevo archivo JSON.You can check the storage logs after a few minutes, you should see an updated TimeStamp or a new JSON file created.

¿Cómo se usan los registros de flujo de grupo de seguridad de red con una cuenta de Storage detrás de un punto de conexión de servicio?How do I use NSG Flow Logs with a Storage account behind a Service Endpoint?

Los registros de flujo de NSG son compatibles con los puntos de conexión de servicio sin necesidad de ninguna configuración adicional.NSG Flow Logs are compatible with Service Endpoints without requiring any extra configuration. Consulte el tutorial sobre cómo habilitar puntos de conexión de servicio en su red virtual.See the tutorial on enabling Service Endpoints in your virtual network.

¿Cuál es la diferencia entre la versión 1 y la versión 2 de los registros de flujo?What is the difference between flow logs versions 1 & 2?

La versión 2 de los registros de flujo presenta el concepto de estado del flujo y almacena información sobre los bytes y los paquetes transmitidos.Flow Logs version 2 introduces the concept of Flow State & stores information about bytes and packets transmitted. Más informaciónRead more

PreciosPricing

Los registros de flujo de NSG se cobran por GB de registros recopilados e incluyen un plan gratuito de 5 GB/mes por suscripción.NSG Flow Logs are charged per GB of logs collected and come with a free tier of 5 GB/month per subscription. Para conocer los precios actuales de su región, consulte la página de precios de Network Watcher.For the current pricing in your region, see the Network Watcher pricing page.

El almacenamiento de registros se cobra por separado; consulte la página de precios de blob en bloques de Azure Storage para ver los precios correspondientes.Storage of logs is charged separately, see Azure Storage Block blob pricing page for relevant prices.