Introducción al registro de flujo de grupos de seguridad de redIntroduction to flow logging for network security groups

Los registros de flujos de grupos de seguridad de red (NSG) son una característica de Network Watcher que permite consultar información acerca del tráfico IP de entrada y de salida en un grupo de seguridad de red.Network security group (NSG) flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through an NSG. Los registros de flujo se escriben en formato JSON y muestran los flujos de entrada y salida en función de cada regla, la tarjeta de interfaz de red (NIC) a la que se aplica el flujo, información de 5-tupla sobre el flujo (dirección IP de origen o destino, puerto de origen o destino y protocolo), si se permitió o denegó el tráfico, y en la versión 2, información de rendimiento (bytes y paquetes).Flow logs are written in JSON format, and show outbound and inbound flows on a per rule basis, the network interface (NIC) the flow applies to, 5-tuple information about the flow (Source/destination IP, source/destination port, and protocol), if the traffic was allowed or denied, and in Version 2, throughput information (Bytes and Packets).

información general de los registros de flujo

Aunque los registros de flujo tienen como destino los NSG, no se muestran como los demás registros.While flow logs target NSGs, they are not displayed the same as the other logs. Los registros de flujo se almacenan solo dentro de una cuenta de almacenamiento y siguen la ruta de acceso del registro que se muestra en el ejemplo siguiente:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Puede analizar los registros de flujo y obtener información sobre el tráfico de red mediante el análisis del tráfico.You can analyze flow logs and gain insights into your network traffic using traffic analytics.

Las mismas directivas de retención vistas en otros registros se aplican a los registros de flujo.The same retention policies seen for other logs apply to flow logs. Puede establecer la directiva de retención de registros de 1 a 2147483647 días.You can set log retention policy from 1 day to 2147483647 days. Si no se establece una directiva de retención, los registros se mantendrán indefinidamente.If a retention policy is not set, the logs are maintained forever.

Nota

Si se usa la característica de directiva de retención con el registro de flujo de NSG, es posible que se presente un gran volumen de operaciones de almacenamiento, con sus respectivos costos.Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. Si no necesita la característica de directiva de retención, se recomienda que establezca este valor en 0.If you do not require the retention policy feature, we recommend that you set this value to 0.

Archivo de registroLog file

Los registros de flujo incluyen las siguientes propiedades:Flow logs include the following properties:

  • time: la hora en la que se registró el eventotime - Time when the event was logged
  • systemId: el identificador de recurso del grupo de seguridad de redsystemId - Network Security Group resource Id.
  • category: la categoría del evento.category - The category of the event. La categoría es siempre NetworkSecurityGroupFlowEventThe category is always NetworkSecurityGroupFlowEvent
  • resourceid: el identificador del recurso del grupo de seguridad de redresourceid - The resource Id of the NSG
  • operationName: siempre es NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • properties: una recopilación de las propiedades del flujoproperties - A collection of properties of the flow
    • Version: número de versión del esquema de eventos del registro de flujosVersion - Version number of the Flow Log event schema
    • flows: una recopilación de flujos.flows - A collection of flows. Esta propiedad tiene varias entradas para diferentes reglasThis property has multiple entries for different rules
      • rule: regla para la que se muestran los flujosrule - Rule for which the flows are listed
        • flows: una recopilación de flujosflows - a collection of flows
          • mac: la dirección MAC de la NIC de la máquina virtual en la que se recopiló el flujomac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: una cadena que contiene varias propiedades de la tupla de flujo en un formato separado por comasflowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp: este valor es la marca de tiempo de cuando se produjo el flujo en formato de época de UNIXTime Stamp - This value is the time stamp of when the flow occurred in UNIX epoch format
            • Source IP: la IP de origenSource IP - The source IP
            • Destination IP: la IP de destinoDestination IP - The destination IP
            • Source Port: el puerto de origenSource Port - The source port
            • Destination Port: el puerto de destinoDestination Port - The destination Port
            • Protocol: el protocolo del flujo.Protocol - The protocol of the flow. Los valores válidos son T para TCP y U para UDPValid values are T for TCP and U for UDP
            • Traffic Flow: la dirección del flujo de tráfico.Traffic Flow - The direction of the traffic flow. Los valores válidos son I para el correo entrante y O para el saliente.Valid values are I for inbound and O for outbound.
            • Decisión de tráfico: indica si el tráfico se permitió o se denegó.Traffic Decision - Whether traffic was allowed or denied. Los valores válidos son A para permitido y D para denegado.Valid values are A for allowed and D for denied.
            • Estado de flujo, solo versión 2: captura el estado del flujo.Flow State - Version 2 Only - Captures the state of the flow. Los estados posibles sonB: Begin (Comienzo), cuando se crea el flujo.Possible states are B: Begin, when a flow is created. No se proporcionan las estadísticas.Statistics aren't provided. C: Continuación de un flujo en curso.C: Continuing for an ongoing flow. Las estadísticas se proporcionan a intervalos de cinco minutos.Statistics are provided at 5-minute intervals. E: End (Final), cuando termina el flujo.E: End, when a flow is terminated. Se proporcionan las estadísticas.Statistics are provided.
            • Paquetes: origen a destino, solo versión 2 El número total de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.Packets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Bytes enviados: origen a destino, solo versión 2 El número total de bytes de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.Bytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include the packet header and payload.
            • Paquetes: destino a origen, solo versión 2 El número total de paquetes TCP o UDP enviados desde el destino al origen desde la última actualización.Packets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Bytes enviados: destino a origen, solo versión 2 El número total de bytes de paquetes TCP y UDP enviados desde el destino al origen desde la última actualización.Bytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include packet header and payload.

Versión 2 de los registros de flujo de NSGNSG flow logs version 2

La versión 2 de los registros presenta el estado de flujo.Version 2 of the logs introduces flow state. Puede configurar qué versión de los registros de flujo recibe.You can configure which version of flow logs you receive. Para saber cómo habilitar los registros de flujo, consulte Habilitación del registro de flujo de NSG.To learn how to enable flow logs, see Enabling NSG flow logging.

El estado de flujo B se registra cuando se inicia un flujo.Flow state B is recorded when a flow is initiated. El estado de flujo C y el estado de flujo E son estados que marcan la continuación de un flujo y la terminación de este, respectivamente.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Los estados C y E contienen información sobre el ancho de banda del tráfico.Both C and E states contain traffic bandwidth information.

Ejemplo: tuplas de flujo de una conversación TCP entre 185.170.185.105:35370 y 10.2.0.4:23:Example: Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Para los estados de continuación C y finalización E, los recuentos de paquetes y bytes son recuentos agregados desde el momento del registro de la tupla de flujo anterior.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Con referencia a la conversación de ejemplo anterior, el número total de paquetes transferidos es 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. El número total de bytes transferidos es 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

El texto que sigue es un ejemplo de un registro de flujo.The text that follows is an example of a flow log. Como puede ver, hay varios registros que siguen la lista de propiedades que se describe en la sección anterior.As you can see, there are multiple records that follow the property list described in the preceding section.

Consideraciones acerca del registro de flujo de NSGNSG Flow Logging Considerations

Consideraciones de la cuenta de almacenamiento:Storage account considerations:

  1. Ubicación: la cuenta de almacenamiento usada debe estar en la misma región que NSG.Location: The storage account used must be in the same region as the NSG.
  2. Sin firewall: los registros de flujos de NSG no se incorporan como un servicio de confianza de Microsoft para Azure Storage.No Firewall: NSG Flow logs is not onboarded as a trusted Microsoft Service for Azure Storage. Vea ¿Cómo se deshabilita el firewall en la cuenta de almacenamiento? para deshabilitar el firewall.See How do I disable the firewall on my storage account? to disable the firewall.
  3. Sin puntos de conexión de servicio: debido a una limitación actual, los registros solo se pueden emitir directamente a las cuentas de almacenamiento y no a través de los puntos de conexión de servicio.No Service Endpoints: Due to a current limitation, logs can only be directly emitted to storage accounts and not via service endpoints. Vea ¿Cómo se usan los registros de flujos de NSG con puntos de conexión de servicio? para obtener ayuda sobre la eliminación de los puntos de conexión de servicio existentes.See How do I use NSG Flow Logs with Service Endpoints? for help with removing existing Service Endpoints.
  4. Rotación de claves autoadministrable: si se cambian o rotan las claves de acceso a su cuenta de almacenamiento, los registros de flujos de NSG dejarán de funcionar.Self-manage key rotation: If you change/rotate the access keys to your storage account, NSG Flow Logs will stop working. Para solucionarlo, se deben deshabilitar y volver a habilitar los registros de flujos de NSG.To fix this, you must disable and then re-enable NSG Flow Logs.

Habilitar el registro de flujo de NSG en todos los NSG asociados a un recurso: En Azure, el registro de flujo en Azure se configura en el recurso de NSG.Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. Un flujo solo se asociará a una regla de NSG.A flow will only be associated to one NSG Rule. En escenarios en los que se utilizan varios NSG, se recomienda que los registros de flujo de NSG estén habilitados en todos los NSG aplicados a la interfaz de red o subred de un recurso para garantizar que todo el tráfico se registre.In scenarios where multiple NSGs are utilized, we recommend that NSG flow logging is enabled on all NSGs applied a resource's subnet or network interface to ensure that all traffic is recorded. Consulte cómo se evalúa el tráfico para obtener más información sobre los grupos de seguridad de red.See how traffic is evaluated for more information on Network Security Groups.

Costos del registro de flujo: El registro de flujos de NSG se factura según el volumen de registros generados.Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. Un volumen de tráfico elevado puede producir un volumen de registro de flujo elevado, con los costos asociados.High traffic volume can result in large flow log volume and the associated costs. Los precios del registro de flujos de NSG no incluyen los costos de almacenamiento subyacentes.NSG Flow log pricing does not include the underlying costs of storage. Si se usa la característica de directiva de retención con el registro de flujo de NSG, es posible que se presente un gran volumen de operaciones de almacenamiento, con sus respectivos costos.Using the retention policy feature with NSG Flow Logging may result in a high volume of storage operations and the associated costs. Si no necesita la característica de directiva de retención, se recomienda que establezca este valor en 0.If you do not require the retention policy feature, we recommend that you set this value to 0. Consulte precios de Network Watcher y precios de Azure Storage para obtener más detalles.See Network Watcher Pricing and Azure Storage Pricing for additional details.

Importante

Actualmente, hay un problema en el que los registros de flujo del grupo de seguridad de red (NSG) para Network Watcher no se eliminan automáticamente del almacenamiento de blobs en función de la configuración de la directiva de retención.Currently, there’s an issue where network security group (NSG) flow logs for Network Watcher are not automatically deleted from Blob storage based on retention policy settings. Si tiene una directiva de retención distinta de cero, recomendamos que elimine periódicamente los blobs de almacenamiento que superen el período de retención para evitar recargos.If you have an existing non-zero retention policy, we recommend that you periodically delete the storage blobs that are past their retention period to avoid any incurring charges. Para obtener más información sobre cómo eliminar el blob de almacenamiento de registros de flujo de NSG, consulte Eliminación de los blobs de almacenamiento de los registros de flujo de NSG.For more information about how to delete the NSG flow log storage blog, see Delete NSG flow log storage blobs.

Flujos entrantes registrados desde direcciones IP de Internet a VM sin direcciones IP públicas: Las VM que no tienen una dirección IP pública asignada a través de una dirección IP pública asociada con la NIC como dirección IP pública de nivel de instancia, o que forman parte de un grupo de back-end de equilibrador de carga básico, usan SNAT predeterminada y tiene una dirección IP asignada por Azure para facilitar la conectividad de salida.Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. Como consecuencia, es posible que vea las entradas de registro de flujo para los flujos desde las direcciones IP de Internet, si el flujo está destinado a un puerto en el intervalo de puertos asignados para SNAT.As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Si bien Azure no permitirá estos flujos a la VM, el intento se registra y aparece en el registro de flujos de NSG de Network Watcher por diseño.While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. Se recomienda que el tráfico entrante de Internet no deseado se bloquee explícitamente con NSG.We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

Entradas de registro de ejemploSample log records

El texto que sigue es un ejemplo de un registro de flujo.The text that follows is an example of a flow log. Como puede ver, hay varios registros que siguen la lista de propiedades que se describe en la sección anterior.As you can see, there are multiple records that follow the property list described in the preceding section.

Nota

Los valores de la propiedad *flowTuples son una lista separada por comas.Values in the *flowTuples property are a comma-separated list.

Muestra de formato de la versión 1 del registro de flujo de NSGVersion 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

Muestra de formato de la versión 2 del registro de flujo de NSGVersion 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        ...

Pasos siguientesNext steps