Tutorial: Registro del tráfico de red de entrada y salida de una máquina virtual mediante Azure Portal
Los registros de flujo de grupos de seguridad de red son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico de IP que pasa por un grupo de seguridad de red. Para obtener más información sobre el registro de flujo del grupo de seguridad de red, consulte Información general sobre registros de flujo de NSG.
Este tutorial le ayuda a usar los registros de flujo de NSG para registrar el tráfico de red de una máquina virtual que fluye a través del grupo de seguridad de red (NSG) asociado a su interfaz de red.
En este tutorial, aprenderá a:
- Creación de una red virtual
- Crear una máquina virtual con un grupo de seguridad de red asociado a su interfaz de red
- Registrar el proveedor Microsoft.insights
- Habilitar el registro de flujo para un grupo de seguridad de red mediante los registros de flujo de Network Watcher
- Descargar los datos registrados.
- Ver los datos registrados.
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta gratuita antes de empezar.
Creación de una red virtual
En esta sección, creará una red virtual myVNet con una subred para la máquina virtual.
Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.
Seleccione + Create (+ Crear). En Crear una red virtual, escriba o seleccione los siguientes valores en la pestaña Información básica:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione Crear nuevo. Escriba myResourceGroup en Nombre. Seleccione . Detalles de instancia Nombre Escriba myVNet. Region Seleccione (EE. UU.) Este de EE. UU. . Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Creación de una máquina virtual
En esta sección, creará una máquina virtual myVM.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione + Crear y, a continuación, Máquina virtual de Azure.
En Crear una máquina virtual, escriba o seleccione los valores siguientes en la pestaña Básico:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione myResourceGroup. Detalles de instancia Nombre de la máquina virtual Escriba myVM. Region Seleccione (EE. UU.) Este de EE. UU. . Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Seleccione Estándar. Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - x64 Gen2. Size Elija un tamaño o deje la configuración predeterminada. Cuenta de administrador Nombre de usuario Especifique un nombre de usuario. Contraseña Escriba una contraseña. Confirmación de la contraseña Vuelva a escribir la contraseña. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.
En la pestaña Redes, seleccione los siguientes valores:
Configuración Valor Interfaz de red Virtual network Seleccione myVNet. Subnet Seleccione mySubnet. Dirección IP pública Seleccione (nuevo) myVM-ip. Grupo de seguridad de red de NIC Seleccione Básica. Esta configuración crea un grupo de seguridad de red denominado myVM-nsg y lo asocia a la interfaz de red de la máquina virtual myVM. Puertos de entrada públicos Seleccione Permitir los puertos seleccionados. Selección de puertos de entrada Seleccione RDP (3389). Precaución
Solo se recomienda dejar abierto el puerto RDP a Internet para las pruebas. En el caso de los entornos de producción, se recomienda restringir el acceso al puerto RDP a una dirección IP específica o a un intervalo de direcciones IP. También puede bloquear el acceso a Internet al puerto RDP y usar Azure Bastion para conectarse de forma segura a la máquina virtual desde el Azure Portal.
Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Una vez completada la implementación, seleccione Ir al recurso para ir a la página Información general de myVM.
Seleccione Conectar y, después, elija RDP.
Seleccione Descargar archivo RDP y abra el archivo descargado.
Selecciones Conectar y escriba el nombre de usuario y la contraseña que creó en los pasos anteriores. Acepte el certificado si se le solicita.
Registro del proveedor de Insights
Para iniciar sesión en el flujo de NSG, es necesario recurrir al proveedor Microsoft.Insights. Para comprobar su estado, realice estos pasos:
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba suscripciones. En los resultados de la búsqueda, seleccione Suscripciones.
Seleccione la suscripción de Azure para la que quiere habilitar el proveedor en Suscripciones.
Seleccione Proveedores de recursos en Configuración de la suscripción.
Escriba insight en el cuadro de filtro.
Confirme que el estado que se muestra para el proveedor es Registrado. Si el estado es NotRegistered, seleccione el proveedor Microsoft.Insights. Después, seleccione Registrar.
Crear una cuenta de almacenamiento
En esta sección, creará una cuenta de almacenamiento para usarla para almacenar los registros de flujo.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione + Create (+ Crear). En Crear una cuenta de almacenamiento, escriba o seleccione estos valores en la pestaña Aspectos básicos:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione myResourceGroup. Detalles de instancia Nombre de la cuenta de almacenamiento Escriba un nombre único. En este tutorial se usa mynwstorageaccount. Region Seleccione (EE. UU.) Este de EE. UU. . La cuenta de almacenamiento debe estar en la misma región que la máquina virtual y su grupo de seguridad de red. Rendimiento Seleccione Estándar. Los registros de flujo de NSG solo admiten cuentas de almacenamiento de nivel Estándar. Redundancia Seleccione Almacenamiento con redundancia local (LRS) o una estrategia de replicación diferente que coincida con los requisitos de durabilidad. Seleccione la pestaña Revisar o el botón Revisar en la parte inferior.
Revise la configuración y, a continuación, seleccione Crear.
Crear un registro de flujo de NSG
En esta sección, creará un registro de flujo de NSG que se guarda en la cuenta de almacenamiento creada anteriormente en el tutorial.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione + Crear o el botón azul Crear registro de flujo.
En Crear un registro de flujo, escriba o seleccione estos valores:
Configuración Value Detalles del proyecto Subscription Seleccione la suscripción de Azure del grupo de seguridad de red que desea registrar. Grupo de seguridad de red Seleccione + Seleccionar recurso.
En Seleccionar grupo de seguridad de red, seleccione myVM-nsg. A continuación, seleccione Confirmar selección.Nombre del registro de flujo Deje el valor predeterminado myVM-nsg-myResourceGroup-flowlog. Detalles de instancia Suscripción Seleccione la suscripción de Azure de la cuenta de almacenamiento. Cuentas de almacenamiento Seleccione la cuenta de almacenamiento que creó en los pasos previos. En este tutorial se usa mynwstorageaccount. Retención (días) Escriba 0 para conservar los datos de los registros de flujo en la cuenta de almacenamiento para siempre (hasta que los elimine de la cuenta de almacenamiento). Para aplicar una directiva de retención, escriba el tiempo de retención en días. Para información sobre los precios de almacenamiento, consulte Precios de Azure Storage. 
Nota
Azure Portal crea los registros de flujo de NSG en el grupo de recursos NetworkWatcherRG.
Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Una vez completada la implementación, seleccione Ir al recurso para confirmar el registro de flujo creado y enumerado en la página Registros de flujo.
Volver a la sesión de RDP con la máquina virtual myVM.
Abra Microsoft Edge y vaya a
www.bing.com.
Descargar el registro de flujos
En esta sección, irá a la cuenta de almacenamiento que ha seleccionado anteriormente y descargará el registro de flujo de NSG creado en la sección anterior.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione mynwstorageaccount o la cuenta de almacenamiento que ha creado y seleccionado anteriormente para almacenar los registros.
En Almacenamiento de datos, seleccione Contenedores.
Seleccione el contenedor insights-logs-networksecuritygroupflowevent.
En el contenedor, desplácese por la jerarquía de carpetas hasta llegar al archivo
PT1H.json. Los archivos de registro de NSG se escriben en una jerarquía de carpetas que sigue esta convención de nomenclatura:https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.jsonSeleccione ... a la derecha del archivo PT1H.json y luego seleccione Descargar.
Nota
Puede usar Explorador de Azure Storage para acceder a los registros de flujo de la cuenta de almacenamiento y descargarlos. Para más información, vea Introducción al Explorador de Storage.
Ver el registro de flujos
Abra el archivo descargado PT1H.json mediante un editor de texto de su elección. El ejemplo siguiente es una sección tomada del archivo descargado PT1H.json, que muestra un flujo procesado por la regla DefaultRule_AllowInternetOutBound.
{
"time": "2023-02-26T23:45:44.1503927Z",
"systemId": "00000000-0000-0000-0000-000000000000",
"macAddress": "112233445566",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "112233445566",
"flowTuples": [
"1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"
]
}
]
}
]
}
}
La información separada por comas de flowTuples tiene el siguiente aspecto:
| Datos de ejemplo | Qué representan los datos | Explicación |
|---|---|---|
| 1677455097 | Marca de tiempo | La marca de tiempo de cuando se produjo el flujo en formato UNIX EPOCH. En el ejemplo anterior, la fecha se convierte al 26 de febrero de 2023 11:44:57 PM UTC/GMT. |
| 10.0.0.4 | Dirección IP de origen | La dirección IP de origen en la que se ha originado el flujo. 10.0.0.4 es la dirección IP privada de la VM que ha creado previamente. |
| 13.107.21.200 | Dirección IP de destino | La dirección IP de destino a la que se destina el flujo. 13.107.21.200 es la dirección IP de www.bing.com. Dado que el tráfico está destinado fuera de Azure, la regla de seguridad DefaultRule_AllowInternetOutBound ha procesado el flujo. |
| 49982 | Puerto de origen | El puerto de origen en el que se ha originado el flujo. |
| 443 | Puerto de destino | El puerto de destino al que se destina el flujo. |
| T | Protocolo | El protocolo del flujo. T: TCP. |
| O | Dirección | La dirección del flujo. O: Saliente. |
| Un | Decisión | La decisión tomada por la regla de seguridad. A: Permitido. |
| C | Estado de flujo Solo versión 2 | Estado del flujo. C: Continuación de un flujo en curso. |
| 7 | Paquetes enviados Solo versión 2 | Número total de paquetes TCP enviados al destino desde la última actualización. |
| 1158 | Bytes enviados Solo versión 2 | Número total de bytes de paquetes TCP enviados desde el origen al destino desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete. |
| 12 | Paquetes recibidos Solo versión 2 | Número total de paquetes TCP recibidos desde el destino desde la última actualización. |
| 8143 | Bytes recibidos Solo versión 2 | Número total de bytes de paquetes TCP recibidos desde el destino desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete. |
Limpieza de recursos
Cuando ya no sea necesario, elimine el grupo de recursos myResourceGroup y todos los recursos que contiene:
Escriba myResourceGroup en el cuadro de búsqueda que se encuentra en la parte superior del portal. Seleccione myResourceGroup en los resultados de la búsqueda.
Seleccione Eliminar grupo de recursos.
En Eliminar un grupo de recursos, escriba myResourceGroup y, después, seleccione Eliminar.
Seleccione Eliminar para confirmar la eliminación del grupo de recursos y todos sus recursos.
Nota:
El registro de flujo myVM-nsg-myResourceGroup-flowlog se encuentra en el grupo de recursos NetworkWatcherRG , pero se eliminará después de eliminar el grupo de seguridad de red myVM-nsg (eliminando el grupo de recursos myResourceGroup ).
Contenido relacionado
- Para más información sobre los registros de flujo de grupos de seguridad de red, consulte Registros de flujo para grupos de seguridad de red.
- Para saber cómo crear, cambiar, habilitar, deshabilitar o eliminar registros de flujo de NSG, consulte Administración de registros de flujo de NSG.
- Para más información sobre el análisis de tráfico, consulte Introducción al análisis de tráfico.