Tutorial: Registro del tráfico de red de entrada y salida de una máquina virtual mediante Azure PortalTutorial: Log network traffic to and from a virtual machine using the Azure portal

Un grupo de seguridad de red (NSG) le permite filtrar el tráfico entrante y el tráfico saliente en una máquina virtual (VM).A network security group (NSG) enables you to filter inbound traffic to, and outbound traffic from, a virtual machine (VM). Puede registrar el tráfico de red que fluye a través de un NSG gracias a la capacidad de registro de flujos de NSG de Network Watcher.You can log network traffic that flows through an NSG with Network Watcher's NSG flow log capability. En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Crear un grupo de seguridad de red con una máquina virtual.Create a VM with a network security group
  • Habilitar Network Watcher y registrar un proveedor de Microsoft.Insights.Enable Network Watcher and register the Microsoft.Insights provider
  • Habilitar un registro de flujo de tráfico para un NSG, mediante la capacidad de registro de flujos de NSG de Network Watcher.Enable a traffic flow log for an NSG, using Network Watcher's NSG flow log capability
  • Descargar los datos registrados.Download logged data
  • Ver los datos registrados.View logged data

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don't have an Azure subscription, create a free account before you begin.

Crear una VMCreate a VM

  1. Seleccione + Crear un recurso en la esquina superior izquierda de Azure Portal.Select + Create a resource found on the upper, left corner of the Azure portal.

  2. Seleccione Proceso y, luego, Windows Server 2016 Datacenter o una versión de Ubuntu Server.Select Compute, and then select Windows Server 2016 Datacenter or a version of Ubuntu Server.

  3. Escriba o seleccione la siguiente información, acepte los valores predeterminados para el resto de la configuración y luego seleccione Aceptar:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    ConfiguraciónSetting ValorValue
    NOMBREName myVmmyVm
    Nombre de usuarioUser name Escriba un nombre de usuario de su elección.Enter a user name of your choosing.
    PasswordPassword Escriba una contraseña de su elección.Enter a password of your choosing. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.The password must be at least 12 characters long and meet the defined complexity requirements.
    SubscriptionSubscription Seleccione su suscripción.Select your subscription.
    Grupos de recursosResource group Haga clic en Crear nuevo y escriba myResourceGroup.Select Create new and enter myResourceGroup.
    LocationLocation Seleccione Este de EE. UU.Select East US
  4. Seleccione un tamaño para la máquina virtual y luego Seleccionar.Select a size for the VM and then select Select.

  5. En Configuración, acepte todos los valores predeterminados y seleccione Aceptar.Under Settings, accept all the defaults, and select OK.

  6. En Crear de la página Resumen, seleccione Crear para iniciar la implementación de la máquina virtual.Under Create of the Summary, select Create to start VM deployment. La maquina virtual tarda unos minutos en implementarse.The VM takes a few minutes to deploy. Espere a que la VM finalice la implementación antes de continuar con los pasos restantes.Wait for the VM to finish deploying before continuing with the remaining steps.

La máquina virtual tarda en crearse unos minutos.The VM takes a few minutes to create. No continúe con los pasos restantes hasta que la VM haya finalizado el proceso de creación.Don't continue with remaining steps until the VM has finished creating. Además de crear la máquina virtual, el portal también crea un grupo de seguridad de red denominado myVm nsg y lo asocia a la interfaz de red de la máquina virtual.While the portal creates the VM, it also creates a network security group with the name myVm-nsg, and associates it to the network interface for the VM.

Habilitación de Network WatcherEnable Network Watcher

Si ya dispone de un monitor de red habilitado en la región este de EE. UU., vaya al Registro del proveedor de Insights.If you already have a network watcher enabled in the East US region, skip to Register Insights provider.

  1. En el portal, seleccione Todos los servicios.In the portal, select All services. En el cuadro Filtrar, escriba Network Watcher.In the Filter box, enter Network Watcher. Cuando aparezca la opción Network Watcher en los resultados, selecciónela.When Network Watcher appears in the results, select it.

  2. Seleccione Regiones para expandirla y, a continuación, seleccione ... a la derecha de la opción Este de EE. UU. , tal y como se muestra en la siguiente imagen:Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Habilitación de Network Watcher

  3. Seleccione Habilitar Network Watcher.Select Enable Network Watcher.

Registro del proveedor de InsightsRegister Insights provider

Para iniciar sesión en el flujo de NSG, es necesario recurrir al proveedor Microsoft.Insights.NSG flow logging requires the Microsoft.Insights provider. Para registrar el proveedor, realice los pasos siguientes:To register the provider, complete the following steps:

  1. En la esquina superior izquierda del portal, seleccione Todos los servicios.In the top, left corner of portal, select All services. En el cuadro Filtro, escriba Suscripciones.In the Filter box, type Subscriptions. Cuando aparezca la opción Suscripciones en los resultados de la búsqueda, selecciónela.When Subscriptions appear in the search results, select it.

  2. En la lista de suscripciones, seleccione la suscripción con la que quiera habilitar el proveedor.From the list of subscriptions, select the subscription you want to enable the provider for.

  3. Seleccione Proveedores de recursos en CONFIGURACIÓN.Select Resource providers, under SETTINGS.

  4. Confirme que el ESTADO del proveedor microsoft.insights está registrado, tal y como se muestra en la figura siguiente.Confirm that the STATUS for the microsoft.insights provider is Registered, as shown in the picture that follows. Si el estado está sin registrar, seleccione Registrar a la derecha del proveedor.If the status is Unregistered, then select Register, to the right of the provider.

    Registrar el proveedor

Habilitar el registro de flujos de NSGEnable NSG flow log

  1. Los datos del registro de flujos de NSG se escriben en una cuenta de Azure Storage.NSG flow log data is written to an Azure Storage account. Para crear una cuenta de Azure Storage, seleccione + Create a resource (+ Crear un recurso) en la esquina superior izquierda del portal.To create an Azure Storage account, select + Create a resource at the top, left corner of the portal.

  2. Seleccione Storage y, a continuación, seleccione Storage account - blob, file, table, queue (Cuenta de almacenamiento: blob, archivo, tabla, cola).Select Storage, then select Storage account - blob, file, table, queue.

  3. Escriba o seleccione la siguiente información, acepte los valores predeterminados restantes y haga clic en Crear:Enter, or select the following information, accept the remaining defaults, and then select Create.

    ConfiguraciónSetting ValorValue
    NOMBREName Debe tener entre 3 y 24 caracteres de longitud y solo puede contener letras minúsculas y números; asimismo, debe ser único para todas las cuentas de Azure Storage.3-24 characters in length, can only contain lowercase letters and numbers, and must be unique across all Azure Storage accounts.
    LocationLocation Seleccione Este de EE. UU.Select East US
    Resource groupResource group Seleccione Usar existente y, luego, seleccione myResourceGroupSelect Use existing, and then select myResourceGroup

    La cuenta de almacenamiento tardará unos minutos en crearse.The storage account may take around minute to create. No continúe con los pasos restantes hasta que haya creado la cuenta de almacenamiento.Don't continue with remaining steps until the storage account is created. Si va a usar una cuenta de almacenamiento existente en vez de crear una, asegúrese de seleccionar la cuenta de almacenamiento que tenga la opción Todas las redes (valor predeterminado) seleccionada en Firewalls y redes virtuales, en la CONFIGURACIÓN de la cuenta de almacenamiento.If you use an existing storage account instead of creating one, ensure you select a storage account that has All networks (default) selected for Firewalls and virtual networks, under the SETTINGS for the storage account. En cualquier caso, la cuenta de almacenamiento debe estar en la misma región que el grupo de seguridad de red.In all cases, the storage account must be in the same region as the NSG.

    Nota

    Aunque actualmente los proveedores Microsoft.Insight y Microsoft.Network son compatibles como servicios de Microsoft de confianza para Azure Storage, los registros de flujo de NSG aún no se han incorporado totalmente.While Microsoft.Insight and Microsoft.Network providers are currently supported as trusted Microsoft Services for Azure Storage, NSG Flow logs is still not fully onboarded. Para habilitar el registro de flujo de NSG, debe estar seleccionada la opción All Networks (Todas las redes), tal y como se mencionó anteriormente.To enable NSG Flow logging, All Networks must be selected as mentioned above.

  4. En la esquina superior izquierda del portal, seleccione Todos los servicios.In the top, left corner of portal, select All services. En el cuadro Filtrar, escriba Network Watcher.In the Filter box, type Network Watcher. Cuando aparezca la opción Network Watcher en los resultados de búsqueda, selecciónela.When Network Watcher appears in the search results, select it.

  5. En REGISTROS, seleccione Registro de flujos de NSG, tal y como se muestra en la siguiente imagen:Under LOGS, select NSG flow logs, as shown in the following picture:

    Grupos de seguridad de red

  6. En la lista de NSG, seleccione el NSG denominado myVm-nsg.From the list of NSGs, select the NSG named myVm-nsg.

  7. En Configuración de los registros de flujo, seleccione Activada.Under Flow logs settings, select On.

  8. Seleccione la versión del registro de flujos.Select the flow logging version. La versión 2 contiene estadísticas de la sesión de flujo (Bytes y paquetes)Version 2 contains flow-session statistics (Bytes and Packets)

    Seleccionar la versión de los registros de flujo

  9. Seleccione la cuenta de almacenamiento que creó anteriormente en el paso 3:Select the storage account that you created in step 3.

    Nota

    Los registros de flujos de NSG no funcionan con las cuentas de almacenamiento si:NSG Flow Logs do not work with storage accounts if:

  10. En la esquina superior izquierda del portal, seleccione Todos los servicios.In the top, left corner of portal, select All services. En el cuadro Filtrar, escriba Network Watcher.In the Filter box, type Network Watcher. Cuando aparezca la opción Network Watcher en los resultados de búsqueda, selecciónela.When Network Watcher appears in the search results, select it.

  11. Establezca el valor de Retención (días) en 5 y, a continuación, seleccione Guardar.Set Retention (days) to 5, and then select Save.

    Importante

    Actualmente, hay un problema por el que los registros de flujo del grupo de seguridad de red (NSG) para Network Watcher no se eliminan automáticamente del almacenamiento de blobs en función de la configuración de la directiva de retención.Currently, there’s an issue where network security group (NSG) flow logs for Network Watcher are not automatically deleted from Blob storage based on retention policy settings. Si tiene una directiva de retención distinta de cero, recomendamos que elimine periódicamente los blobs de almacenamiento que superan el período de retención para evitar incurrir en cargos.If you have an existing non-zero retention policy, we recommend that you periodically delete the storage blobs that are past their retention period to avoid any incurring charges. Para más información sobre cómo eliminar los blobs de almacenamiento de registros de flujo de NSG, consulte Eliminación de blobs de almacenamiento de registros de flujo de NSG.For more information about how to delete the NSG flow log storage blog, see Delete NSG flow log storage blobs.

Descargar el registro de flujosDownload flow log

  1. En el portal de Network Watcher, seleccione Registro de flujos de NSG en REGISTROS.From Network Watcher, in the portal, select NSG flow logs under LOGS.

  2. Seleccione You can download flow logs from configured storage accounts (Puede descargar los registros de flujo desde cuentas de almacenamiento configuradas), tal como se muestra en la siguiente imagen.Select You can download flow logs from configured storage accounts, as shown in the following picture:

    Descarga de registros de flujo

  3. Seleccione la cuenta de almacenamiento que configuró en el paso 2 de la opción Habilitar los registros de flujo de NSG.Select the storage account that you configured in step 2 of Enable NSG flow log.

  4. En Blob service seleccione Blobs y, a continuación, seleccione el contenedor insights-logs-networksecuritygroupflowevent.Under Blob service, select Blobs, and then select the insights-logs-networksecuritygroupflowevent container.

  5. En el contenedor, explore la jerarquía de carpetas hasta llegar a un archivo PT1H.json, tal como se muestra en la imagen a continuación.In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. Los archivos de registro se escriben en una jerarquía de carpetas que tiene la siguiente convención de nomenclatura: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonLog files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

    Registro de flujo

  6. Seleccione ... a la derecha del archivo PT1H.json de y Descargar.Select ... to the right of the PT1H.json file and select Download.

Ver el registro de flujosView flow log

El siguiente formato JSON es un ejemplo de lo que verá en el archivo PT1H.json para cada flujo en el que se registran los datos:The following json is an example of what you'll see in the PT1H.json file for each flow that data is logged for:

Evento de registro de flujo de la versión 1Version 1 flow log event

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Evento de registro de flujo de la versión 2Version 2 flow log event

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

El valor de mac en la salida anterior es la dirección MAC de la interfaz de red que se creó cuando creó la máquina virtual.The value for mac in the previous output is the MAC address of the network interface that was created when the VM was created. La información separada por comas de flowTuples tiene el siguiente aspecto:The comma-separated information for flowTuples, is as follows:

Datos de ejemploExample data Qué representan los datosWhat data represents ExplicaciónExplanation
15421103771542110377 Marca de tiempoTime stamp La marca de tiempo de cuando se produjo el flujo en formato UNIX EPOCH.The time stamp of when the flow occurred, in UNIX EPOCH format. En el ejemplo anterior, la fecha se convierte en el 1 de mayo de 2018 a las 2:59:05 P.M. GMT.In the previous example, the date converts to May 1, 2018 at 2:59:05 PM GMT.
10.0.0.410.0.0.4 Dirección IP de origenSource IP address La dirección IP de origen en la que se ha originado el flujo.The source IP address that the flow originated from. 10.0.0.4 es la dirección IP privada de la VM que creó en el paso Crear una máquina virtual.10.0.0.4 is the private IP address of the VM you created in Create a VM.
13.67.143.11813.67.143.118 Dirección IP de destinoDestination IP address La dirección IP de destino a la que se destina el flujo.The destination IP address that the flow was destined to.
4493144931 Puerto de origenSource port El puerto de origen en el que se ha originado el flujo.The source port that the flow originated from.
443443 Puerto de destinoDestination port El puerto de destino al que se destina el flujo.The destination port that the flow was destined to. Puesto que el tráfico se destinó al puerto 443, la regla denominada UserRule_default-allow-rdp, en el archivo de registro, es la que procesa el flujo.Since the traffic was destined to port 443, the rule named UserRule_default-allow-rdp, in the log file processed the flow.
TT ProtocoloProtocol Si el protocolo del flujo es TCP (T) o UDP (U).Whether the protocol of the flow was TCP (T) or UDP (U).
OO DirecciónDirection Si el tráfico es entrante (I) o saliente (O).Whether the traffic was inbound (I) or outbound (O).
UnaA .Action Si el tráfico está permitido (A) o si está denegado (D).Whether the traffic was allowed (A) or denied (D).
CC Estado de flujo solo versión 2Flow State Version 2 Only Captura el estado del flujo.Captures the state of the flow. Los estados posibles sonB: Begin (Comienzo), cuando se crea el flujo.Possible states are B: Begin, when a flow is created. No se proporcionan las estadísticas.Statistics aren't provided. C: Continuación de un flujo en curso.C: Continuing for an ongoing flow. Las estadísticas se proporcionan a intervalos de cinco minutos.Statistics are provided at 5-minute intervals. E: End (Final), cuando termina el flujo.E: End, when a flow is terminated. Se proporcionan las estadísticas.Statistics are provided.
3030 Paquetes enviados: origen a destino solo versión 2Packets sent - Source to destination Version 2 Only El número total de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.The total number of TCP or UDP packets sent from source to destination since last update.
1697816978 Bytes enviados: origen a destino solo versión 2Bytes sent - Source to destination Version 2 Only El número total de bytes de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.The total number of TCP or UDP packet bytes sent from source to destination since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include the packet header and payload.
2424 Paquetes enviados: destino a origen solo versión 2Packets sent - Destination to source Version 2 Only El número total de paquetes TCP o UDP enviados desde el destino al origen desde la última actualización.The total number of TCP or UDP packets sent from destination to source since last update.
1400814008 Bytes enviados: destino a origen solo versión 2Bytes sent - Destination to source Version 2 Only El número total de bytes de paquetes TCP y UDP enviados desde el destino al origen desde la última actualización.The total number of TCP and UDP packet bytes sent from destination to source since last update. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packet bytes include packet header and payload.

Pasos siguientesNext steps

En este tutorial, aprendió a habilitar el registro de flujos de NSG para un grupo de seguridad de red o NSG.In this tutorial, you learned how to enable NSG flow logging for an NSG. Asimismo, también aprendió a descargar y ver los datos registrados en un archivo.You also learned how to download and view data logged in a file. Los datos sin procesar del archivo json pueden ser difíciles de interpretar.The raw data in the json file can be difficult to interpret. Para visualizar los datos, puede usar el análisis del tráfico de Network Watcher, Microsoft PowerBI y otras herramientas.To visualize the data, you can use Network Watcher traffic analytics, Microsoft PowerBI, and other tools.