Inicio rápido: configurar registros de flujo de NSG de Azure Network Watcher mediante un archivo Bicep

En este inicio rápido, aprenderá a habilitar registros de flujo de NSG mediante un archivo Bicep.

Bicep es un lenguaje específico de dominio (DSL) que usa una sintaxis declarativa para implementar recursos de Azure. Brinda sintaxis concisa, seguridad de tipos confiable y compatibilidad con la reutilización de código. Bicep ofrece la mejor experiencia de creación para sus soluciones de infraestructura como código en Azure.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta gratuita antes de empezar.

• Para implementar los archivos de Bicep, se instaló la CLI de Azure o PowerShell.

  CLI

  1. Instalar la CLI de Azure localmente para ejecutar los comandos.

  2. Inicie sesión en Azure mediante el comando az login.

  PowerShell

  1. Instalar Azure PowerShell localmente para ejecutar los cmdlets.

  2. Inicie sesión en Azure mediante el cmdlet Connect-AzAccount.

Revisión del archivo de Bicep

En este inicio rápido se usan los registros de flujo de Creación de registros de flujo de NSG plantilla de Bicep desde Plantillas de inicio rápido de Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Los siguientes recursos se definen en el archivo de Bicep:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

El código resaltado en el ejemplo anterior muestra una definición de recursos de registro de flujo de NSG.

Implementación del archivo de Bicep

En este inicio rápido se supone que tiene un grupo de seguridad de red en el que puede habilitar el registro de flujo.

1. Guarde el archivo de Bicep como main.bicep en el equipo local.

2. Implemente el archivo de Bicep mediante la CLI de Azure o Azure PowerShell.

   CLI

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Se le pedirá que escriba el identificador de recurso del grupo de seguridad de red existente. La sintaxis del id. de recurso del grupo de seguridad de red es:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Una vez finalizada la implementación, debería mostrarse un mensaje indicando que la implementación se realizó correctamente.

Validación de la implementación

Tiene dos opciones para ver si la implementación se realizó correctamente:

• La consola muestra ProvisioningState como Succeeded.
• Vaya a la página del portal de registros de flujo del grupo de seguridad de red para confirmar los cambios.

Si hay problemas con la implementación, consulte Solucionar problemas comunes de implementación de Azure con Azure Resource Manager.

Limpieza de recursos

Puede eliminar recursos de Azure mediante el modo de implementación completo. Para eliminar un recurso de registros de flujo, especifique una implementación en modo completo sin incluir el recurso que quiere eliminar. Más información sobre el modo de implementación completo.

También puede deshabilitar un registro de flujo del grupo de seguridad de red en Azure Portal:

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

3. En Registros, seleccione Registros de flujo.

4. En la lista de registros de flujo, seleccione el registro de flujo que desea deshabilitar.

5. Seleccione Deshabilitar.

Contenido relacionado

Para obtener información sobre cómo visualizar los datos de los registros de flujo de NSG, consulte:

• Visualización de registros de flujo de NSG mediante Power BI.
• Visualizar registros de flujo de NSG mediante herramientas de código abierto.
• Análisis de tráfico.