Hálózati biztonsági csoport erőforrás-naplózása
A hálózati biztonsági csoport (NSG) olyan szabályokat tartalmaz, amelyek engedélyezik vagy letiltják a virtuális hálózati alhálózatra, hálózati adapterre vagy mindkettőre vonatkozó forgalmat.
Ha engedélyezi az NSG naplózását, az alábbi típusú erőforrásnapló-adatokat gyűjtheti össze:
- Esemény: A rendszer naplózza azokat a bejegyzéseket, amelyekhez az NSG-szabályokat a rendszer a MAC-cím alapján alkalmazza a virtuális gépekre.
- Szabályszámláló: Bejegyzéseket tartalmaz arra vonatkozóan, hogy az egyes NSG-szabályok hányszor lesznek alkalmazva a forgalom engedélyezésére vagy letiltására. Ezeknek a szabályoknak az állapota 300 másodpercenként lesz összegyűjtve.
Az erőforrásnaplók csak az Azure Resource Manager üzembehelyezési modellen keresztül üzembe helyezett NSG-khez érhetők el. A klasszikus üzemi modellel üzembe helyezett NSG-k erőforrásnaplózása nem engedélyezhető. További információ: Az üzembehelyezési modellek ismertetése.
Az erőforrás-naplózás külön engedélyezve van minden olyan NSG-hez, amely diagnosztikai adatokat gyűjt. Ha inkább a tevékenység vagy a működési naplók érdeklik, tekintse meg az Azure-platformnaplók áttekintését. Ha érdekli az NSG-ken áthaladó IP-forgalom, tekintse meg a hálózati biztonsági csoportok folyamatnaplói című témakört.
Naplózás engedélyezése
Az erőforrás-naplózás engedélyezéséhez használhatja az Azure Portal, a Azure PowerShell vagy az Azure CLI-t.
Azure Portal
Jelentkezzen be a Azure Portal.
A Azure Portal tetején található keresőmezőbe írja be a hálózati biztonsági csoportokat. Válassza a Hálózati biztonsági csoportok lehetőséget a keresési eredmények között.
Válassza ki azt az NSG-t, amelyhez engedélyezni szeretné a naplózást.
A Figyelés területen válassza a Diagnosztikai beállítások, majd a Diagnosztikai beállítás hozzáadása lehetőséget:
A Diagnosztikai beállításban adjon meg egy nevet, például myNsgDiagnostic.
A Naplók területen válassza az összes naplót, vagy válassza ki a naplók egyes kategóriáit. További információ az egyes kategóriákról: Naplókategóriák.
A Cél részletei területen válasszon ki egy vagy több célhelyet:
- Küldés a Log Analytics-munkaterületre
- Archiválás tárfiókba
- Streamelés eseményközpontba
- Küldés partnermegoldásnak
További információ: Naplócélok.
Kattintson a Mentés gombra.
Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.
Azure PowerShell
Megjegyzés
Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Az ebben a szakaszban található parancsokat az Azure Cloud Shell vagy a PowerShell futtatásával futtathatja a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.
Ha a számítógépen futtatja a PowerShellt, szüksége lesz a Azure PowerShell modulra, amely 1.0.0-s vagy újabb verziójú. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az
. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, a Connect-AzAccount parancsmagot is futtatnia kell ahhoz, hogy a szükséges engedélyekkel rendelkező fiókkal jelentkezzen be az Azure-ba.
Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, hozzon létre egyet a New-AzNetworkSecurityGroup parancsmaggal.
Kérje le azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást a Get-AzNetworkSecurityGroup parancsmaggal. Tárolja az NSG-t egy változóban későbbi használatra. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:
$Nsg=Get-AzNetworkSecurityGroup `
-Name myNsg `
-ResourceGroupName myResourceGroup
Erőforrásnaplókat különböző céltípusokba írhat. További információ: Naplócélok. Ebben a cikkben a naplókat egy Log Analytics-munkaterület célhelyére küldjük. Ha nincs meglévő munkaterülete, létrehozhat egyet a New-AzOperationalInsightsWorkspace parancsmaggal.
Egy meglévő Log Analytics-munkaterület lekérése a Get-AzOperationalInsightsWorkspace parancsmaggal. Ha például egy myWorkspace nevű meglévő munkaterületet szeretne lekérni és tárolni egy myWorkspaces nevű erőforráscsoportban, írja be a következő parancsot:
$Oms=Get-AzOperationalInsightsWorkspace `
-ResourceGroupName myWorkspaces `
-Name myWorkspace
A naplózásnak két kategóriája van, amelyeket engedélyezhet. További információ: Naplókategóriák. Engedélyezze az erőforrás-naplózást az NSG számára a New-AzDiagnosticSetting parancsmaggal. Az alábbi példa esemény- és számlálókat is naplóz egy NSG munkaterületén. Az előző parancsokkal kapott NSG-hez és munkaterülethez tartozó azonosítókat használja:
New-AzDiagnosticSetting `
-Name myDiagnosticSetting `
-ResourceId $Nsg.Id `
-WorkspaceId $Oms.ResourceId
Ha egy Log Analytics-munkaterülethez hasonló helyre szeretne bejelentkezni, használja a parancs megfelelő paraméterét. További információ: Azure-erőforrásnaplók.
További információ a beállításokról: New-AzDiagnosticSetting.
Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.
Azure CLI
Az ebben a szakaszban található parancsokat az Azure Cloud Shell vagy az Azure CLI futtatásával futtathatja a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.
Ha a parancssori felületet a számítógépről futtatja, akkor a 2.0.38-es vagy újabb verzióra van szüksége. Futtassa az --version
a számítógépet a telepített verzió megkereséséhez. Ha frissítenie kell, olvassa el az Azure CLI telepítése című témakört. Ha helyileg futtatja a parancssori felületet, az Azure-ba való bejelentkezéshez is futnia az login
kell egy olyan fiókkal, amely rendelkezik a szükséges engedélyekkel.
Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, hozzon létre egyet az az network nsg create paranccsal.
Szerezze be és tárolja azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást az az network nsg show paranccsal. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:
nsgId=$(az network nsg show \
--name myNsg \
--resource-group myResourceGroup \
--query id \
--output tsv)
Erőforrásnaplókat különböző céltípusokba írhat. További információ: Naplócélok. Ebben a cikkben például egy Log Analytics-munkaterület célhelyére küldjük a naplókat. További információ: Naplókategóriák.
Engedélyezze az erőforrás-naplózást az NSG-hez az az monitor diagnostic-settings create paranccsal. Az alábbi példa esemény- és számlálókat is naplóz egy myWorkspace nevű meglévő munkaterületre, amely a myWorkspaces nevű erőforráscsoportban található. Az előző paranccsal mentett NSG azonosítóját használja.
az monitor diagnostic-settings create \
--name myNsgDiagnostics \
--resource $nsgId \
--logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
--workspace myWorkspace \
--resource-group myWorkspaces
Ha nincs meglévő munkaterülete, hozzon létre egyet a Azure Portal vagy Azure PowerShell használatával. A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat.
Ha csak az egyik vagy a másik kategóriához szeretne adatokat naplózni, távolítsa el azt a kategóriát, amelyhez nem szeretne adatokat naplózni az előző parancsban. Ha a Log Analytics-munkaterületek céljától eltérő helyre szeretne bejelentkezni, használjon egy megfelelő paramétert. További információ: Azure-erőforrásnaplók.
Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.
Naplócélhelyek
Diagnosztikai adatokat a következő lehetőségek közül választhat:
Naplókategóriák
A JSON-formátumú adatok a következő naplókategóriákhoz vannak megírva: esemény- és szabályszámláló.
Esemény
Az eseménynapló információkat tartalmaz arról, hogy mely NSG-szabályokat alkalmazza a rendszer a virtuális gépekre a MAC-cím alapján. A rendszer az alábbi adatokat naplózza az egyes eseményekhez. A következő példában az adatok egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez lesznek naplózva:
{
"time": "[DATE-TIME]",
"systemId": "[ID]",
"category": "NetworkSecurityGroupEvent",
"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
"operationName": "NetworkSecurityGroupEvents",
"properties": {
"vnetResourceGuid":"[ID]",
"subnetPrefix":"192.168.1.0/24",
"macAddress":"00-0D-3A-92-6A-7C",
"primaryIPv4Address":"192.168.1.4",
"ruleName":"[SECURITY-RULE-NAME]",
"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
"priority":"[PRIORITY-SPECIFIED-IN-RULE]",
"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
"conditions":{
"protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
"destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
"sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
"sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
"destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
}
}
}
Szabályszámláló
A szabályszámláló naplója információkat tartalmaz az erőforrásokra alkalmazott egyes szabályokról. A rendszer minden szabály alkalmazásakor naplózza az alábbi példaadatokat. A következő példában az adatok egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez lesznek naplózva:
{
"time": "[DATE-TIME]",
"systemId": "[ID]",
"category": "NetworkSecurityGroupRuleCounter",
"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
"operationName": "NetworkSecurityGroupCounters",
"properties": {
"vnetResourceGuid":"[ID]",
"subnetPrefix":"192.168.1.0/24",
"macAddress":"00-0D-3A-92-6A-7C",
"primaryIPv4Address":"192.168.1.4",
"ruleName":"[SECURITY-RULE-NAME]",
"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
"matchedConnections":125
}
}
Megjegyzés
A kommunikáció forrás IP-címe nincs naplózva. Engedélyezheti az NSG-forgalom naplózását egy NSG-hez , amely naplózza a szabályszámláló összes információját és a kommunikációt kezdeményező forrás IP-címet. A rendszer az NSG-folyamatnapló adatait egy Azure Storage-fiókba fogja írni. Az adatokat az Azure Network Watcher forgalomelemzési funkciójával elemezheti.
Naplók megtekintése és elemzése
Ha diagnosztikai adatokat küld a következő címre:
Azure Monitor-naplók: A hálózati biztonsági csoport elemzési megoldásával továbbfejlesztett elemzéseket végezhet. A megoldás vizualizációkat biztosít olyan NSG-szabályokhoz, amelyek engedélyezik vagy letiltják a virtuális gépek hálózati adapterének MAC-címenkénti forgalmát.
Azure Storage-fiók: Az adatok pt1H.json fájlba vannak írva. A következőt találja:
- Az alábbi útvonalon található eseménynapló: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
- A következő elérési úton található szabályszámláló naplója: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
Az erőforrásnaplók adatainak megtekintéséről az Azure-platformnaplók áttekintése című témakörben olvashat.
Következő lépések
További információ a tevékenységnaplózásról: Az Azure-platformnaplók áttekintése.
A tevékenységnaplózás alapértelmezés szerint engedélyezve van az Azure-beli üzemi modellel létrehozott NSG-k esetében. Annak megállapításához, hogy mely műveletek fejeződtek be az NSG-ken a tevékenységnaplóban, keresse meg az alábbi erőforrástípusokat tartalmazó bejegyzéseket:
- Microsoft.ClassicNetwork/networkSecurityGroups
- Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
- Microsoft.Network/networkSecurityGroups
- Microsoft.Network/networkSecurityGroups/securityRules
A diagnosztikai adatok naplózásához lásd: Hálózati forgalom naplózása egy virtuális gépről a Azure Portal használatával.