NSG-folyamatnaplók kezelése az Azure PowerShell használatával

A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.

Ebben a cikkben megtudhatja, hogyan hozhat létre, módosíthat, tilthat le vagy törölhet NSG-folyamatnaplókat az Azure PowerShell használatával. Megtudhatja, hogyan kezelheti az NSG-folyamatnaplókat az Azure Portal, az Azure CLI, a REST API vagy az ARM-sablon használatával.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.

• Elemzések szolgáltató. További információ: Elemzések szolgáltató regisztrálása.

• Hálózati biztonsági csoport. Ha hálózati biztonsági csoportot kell létrehoznia, olvassa el a hálózati biztonsági csoport létrehozását, módosítását vagy törlését.

• Egy Azure-tárfiók. Ha tárfiókot szeretne létrehozni, tekintse meg a tárfiók PowerShell-lel való létrehozását.

• Helyileg telepített Azure Cloud Shell vagy Azure PowerShell.

  • A cikk lépései interaktív módon futtatják az Azure PowerShell-parancsmagokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.

  • Az Azure PowerShellt helyileg is telepítheti a parancsmagok futtatásához. Ehhez a cikkhez az Az PowerShell-modul szükséges. További információ: Az Azure PowerShell telepítése. A telepített verzió azonosításához futtassa a következőt: Get-InstalledModule -Name Az. Ha helyileg futtatja a PowerShellt, jelentkezzen be az Azure-ba az Csatlakozás-AzAccount parancsmaggal.

Elemzési szolgáltató regisztrálása

Microsoft. Elemzések szolgáltatót regisztrálni kell a hálózati biztonsági csoporton áthaladó forgalom sikeres naplózásához. Ha nem biztos benne, hogy a Microsoft.Elemzések szolgáltató regisztrálva van-e, regisztrálja a Register-AzResourceProvidert.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

Folyamatnapló létrehozása

1. Szerezze be annak a hálózati biztonsági csoportnak a tulajdonságait, amelyhez létre szeretné hozni a folyamatnaplót, valamint annak a tárfióknak a tulajdonságait, amelyhez a létrehozott folyamatnaplót a Get-AzNetworkSecurityGroup és a Get-AzStorageAccount használatával szeretné tárolni.

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Feljegyzés

   • Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.

2. Hozza létre a folyamatnaplót a New-AzNetworkWatcherFlowLog használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.

   # Create a version 1 NSG flow log.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
   

Folyamatnapló- és forgalomelemzési munkaterület létrehozása

1. Szerezze be annak a hálózati biztonsági csoportnak a tulajdonságait, amelyhez létre szeretné hozni a folyamatnaplót, valamint annak a tárfióknak a tulajdonságait, amelyhez a létrehozott folyamatnaplót a Get-AzNetworkSecurityGroup és a Get-AzStorageAccount használatával szeretné tárolni.

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Feljegyzés

   • A tárfiók nem rendelkezhet olyan hálózati szabályokkal, amelyek csak Microsoft-szolgáltatások vagy adott virtuális hálózatokhoz korlátozzák a hálózati hozzáférést.
   • Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.

2. Forgalomelemzési munkaterület létrehozása a New-AzOperational Elemzések Workspace használatával.

   # Create a traffic analytics workspace and place its properties into a variable.
   $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Hozza létre a folyamatnaplót a New-AzNetworkWatcherFlowLog használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.

   # Create a version 1 NSG flow log with traffic analytics.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
   

Folyamatnapló módosítása

A Set-AzNetworkWatcherFlowLog használatával módosíthatja a folyamatnapló tulajdonságait. Módosíthatja például a folyamatnapló verzióját, vagy letilthatja a forgalomelemzést.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -FormatVersion 2 

Egy régió összes folyamatnaplójának listázása

A Get-AzNetworkWatcherFlowLog használatával listázhatja az előfizetés egy adott régiójában található NSG-folyamatnapló-erőforrásokat.

# Get all NSG flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Feljegyzés

A paraméter parancsmaggal való Get-AzNetworkWatcherFlowLog használatához -Location további olvasói engedélyre van szükség a NetworkWatcherRG erőforráscsoportban.

Folyamatnapló-erőforrás részleteinek megtekintése

A Get-AzNetworkWatcherFlowLog használatával megtekintheti egy folyamatnapló-erőforrás részleteit.

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Feljegyzés

A paraméter parancsmaggal való Get-AzNetworkWatcherFlowLog használatához -Location további olvasói engedélyre van szükség a NetworkWatcherRG erőforráscsoportban.

Folyamatnapló letöltése

A folyamatnapló tárolási helye a létrehozáskor van meghatározva. A folyamatnaplók tárfiókból való eléréséhez és letöltéséhez használhatja az Azure Storage Explorert. További információ: A Storage Explorer használatának első lépései.

A tárfiókba mentett NSG-folyamat naplófájljai az alábbi elérési utat követik:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

A folyamatnaplók szerkezetével kapcsolatos információkért lásd az NSG-folyamatnaplók naplóformátumát.

Folyamatnapló letiltása

Ha ideiglenesen le szeretne tiltani egy folyamatnaplót törlés nélkül, használja a Set-AzNetworkWatcherFlowLog parancsot a -Enabled $false paraméterrel. A folyamatnapló letiltása leállítja a társított hálózati biztonsági csoport folyamatnaplózását. A folyamatnapló-erőforrás azonban továbbra is az összes beállításával és társításával együtt marad. Bármikor újra engedélyezheti a folyamatnaplózás folytatásához a konfigurált hálózati biztonsági csoport számára.

Feljegyzés

Ha a forgalomelemzés engedélyezve van egy folyamatnaplóhoz, le kell tiltani, mielőtt letilthatja a folyamatnaplót.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Folyamatnapló törlése

Az NSG-folyamatnapló végleges törléséhez használja a Remove-AzNetworkWatcherFlowLog parancsot. A folyamatnapló törlése törli az összes beállítást és társítást. Ahhoz, hogy újra elindítsa a folyamatnaplózást ugyanazon hálózati biztonsági csoporthoz, létre kell hoznia egy új folyamatnaplót.

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Feljegyzés

A folyamatnapló törlése nem törli a folyamatnapló adatait a tárfiókból. A folyamat naplózza a tárfiókban tárolt adatokat a konfigurált megőrzési szabályzatot követve.

Következő lépések

• Ha tudni szeretné, hogyan használhatja az Azure beépített szabályzatait az NSG-folyamatnaplók naplózására vagy üzembe helyezésére, olvassa el az NSG-folyamatnaplók Azure Policy használatával történő kezelését ismertető témakört.
• A forgalomelemzéssel kapcsolatos további információkért lásd : Traffic analytics.