Hálózati biztonsági csoport erőforrás-naplózása

A hálózati biztonsági csoport (NSG) olyan szabályokat tartalmaz, amelyek engedélyezik vagy megtagadják a virtuális hálózat alhálózatának, hálózati adapterének vagy mindkettőnek a forgalmát.

Ha engedélyezi egy NSG naplózását, a következő típusú erőforrásnapló-információkat gyűjtheti:

  • Esemény: A rendszer naplózza a bejegyzéseket, amelyekre a rendszer a MAC-cím alapján NSG-szabályokat alkalmaz a virtuális gépeken.
  • Szabályszámláló: Bejegyzéseket tartalmaz arra, hogy a rendszer hányszor alkalmazza az egyes NSG-szabályokat a forgalom megtagadása vagy engedélyezése érdekében. A szabályok állapota 300 másodpercenként lesz összegyűjtve.

Az erőforrásnaplók csak az üzembe helyezési modellel üzembe helyezett NSG-khez Azure Resource Manager érhetők el. A klasszikus üzembe helyezési modellel üzembe helyezett NSG-k esetében nem engedélyezhető az erőforrás-naplózás. A két modell jobb megértéséhez lásd: Az Azure-beli üzembe helyezési modellek ismertetése.

Az erőforrás-naplózás külön van engedélyezve minden olyan NSG-hez, amelyről diagnosztikai adatokat szeretne gyűjteni. Ha inkább a tevékenységnaplók (működési) naplói érdeklik, tekintse meg az Azure-tevékenységnaplózást. Ha érdekli az NSG-ken áthaladó IP-forgalom, tekintse meg az Azure Network Watcher NSG-forgalom naplóit

Naplózás engedélyezése

Az erőforrás-naplózás engedélyezéséhezhasználhatja az Azure Portalt, a PowerShelltvagy az Azure CLI-t.

Azure Portal

  1. Jelentkezzen be a portálra.

  2. Válassza a Minden szolgáltatás lehetőséget, majd írja be a hálózati biztonsági csoportok parancsot. Amikor a hálózati biztonsági csoportok megjelennek a keresési eredmények között, válassza ki.

  3. Válassza ki azt az NSG-t, amely számára engedélyezni szeretné a naplózást.

  4. A FIGYELÉS alatt válassza a Diagnosztikai naplók lehetőséget, majd válassza a Diagnosztika bekapcsolása lehetőséget az alábbi képen látható módon:

    Diagnosztika bekapcsolása

  5. A Diagnosztikai beállítások alatt adja meg vagy válassza ki a következő adatokat, majd válassza a Mentés lehetőséget:

    Beállítás Érték
    Név Egy Ön által választott név. Például: myNsgDiagnostics
    Archiválás tárfiókba, Streamelés eseményközpontba, és Küldés a Log Analyticsbe Annyi célhelyet választhat ki, amennyit csak választ. További információ az egyes célokkal kapcsolatban: Naplócélok.
    LOG Válassza ki az egyik vagy mindkét naplózási kategóriát. További információ az egyes kategóriákhoz naplózott adatokról: Naplókategóriák.
  6. Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

PowerShell

Megjegyzés

Ez a cikk frissült az Azure Az PowerShell-moduljának használatával. Mostantól az Az PowerShell-modul használatát javasoljuk az Azure-ral folytatott interakciókhoz. Az Az PowerShell-modul használatának megkezdéséhez lásd az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

A következő parancsokat futtathatja a Azure Cloud Shell vagya PowerShell futtatásával a számítógépről. A Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta. Ha a PowerShellt a számítógépről futtatja, szüksége lesz a Azure PowerShell 1.0.0-s vagy újabb verziójára. A telepített verzió megkereséhez futtassa a következőt Get-Module -ListAvailable Az a számítógépen: . Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, akkor a futtatásával is be kell jelentkeznie az Azure-ba egy olyan fiókkal, amely rendelkezik a szükséges Connect-AzAccount engedélyekkel.

Az erőforrás-naplózás engedélyezéséhez szüksége lesz egy meglévő NSG azonosítójára. Ha még nem létezik NSG, létrehozhat egyet a New-AzNetworkSecurityGroup segítségével.

A Get-AzNetworkSecurityGroupsegítségével lekéri azt a hálózati biztonsági csoportot, amely számára engedélyezni szeretné az erőforrás-naplózást. Ha például egy myNsg nevű NSG-t kell lekérni egy myResourceGroup nevű erőforráscsoportban, írja be a következő parancsot:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Az erőforrásnaplókat három céltípusba írhatja. További információ: Naplócélok. Ebben a cikkben például a naplók a Log Analytics-célhelyre vannak elküldve. Meglévő Log Analytics-munkaterület lekérése a Get-AzOperationalInsightsWorkspace parancs használatával. Ha például egy myWorkspaces nevű erőforráscsoportban lévő, myWorkspaces nevű meglévő munkaterületet kell lekérni, írja be a következő parancsot:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Ha még nem található munkaterülete, létrehozhat egyet a New-AzOperationalInsightsWorkspace használatával.

A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat. További információ: Naplókategóriák. Engedélyezze az erőforrás-naplózást az NSG-hez a Set-AzDiagnosticSetting parancs segítségével. Az alábbi példa egy NSG-hez tartozó esemény- és számlálókategória-adatokat is naplózza a korábban lekért NSG és munkaterületazonosítók használatával:

Set-AzDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

Ha nem mindkét kategóriában szeretne adatokat naplózni, adja hozzá a kapcsolót az előző parancshoz, majd a -Categories NetworkSecurityGroupEvent vagy a NetworkSecurityGroupRuleCounter parancshoz. Ha a Log Analytics-munkaterülettől eltérő célhelyre szeretne bejelentkezni, használja a megfelelő paramétereket egy Azure Storage-fiókhoz vagy eseményközponthoz.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Azure CLI

A következő parancsokat futtathatja a Azure Cloud Shell,vagy az Azure CLI a számítógépről való futtatásával. A Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta. Ha a cli-t a számítógépről futtatja, a 2.0.38-as vagy újabb verzióra lesz szüksége. A telepített verzió megkereséhez futtassa a következőt az --version a számítógépen: . Ha frissítenie kell, tekintse meg az Azure CLI telepítését. Ha helyileg futtatja a CLI-t, akkor a futtatásával is be kell jelentkeznie az Azure-ba egy olyan fiókkal, amely rendelkezik a szükséges az login engedélyekkel.

Az erőforrás-naplózás engedélyezéséhez szüksége lesz egy meglévő NSG azonosítójára. Ha még nem létezik NSG, létrehozhat egyet az az network nsg create segítségével.

Az az network nsg show parancs segítségével olvassa be azt a hálózati biztonsági csoportot, amely számára engedélyezni szeretné az erőforrás-naplózást. Ha például egy myNsg nevű NSG-t kell lekérni egy myResourceGroup nevű erőforráscsoportban, írja be a következő parancsot:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Az erőforrásnaplókat három céltípusba írhatja. További információ: Naplócélok. Ebben a cikkben például a naplók a Log Analytics-célhelyre vannak elküldve. További információ: Naplókategóriák.

Engedélyezze az NSG erőforrás-naplózását az az monitor diagnostic-settings create parancs segítségével. Az alábbi példa az esemény- és számlálókategória-adatokat is naplózza egy meglévő, myWorkspace nevű munkaterületen, amely egy myWorkspaces nevű erőforráscsoportban található, valamint a korábban lekért NSG azonosítóját:

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Ha még nem található munkaterülete, létrehozhat egyet a Azure Portal vagy a PowerShell használatával. A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat.

Ha csak az egyik kategóriához vagy a másikhoz szeretne adatokat naplózni, távolítsa el azt a kategóriát, amely esetében az adatokat nem szeretné naplózni az előző parancsban. Ha a Log Analytics-munkaterülettől eltérő célhelyre szeretne bejelentkezni, használja a megfelelő paramétereket egy Azure Storage-fiókhoz vagy eseményközponthoz.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Naplócélok

Diagnosztikai adatok a következő lehet:

Naplókategóriák

A JSON-formátumú adatok a következő naplókategóriákhoz vannak megírva:

Esemény

Az eseménynapló a MAC-cím alapján tartalmazza, hogy mely NSG-szabályok vonatkoznak a virtuális gépekre. A rendszer minden eseményhez a következő adatokat naplózza. A következő példában a rendszer egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel naplózza az adatokat egy virtuális géphez:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

Szabályszámláló

A szabályszámláló naplója információkat tartalmaz az erőforrásokra alkalmazott egyes szabályokról. A következő példaadatokat a rendszer minden szabály alkalmazásakor naplózza. A következő példában a rendszer egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel naplózza az adatokat egy virtuális géphez:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

Megjegyzés

A rendszer nem naplózza a kommunikáció forrás IP-címét. Engedélyezheti azonban az NSG-forgalomnaplózást egy NSG-hez, amely naplózza a szabályszámláló összes adatát, valamint a kommunikációt kezdeményező forrás IP-címet. A rendszer az NSG-folyamatnapló adatait egy Azure Storage-fiókba fogja írni. Az adatokat az Azure-szolgáltatások forgalomelemzési funkcióját használva Network Watcher.

Naplók megtekintése és elemzése

Az erőforrásnaplók adatainak megtekintésével kapcsolatos további információkért lásd: Az Azure platform naplóinak áttekintése. Ha diagnosztikai adatokat küld a következő célokra:

  • Azure Monitor naplók: A továbbfejlesztett elemzésekhez használhatja a hálózati biztonsági csoport elemzési megoldását. A megoldás vizualizációkat biztosít az NSG-szabályokhoz, amelyek engedélyezik vagy megtagadják a virtuális gép hálózati adapterének MAC-címenkénti forgalmát.
  • Azure Storage-fiók: Az adatok egy fájlban PT1H.jstárolóba. A következőt találja:
    • Eseménynapló a következő elérési úton: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • A szabályszámláló naplója a következő elérési úton található: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Következő lépések

  • További információ a tevékenységnaplózásról. A tevékenységnaplózás alapértelmezés szerint engedélyezve van az Azure-beli üzembe helyezési modellel létrehozott NSG-k esetében. A tevékenységnaplóban található NSG-ken végzett műveletek meghatározásához keresse meg a következő erőforrástípusokat tartalmazó bejegyzéseket:
    • Microsoft.ClassicNetwork/networkSecurityGroups
    • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft.Network/networkSecurityGroups
    • Microsoft.Network/networkSecurityGroups/securityRules
  • Ha meg szeretne ismerkedni a diagnosztikai adatok naplózásának mikéntjével, hogy az egyes folyamathoz a forrás IP-címét is be tudja foglalni, tekintse meg az NSG-forgalom naplózását.