Log alur jaringan virtual

Log alur jaringan virtual adalah fitur Azure Network Watcher. Anda dapat menggunakannya untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual.

Aliran data dari log aliran jaringan virtual dikirim ke Azure Storage. Dari sana, Anda dapat mengakses data dan mengekspornya ke alat visualisasi, solusi manajemen informasi keamanan dan peristiwa (SIEM), atau sistem deteksi intrusi (IDS). Log alur jaringan virtual mengatasi beberapa batasan log alur kelompok keamanan Jaringan.

Mengapa menggunakan log alur?

Sangat penting untuk memantau, mengelola, dan mengetahui jaringan Anda sehingga Anda dapat melindungi dan mengoptimalkannya. Anda mungkin perlu mengetahui status jaringan saat ini, siapa yang tersambung, dan dari mana pengguna terhubung. Anda mungkin juga perlu mengetahui port mana yang terbuka untuk internet, perilaku jaringan apa yang diharapkan, perilaku jaringan apa yang tidak teratur, dan ketika tiba-tiba naik lalu lintas terjadi.

Log alur adalah sumber kebenaran untuk semua aktivitas jaringan di lingkungan cloud Anda. Baik Anda berada dalam startup yang mencoba mengoptimalkan sumber daya atau perusahaan besar yang mencoba mendeteksi gangguan, log alur dapat membantu. Anda dapat menggunakannya untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi.

Kasus penggunaan umum

Pemantauan jaringan

• Identifikasi lalu lintas yang tidak diketahui atau tidak diinginkan.
• Pantau tingkat lalu lintas dan konsumsi bandwidth.
• Filter log alur menurut IP dan port untuk memahami perilaku aplikasi.
• Ekspor log alur ke alat analitik dan visualisasi pilihan Anda untuk menyiapkan dasbor pemantauan.

Pemantauan dan pengoptimalan penggunaan

• Identifikasi pembicara teratas dalam jaringan Anda.
• Gabungkan dengan data GeoIP untuk mengidentifikasi lalu lintas wilayah.
• Memahami pertumbuhan lalu lintas untuk perkiraan kapasitas.
• Gunakan data untuk menghapus aturan lalu lintas yang terlalu ketat.

Kepatuhan

• Gunakan data alur untuk memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan.

Forensik jaringan dan analisis keamanan

• Analisis alur jaringan dari antarmuka jaringan dan IP yang disusupi.
• Ekspor log alur ke alat SIEM atau IDS apa pun yang Anda pilih.

Log alur jaringan virtual dibandingkan dengan log alur kelompok keamanan jaringan

Baik log alur jaringan virtual maupun log alur kelompok keamanan jaringan merekam lalu lintas IP, tetapi berbeda dalam perilaku dan kemampuannya.

Log alur jaringan virtual menyederhanakan cakupan pemantauan lalu lintas karena Anda dapat mengaktifkan pengelogan di jaringan virtual. Lalu lintas melalui semua beban kerja yang didukung dalam jaringan virtual direkam.

Log alur jaringan virtual juga menghindari kebutuhan untuk mengaktifkan pengelogan alur beberapa tingkat, seperti dalam log alur kelompok keamanan jaringan. Dalam log alur kelompok keamanan jaringan, kelompok keamanan jaringan dikonfigurasi di subnet dan antarmuka jaringan (NIC).

Selain dukungan yang ada untuk mengidentifikasi lalu lintas yang diizinkan atau ditolak oleh aturan grup keamanan jaringan, Log alur jaringan virtual mendukung identifikasi lalu lintas yang diizinkan atau ditolak oleh aturan admin keamanan Azure Virtual Network Manager. Log alur jaringan virtual juga mendukung evaluasi status enkripsi lalu lintas jaringan Anda dalam skenario di mana Anda menggunakan enkripsi jaringan virtual.

Penting

Sebaiknya nonaktifkan log alur kelompok keamanan jaringan sebelum mengaktifkan log alur jaringan virtual pada beban kerja yang mendasari yang sama untuk menghindari perekaman lalu lintas duplikat dan biaya tambahan. Jika Anda mengaktifkan log alur kelompok keamanan jaringan pada kelompok keamanan jaringan subnet, maka Anda mengaktifkan log alur jaringan virtual pada subnet atau jaringan virtual induk yang sama, Anda mungkin mendapatkan pengelogan duplikat (log alur grup keamanan jaringan dan log alur jaringan virtual yang dihasilkan untuk semua beban kerja yang didukung di subnet tertentu).

Cara kerja pengelogan

Properti utama log alur jaringan virtual meliputi:

• Log alur beroperasi di Lapisan 4 model Open Systems Interconnection (OSI) dan merekam semua alur IP yang melalui jaringan virtual.
• Log dikumpulkan pada interval satu menit melalui platform Azure. Mereka tidak memengaruhi sumber daya Azure atau lalu lintas jaringan Anda.
• Log ditulis dalam format JavaScript Object Notation (JSON).
• Setiap rekaman log berisi antarmuka jaringan yang diterapkan alur, informasi 5 tuple, arah lalu lintas, status alur, status enkripsi, dan informasi throughput.
• Semua arus lalu lintas di jaringan Anda dievaluasi melalui aturan grup keamanan jaringan yang berlaku atau aturan admin keamanan Azure Virtual Network Manager.

Format Log

Log alur jaringan virtual memiliki properti berikut:

• time: Waktu dalam UTC ketika peristiwa dicatat.
• flowLogVersion: Versi skema log alur.
• flowLogGUID: GUID FlowLog sumber daya sumber daya.
• macAddress: Alamat MAC antarmuka jaringan tempat peristiwa diambil.
• category: Kategori acara. Kategorinya selalu FlowLogFlowEvent.
• flowLogResourceID: ID FlowLog sumber daya sumber daya.
• targetResourceID: ID sumber daya dari sumber daya target yang terkait dengan FlowLog sumber daya.
• operationName: Selalu FlowLogFlowEvent.
• flowRecords: Kumpulan rekaman alur.
  • flows: Kumpulan alur. Properti ini memiliki beberapa entri untuk daftar kontrol akses (ACL):
    • aclID: Pengidentifikasi sumber daya yang mengevaluasi lalu lintas, baik kelompok keamanan jaringan atau Virtual Network Manager. Untuk lalu lintas yang ditolak karena enkripsi, nilai ini adalah unspecified.
    • flowGroups: Kumpulan rekaman alur pada tingkat aturan:
      • rule: Nama aturan yang mengizinkan atau menolak lalu lintas. Untuk lalu lintas yang ditolak karena enkripsi, nilai ini adalah unspecified.
      • flowTuples: String yang berisi beberapa properti untuk tuple alur dalam format yang dipisahkan koma:
        • Time Stamp: Stempel waktu ketika aliran terjadi, dalam format epoch UNIX.
        • Source IP: Alamat IP sumber.
        • Destination IP: Alamat IP tujuan.
        • Source port: Port sumber.
        • Destination port: Port tujuan.
        • Protocol: Protokol alur lapisan 4, dinyatakan dalam nilai yang ditetapkan IANA.
        • Flow direction: Arah arus lalu lintas. Nilai yang valid adalah I untuk masuk dan O untuk keluar.
        • Flow state: Status alur. Status yang mungkin adalah:
          • B: Mulailah, saat alur dibuat. Tidak ada statistik yang disediakan.
          • C: Melanjutkan alur yang sedang berlangsung. Statistik disediakan pada interval lima menit.
          • E: Berakhir, saat alur dihentikan. Statistik disediakan.
          • D: Tolak, ketika alur ditolak.
        • Flow encryption: Status enkripsi alur. Tabel setelah daftar ini menjelaskan kemungkinan nilai.
        • Packets sent: Jumlah total paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir.
        • Bytes sent: Jumlah total byte paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.
        • Packets received: Jumlah total paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir.
        • Bytes received: Jumlah total byte paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.

Flow encryption memiliki kemungkinan status enkripsi berikut:

Status enkripsi	Deskripsi
X	Koneksi dienkripsi. Enkripsi dikonfigurasi, dan platform mengenkripsi koneksi.
NX	Koneksi tidak terenkripsi. Kejadian ini dicatat dalam dua skenario: - Ketika enkripsi tidak dikonfigurasi. - Ketika komputer virtual terenkripsi berkomunikasi dengan titik akhir yang tidak memiliki enkripsi (seperti titik akhir internet).
NX_HW_NOT_SUPPORTED	Perangkat keras tidak didukung. Enkripsi dikonfigurasi, tetapi komputer virtual berjalan pada host yang tidak mendukung enkripsi. Masalah ini biasanya terjadi karena array gerbang yang dapat diprogram bidang (FPGA) tidak dilampirkan ke host atau rusak. Laporkan masalah ini ke Microsoft untuk penyelidikan.
NX_SW_NOT_READY	Perangkat lunak belum siap. Enkripsi dikonfigurasi, tetapi komponen perangkat lunak (GFT) di tumpukan jaringan host belum siap untuk memproses koneksi terenkripsi. Masalah ini dapat terjadi ketika komputer virtual dimulai untuk pertama kalinya, dimulai ulang, atau disebarkan ulang. Ini juga dapat terjadi ketika ada pembaruan pada komponen jaringan pada host tempat komputer virtual berjalan. Dalam semua skenario ini, paket dihilangkan. Masalahnya harus bersifat sementara. Enkripsi harus mulai berfungsi setelah komputer virtual sepenuhnya aktif dan berjalan atau pembaruan perangkat lunak pada host selesai. Jika masalah memiliki durasi yang lebih lama, laporkan ke Microsoft untuk penyelidikan.
NX_NOT_ACCEPTED	Hilangkan karena tidak ada enkripsi. Enkripsi dikonfigurasi pada titik akhir sumber dan tujuan, dengan penurunan kebijakan yang tidak terenkripsi. Jika enkripsi lalu lintas gagal, paket akan dihilangkan.
NX_NOT_SUPPORTED	Penemuan tidak didukung. Enkripsi dikonfigurasi, tetapi sesi enkripsi tidak dibuat karena tumpukan jaringan host tidak mendukung penemuan. Dalam hal ini, paket dihilangkan. Jika Anda mengalami masalah ini, laporkan ke Microsoft untuk penyelidikan.
NX_LOCAL_DST	Tujuan berada di host yang sama. Enkripsi dikonfigurasi, tetapi komputer virtual sumber dan tujuan berjalan pada host Azure yang sama. Dalam hal ini, koneksi tidak dienkripsi berdasarkan desain.
NX_FALLBACK	Kembali ke enkripsi. Enkripsi dikonfigurasi dengan kebijakan Izinkan tidak terenkripsi untuk titik akhir sumber dan tujuan. Sistem mencoba enkripsi tetapi memiliki masalah. Dalam hal ini, koneksi diizinkan tetapi tidak dienkripsi. Misalnya, komputer virtual awalnya mendarat di simpul yang mendukung enkripsi, tetapi dukungan ini dihapus nanti.

Lalu lintas di jaringan virtual Anda tidak terenkripsi (NX) secara default. Untuk lalu lintas terenkripsi, lihat Enkripsi jaringan virtual.

Contoh rekaman log

Dalam contoh log alur jaringan virtual berikut, beberapa rekaman mengikuti daftar properti yang dijelaskan sebelumnya.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "abcdef01-2345-6789-0abc-def012345678",
            "macAddress": "00224871C205",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00000000-1234-abcd-ef00-c1c2c3c4c5c6",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,52.239.184.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,52.239.184.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,40.74.146.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,40.74.146.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,104.16.218.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,104.16.218.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "01020304-abcd-ef00-1234-102030405060",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,20.106.221.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,20.55.117.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,20.55.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,13.65.224.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,20.55.117.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,20.55.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,20.106.221.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Perhitungan tuple dan bandwidth log

Berikut adalah contoh perhitungan bandwidth untuk tuple alur dari percakapan TCP antara 185.170.185.105:35370 dan 10.2.0.4:23:

1493763938,185.170.185.105,10.2.0.4,35370,23,6,I,B,NX,,,, 1493695838,185.170.185.105,10.2.0.4,35370,23,6,I,C,NX,1021,588096,8005,4610880 1493696138,185.170.185.105,10.2.0.4,35370,23,6,I,E,NX,52,29952,47,27072

Untuk status alur kelanjutan (C) dan akhir (E), jumlah byte dan paket adalah jumlah agregat dari waktu rekaman tuple alur sebelumnya. Dalam contoh percakapan, jumlah total paket yang ditransfer adalah 1.021 + 52 + 8.005 + 47 = 9.125. Jumlah total byte yang ditransfer adalah 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Pertimbangan akun penyimpanan untuk log alur jaringan virtual

• Lokasi: Akun penyimpanan harus berada di wilayah yang sama dengan jaringan virtual.
• Langganan: Akun penyimpanan harus berada dalam langganan jaringan virtual yang sama atau dalam langganan yang terkait dengan penyewa Microsoft Entra yang sama dari langganan jaringan virtual.
• Tingkat performa: Akun penyimpanan harus standar. Akun penyimpanan premium tidak didukung.
• Rotasi kunci yang dikelola sendiri: Jika Anda mengubah atau memutar kunci akses ke akun penyimpanan Anda, log alur jaringan virtual berhenti berfungsi. Untuk memperbaiki masalah ini, Anda harus menonaktifkan lalu mengaktifkan kembali log alur jaringan virtual.

Harga

• Log alur jaringan virtual dikenakan biaya per gigabyte log alur Jaringan yang dikumpulkan dan dilengkapi dengan tingkat gratis 5 GB/bulan per langganan.

  Catatan

  Log alur jaringan virtual akan ditagih efektif 1 Juni 2024.

• Jika analitik lalu lintas diaktifkan dengan log alur jaringan virtual, harga analitik lalu lintas berlaku pada tingkat pemrosesan per gigabyte. Analitik lalu lintas tidak ditawarkan dengan tingkat harga gratis. Untuk informasi selengkapnya, lihat Harga Network Watcher.

• Penyimpanan log dibebankan secara terpisah. Untuk informasi selengkapnya, lihat Harga Azure Blob Storage.

Ketersediaan

Log alur jaringan virtual umumnya tersedia di semua wilayah publik Azure.

Konten terkait

• Untuk mempelajari cara membuat, mengubah, mengaktifkan, menonaktifkan, atau menghapus log alur jaringan virtual, lihat panduan portal Azure, PowerShell, atau Azure CLI.
• Untuk mempelajari tentang analitik lalu lintas, lihat Gambaran umum analitik lalu lintas dan Skema dan agregasi data di analitik lalu lintas Azure Network Watcher.
• Untuk mempelajari cara menggunakan kebijakan bawaan Azure untuk mengaudit atau mengaktifkan analitik lalu lintas, lihat Mengelola analitik lalu lintas menggunakan Azure Policy.