Pencatatan log sumber daya untuk grup keamanan jaringan

Grup keamanan jaringan (NSG) menyertakan aturan yang mengizinkan atau menolak lalu lintas ke subnet jaringan virtual, antarmuka jaringan, atau keduanya.

Saat mengaktifkan pencatatan log untuk NSG, Anda dapat memperoleh jenis informasi log sumber daya berikut:

• Peristiwa: Entri dicatat bagi aturan NSG yang diterapkan ke VM berdasarkan alamat MAC.
• Penghitung aturan: Berisi entri tentang berapa kali setiap aturan NSG diterapkan untuk menolak atau mengizinkan lalu lintas. Status untuk aturan ini dikumpulkan setiap 300 detik.

Log sumber daya hanya tersedia untuk NSG yang disebarkan melalui model penyebaran Azure Resource Manager. Anda tidak dapat mengaktifkan pencatatan log sumber daya untuk NSG yang disebarkan melalui model penyebaran klasik. Untuk pemahaman yang lebih baik tentang kedua model ini, lihat Memahami model penyebaran Azure.

Pencatatan log sumber daya diaktifkan secara terpisah untuk setiap NSG yang Anda inginkan untuk mengumpulkan data diagnostik. Jika tertarik dengan log aktivitas (operasional), baca Pencatatan log aktivitas Azure. Jika ingin mengetahui tentang lalu lintas IP yang melewati NSG, lihat log Alur NSG Azure Network Watcher

Mengaktifkan pencatatan log

Anda dapat menggunakan Portal Azure, PowerShell, atau Azure CLI untuk mengaktifkan pengelogan sumber daya.

portal Microsoft Azure

1. Masuk ke portal.

2. Pilih Semua layanan, lalu ketikkan grup keamanan jaringan. Pilih Grup keamanan jaringan setelah muncul di hasil pencarian.

3. Pilih NSG yang ingin Anda aktifkan pencatatan lognya.

4. Pada PEMANTAUAN, pilih Log diagnostik, lalu pilih Aktifkan diagnostik seperti pada gambar di bawah ini:

   

5. Pada Pengaturan diagnostik, masukkan atau pilih informasi berikut, lalu pilih Simpan:

   Pengaturan	Nilai
   Nama	Nama pilihan Anda. Contoh: myNsgDiagnostics
   Arsipkan ke akun penyimpanan, Streaming ke hub peristiwa, dan Kirim ke Analitik Log	Anda dapat memilih sebanyak mungkin tujuan yang diinginkan. Untuk mempelajari selengkapnya, lihat Tujuan log.
   LOG	Pilih salah satu atau kedua kategori log. Untuk mempelajari selengkapnya tentang data yang dicatat bagi setiap kategori, lihat Kategori log.

6. Melihat dan menganalisis log. Untuk informasi selengkapnya, lihat Menampilkan dan menganalisis log.

PowerShell

Catatan

Artikel ini menggunakan modul Azure Az PowerShell, yang merupakan modul PowerShell yang direkomendasikan untuk berinteraksi dengan Azure. Untuk mulai menggunakan modul Az PowerShell, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Anda dapat menjalankan perintah berikut ini di Azure Cloud Shell, atau dengan menjalankan PowerShell dari komputer. Azure Cloud Shell adalah shell interaktif gratis. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda. Jika menjalankan PowerShell dari komputer, Anda memerlukan modul Azure PowerShell versi 1.0.0 atau yang lebih baru. Jalankan Get-Module -ListAvailable Az di komputer Anda untuk menemukan versi yang sudah terpasang. Jika Anda ingin meningkatkannya, lihat Memasang modul Azure PowerShell. Jika menjalankan PowerShell secara lokal, Anda juga perlu menjalankan Connect-AzAccount untuk masuk ke Azure dengan akun yang memiliki izin yang diperlukan.

Untuk mengaktifkan pengelogan sumber daya, Anda memerlukan ID NSG yang sudah ada. Jika NSG belum ada, Anda dapat membuatnya dengan perintah New-AzNetworkSecurityGroup.

Ambil grup keamanan jaringan yang Anda inginkan untuk mengaktifkan pencatatan log sumber daya dengan Get-AzNetworkSecurityGroup. Sebagai contoh, untuk mengambil NSG bernama myNsg yang ada dalam grup sumber daya bernama myResourceGroup, masukkan perintah berikut:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Anda dapat menulis log sumber daya ke tiga jenis tujuan. Untuk informasi selengkapnya, lihat Tujuan Log. Dalam artikel ini, log dikirim ke tujuan Analitik Log sebagai contoh. Ambil ruang kerja Analitik Log yang ada dengan Get-AzOperationalInsightsWorkspace. Contohnya, untuk mengambil ruang kerja yang sudah ada bernama myWorkspace dalam grup sumber daya bernama myWorkspaces, masukkan perintah berikut:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Jika belum memiliki ruang kerja, Anda dapat membuatnya dengan New-AzOperationalInsightsWorkspace.

Ada dua kategori pencatatan log untuk mengaktifkan log. Untuk informasi selengkapnya, baca Kategori Log. Aktifkan pencatatan log sumber daya untuk NSG dengan Set-AzDiagnosticSetting. Contoh berikut mencatat data kategori peristiwa dan penghitung ke ruang kerja untuk NSG, menggunakan ID untuk NSG dan ruang kerja yang Anda pilih sebelumnya:

Set-AzDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

Jika hanya ingin mencatat log data untuk satu kategori atau kategori lain, tambahkan opsi -Categories ke perintah sebelumnya, diikuti oleh NetworkSecurityGroupEvent atau NetworkSecurityGroupRuleCounter. Jika Anda ingin log ke tujuan selain ruang kerja Analitik Log, gunakan parameter yang sesuai untuk akun Storage Azure atau Pusat Aktivitas.

Melihat dan menganalisis log. Untuk informasi selengkapnya, lihat Menampilkan dan menganalisis log.

Azure CLI

Anda dapat menjalankan perintah berikut ini di Azure Cloud Shell atau dengan menjalankan Azure CLI dari komputer. Azure Cloud Shell adalah shell interaktif gratis. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda. Jika menjalankan CLI dari komputer, Anda memerlukan versi 2.0.38 atau yang lebih baru. Jalankan az --version di komputer untuk menemukan versi yang telah terpasang. Jika Anda perlu memutakhirkan, lihat Menginstal Azure CLI. Jika menjalankan CLI secara lokal, Anda juga perlu menjalankan az login untuk masuk ke Azure dengan akun yang memiliki izin yang diperlukan.

Untuk mengaktifkan pengelogan sumber daya, Anda memerlukan ID NSG yang sudah ada. Jika belum memiliki NSG, Anda dapat membuatnya dengan jaringan az network nsg create.

Ambil grup keamanan jaringan yang Anda inginkan untuk mengaktifkan pencatatan log sumber daya dengan perintah Get-AzNetworkSecurityGroup. Sebagai contoh, untuk mengambil NSG bernama myNsg yang ada dalam grup sumber daya bernama myResourceGroup, masukkan perintah berikut:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Anda dapat menulis log sumber daya ke tiga jenis tujuan. Untuk informasi selengkapnya, lihat Tujuan Log. Dalam artikel ini, log dikirim ke tujuan Analitik Log sebagai contoh. Untuk informasi selengkapnya, baca Kategori Log.

Aktifkan pencatatan log sumber daya untuk NSG dengan az monitor diagnostic-settings create. Contoh berikut mencatat log data kategori peristiwa dan penghitung ke ruang kerja yang sudah ada bernama myWorkspace, yang ada dalam grup sumber daya bernama myWorkspaces, dan ID NSG yang Anda pilih sebelumnya:

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Jika belum memiliki ruang kerja, Anda dapat membuatnya menggunakan portal Azure atau PowerShell. Ada dua kategori pencatatan log untuk mengaktifkan log.

Jika hanya ingin mencatat log data untuk suatu kategori atau yang lain, hapus kategori yang tidak Anda inginkan di perintah sebelumnya. Jika Anda ingin log ke tujuan selain ruang kerja Analitik Log, gunakan parameter yang sesuai untuk akun Storage Azure atau Pusat Aktivitas.

Melihat dan menganalisis log. Untuk informasi selengkapnya, lihat Menampilkan dan menganalisis log.

Tujuan log

Data diagnostik dapat:

• Ditulis ke akun Azure Storage untuk audit atau pemeriksaan manual. Anda dapat menentukan waktu retensi (dalam hari) menggunakan pengaturan diagnostik sumber daya.
• Dialirkan ke Pusat aktivitas untuk penyerapan oleh layanan pihak ketiga, atau solusi analitik kustom, seperti Power BI.
• Ditulis ke log Azure Monitor.

Kategori log

Data berformat JSON ditulis untuk kategori log berikut:

Kejadian

Log peristiwa berisi informasi tentang aturan NSG mana yang diterapkan ke VM berdasarkan alamat MAC. Data berikut ini dicatat dalam log untuk setiap kejadian. Pada contoh berikut, data dicatat ke log untuk komputer virtual dengan alamat IP 192.168.1.4 dan alamat MAC 00-0D-3A-92-6A-7C:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupEvent",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupEvents",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"priority":"[PRIORITY-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"conditions":{
			"protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
			"destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
			"destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
			}
		}
}

Penghitung aturan

Log penghitung aturan berisi informasi tentang setiap aturan yang diterapkan ke sumber daya. Data contoh berikut ini dicatat ke log setiap kali aturan diterapkan. Pada contoh berikut, data dicatat ke log untuk komputer virtual dengan alamat IP 192.168.1.4 dan alamat MAC 00-0D-3A-92-6A-7C:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupRuleCounter",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupCounters",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"matchedConnections":125
		}
}

Catatan

Alamat IP sumber untuk komunikasi tidak dicatat ke log. Namun, Anda dapat mengaktifkan Pencatatan log alur NSG untuk NSG, yang mencatat semua informasi penghitung aturan serta alamat IP sumber yang memulai komunikasi. Data log alur NSG ditulis ke akun Azure Storage. Anda dapat menganalisis data dengan kemampuan analitik lalu lintas Azure Network Watcher.

Melihat dan menganalisis log

Untuk mempelajari cara melihat data log sumber daya, baca Gambaran umum log platform Azure. Jika Anda mengirim data diagnostik ke:

• Log Azure Monitor: Anda dapat menggunakan solusi analitik grup keamanan jaringan untuk wawasan yang lebih baik. Solusi ini menyediakan visualisasi untuk aturan NSG yang mengizinkan atau menolak lalu lintas per alamat MAC dari antarmuka jaringan dalam komputer virtual.
• Akun Azure Storage: Data ditulis ke dalam file PT1H.json. Anda dapat menemukan:
  • Log peristiwa di jalur berikut: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
  • Log penghitung aturan di jalur berikut: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Langkah berikutnya

• Pelajari selengkapnya tentang Pencatatan log aktivitas. Pencatatan log aktivitas diaktifkan secara default untuk NSG yang dibuat melalui salah satu model penyebaran Azure. Untuk menentukan operasi mana yang diselesaikan pada NSG dalam log aktivitas, cari entri yang berisi jenis sumber daya berikut:
  • Microsoft.ClassicNetwork/networkSecurityGroups
  • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
  • Microsoft.Network/networkSecurityGroups
  • Microsoft.Network/networkSecurityGroups/securityRules
• Untuk mempelajari cara mencatat log informasi diagnostik, untuk menyertakan alamat IP sumber bagi setiap alur, baca pencatatan log alur NSG.