Gestire i log dei flussi dei gruppi di sicurezza di rete usando l'interfaccia della riga di comando di Azure

  • Articolo

La registrazione dei flussi dei gruppi di sicurezza di rete è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. Per altre informazioni sulla registrazione dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi del gruppo di sicurezza di rete.

Questo articolo illustra come creare, modificare, disabilitare o eliminare un log del flusso del gruppo di sicurezza di rete usando l'interfaccia della riga di comando di Azure. È possibile imparare a gestire un log del flusso del gruppo di sicurezza di rete usando il modello portale di Azure, PowerShell, API REST o ARM.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

  • Provider insights. Per altre informazioni, vedere Registrare il provider di Insights.

  • Gruppo di sicurezza di rete. Se è necessario creare un gruppo di sicurezza di rete, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.

  • Un account di archiviazione di Azure. Se è necessario creare un account di archiviazione, vedere Creare un account di archiviazione con PowerShell.

  • Azure Cloud Shell o l'interfaccia della riga di comando di Azure installata in locale.

    • I passaggi descritti in questo articolo eseguono i comandi dell'interfaccia della riga di comando di Azure in modo interattivo in Azure Cloud Shell. Per eseguire i comandi in Cloud Shell, selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. Selezionare Copia per copiare il codice e incollarlo in Cloud Shell per eseguirlo. È anche possibile eseguire Cloud Shell dall'interno del portale di Azure.

    • È anche possibile installare l'interfaccia della riga di comando di Azure in locale per eseguire i comandi. Se si esegue l'interfaccia della riga di comando di Azure in locale, accedere ad Azure usando il comando az login .

Registrare il provider Insights

Il provider Microsoft.Insights deve essere registrato per registrare correttamente il traffico che scorre attraverso un gruppo di sicurezza di rete. Se non si è certi che il provider Microsoft.Insights sia registrato, usare az provider register per registrarlo.

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

Creare un log di flusso

Creare un log di flusso usando az network watcher flow-log create. Il log del flusso viene creato nel gruppo di risorse predefinito NetworkWatcherRG di Network Watcher.

# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'

Nota

  • Se l'account di archiviazione si trova in una sottoscrizione diversa, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
  • Se l'account di archiviazione si trova in un gruppo di risorse o una sottoscrizione diverso, è necessario specificare l'ID completo dell'account di archiviazione anziché solo il nome. Ad esempio, se l'account di archiviazione my Archiviazione Account si trova in un gruppo di risorse denominato Archiviazione RG mentre il gruppo di sicurezza di rete si trova nel gruppo di myStorageAccountrisorse myResourceGroup, è necessario usare /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount per --storage-account il parametro anziché .
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa

Creare un log di flusso e un'area di lavoro analisi del traffico

  1. Creare un'area di lavoro Log Analytics usando az monitor log-analytics workspace create.

    # Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

  2. Creare un log di flusso usando az network watcher flow-log create. Il log del flusso viene creato nel gruppo di risorse predefinito NetworkWatcherRG di Network Watcher.

    # Create a version 1 NSG flow log and enable traffic analytics for it.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'

Nota

  • L'account di archiviazione non può avere regole di rete che limitano l'accesso di rete solo a servizi Microsoft o a reti virtuali specifiche.
  • Se l'account di archiviazione si trova in una sottoscrizione diversa, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
  • Se l'account di archiviazione si trova in un gruppo di risorse o una sottoscrizione diverso, è necessario usare l'ID completo dell'account di archiviazione. Ad esempio, se l'account di archiviazione my Archiviazione Account si trova in un gruppo di risorse denominato Archiviazione RG mentre il gruppo di sicurezza di rete si trova nel gruppo di myStorageAccountrisorse myResourceGroup, è necessario usare /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount per --storage-account il parametro anziché .
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'

Modificare un log di flusso

È possibile usare az network watcher flow-log update per modificare le proprietà di un log di flusso. Ad esempio, è possibile modificare la versione del log del flusso o disabilitare l'analisi del traffico.

# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'

Elencare tutti i log di flusso in un'area

Usare az network watcher flow-log list per elencare tutte le risorse del log del flusso del gruppo di sicurezza di rete in una determinata area della sottoscrizione.

# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Visualizzare i dettagli di una risorsa del log del flusso

Usare az network watcher flow-log show per visualizzare i dettagli di una risorsa del log del flusso.

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Scaricare un log di flusso

Il percorso di archiviazione di un log di flusso viene definito al momento della creazione. Per accedere e scaricare i log dei flussi dall'account di archiviazione, è possibile usare Archiviazione di Azure Explorer. Per altre informazioni, vedere Introduzione a Archiviazione Explorer.

I file di log del flusso del gruppo di sicurezza di rete salvati in un account di archiviazione seguono questo percorso:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Per informazioni sulla struttura di un log di flusso, vedere Formato di log dei log dei flussi del gruppo di sicurezza di rete.

Disabilitare un log di flusso

Per disabilitare temporaneamente un log di flusso senza eliminarlo, usare il comando az network watcher flow-log update . La disabilitazione di un log di flusso arresta la registrazione dei flussi per il gruppo di sicurezza di rete associato. Tuttavia, la risorsa del log del flusso rimane con tutte le relative impostazioni e associazioni. È possibile riabilitarlo in qualsiasi momento per riprendere la registrazione del flusso per il gruppo di sicurezza di rete configurato.

Nota

Se l'analisi del traffico è abilitata per un log di flusso, è necessario disabilitarla prima di poter disabilitare il log dei flussi.

# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'

Eliminare un log di flusso

Per eliminare definitivamente un log di flusso, usare il comando az network watcher flow-log delete . L'eliminazione di un log di flusso elimina tutte le relative impostazioni e associazioni. Per iniziare di nuovo la registrazione del flusso per lo stesso gruppo di sicurezza di rete, è necessario crearne uno nuovo.

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'

Nota

L'eliminazione di un log di flusso non comporta l'eliminazione dei dati di log del flusso dall'account di archiviazione. I dati dei log dei flussi archiviati nell'account di archiviazione seguono i criteri di conservazione configurati.

Passaggi successivi