Configurazione dei log di flusso del gruppo di sicurezza di rete con l'interfaccia della riga di comando di AzureConfiguring Network Security Group Flow logs with Azure CLI

I log di flusso del gruppo di sicurezza di rete sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network Security Group flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through a Network Security Group. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.These flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

Questo articolo usa l'interfaccia della riga di comando di nuova generazione per il modello di distribuzione di gestione delle risorse, ovvero l'interfaccia della riga di comando di Azure 2.0, disponibile per Windows, Mac e Linux.This article uses our next generation CLI for the resource management deployment model, Azure CLI 2.0, which is available for Windows, Mac and Linux.

Per eseguire i passaggi indicati in questo articolo è necessario installare l'interfaccia della riga di comando di Azure per Mac, Linux e Windows (interfaccia della riga di comando di Azure).To perform the steps in this article, you need to install the Azure Command-Line Interface for Mac, Linux, and Windows (Azure CLI).

Registrare il provider InsightsRegister Insights provider

Per il corretto funzionamento della registrazione dei flussi è necessario che il provider Microsoft.Insights sia registrato.In order for flow logging to work successfully, the Microsoft.Insights provider must be registered. Per verificare che il provider Microsoft.Insights sia registrato, eseguire lo script seguente.If you are not sure if the Microsoft.Insights provider is registered, run the following script.

az provider register --namespace Microsoft.Insights

Abilitare i log di flusso dei gruppi di sicurezza di reteEnable Network Security Group Flow logs

L'esempio seguente mostra il comando che consente di abilitare i log di flusso:The command to enable flow logs is shown in the following example:

az network watcher flow-log configure --resource-group resourceGroupName --enabled true --nsg nsgName --storage-account storageAccountName

L'account di archiviazione specificato non può avere regole di rete che limitano l'accesso alla rete solo ai servizi Microsoft o a specifiche reti virtuali.The storage account that you specify cannot have network rules configured for it that restrict network access to only Microsoft services or specific virtual networks. L'account di archiviazione può essere nella stessa sottoscrizione di Azure, o in una differente, rispetto al gruppo di sicurezza di rete per cui si abilita il log di flusso.The storage account can be in the same, or a different Azure subscription, than the NSG that you enable the flow log for. Se si usano sottoscrizioni diverse, devono essere entrambe associate allo stesso tenant di Azure Active Directory.If you use different subscriptions, they must both be associated to the same Azure Active Directory tenant. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.The account you use for each subscription must have the necessary permissions.

Disabilitare i log di flusso dei gruppi di sicurezza di reteDisable Network Security Group Flow logs

Usare l'esempio seguente per disabilitare i log di flusso:Use the following example to disable flow logs:

az network watcher flow-log configure --resource-group resourceGroupName --enabled false --nsg nsgName

Scaricare un log di flussoDownload a Flow log

Il percorso di archiviazione di un log di flusso viene definito al momento della creazione.The storage location of a flow log is defined at creation. Uno strumento utile per accedere ai log di flusso salvati in un account di archiviazione è Microsoft Azure Storage Explorer, disponibile qui: http://storageexplorer.com/A convenient tool to access these flow logs saved to a storage account is Microsoft Azure Storage Explorer, which can be downloaded here: http://storageexplorer.com/

Se viene specificato un account di archiviazione, i file di acquisizione di pacchetti vengono salvati in un account di archiviazione nel percorso seguente:If a storage account is specified, packet capture files are saved to a storage account at the following location:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Per informazioni sulla struttura del log, leggere la panoramica sul log di flusso del gruppo di sicurezza di reteFor information about the structure of the log visit Network Security Group Flow log Overview

Passaggi successiviNext Steps

Informazioni su come visualizzare i log di flusso con Power BILearn how to Visualize your NSG flow logs with PowerBI

Informazioni su come visualizzare i log di flusso del gruppi di sicurezza di rete con strumenti open sourceLearn how to Visualize your NSG flow logs with open source tools