Introduzione alla registrazione dei flussi per i gruppi di sicurezza di reteIntroduction to flow logging for Network Security Groups

I log di flusso del gruppo di sicurezza di rete sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network Security Group flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through a Network Security Group. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita in base a regole, scheda di rete a cui si applica il flusso, informazioni su 5 tuple relative al flusso (IP di origine/destinazione, porta di origine/destinazione, protocollo), e se il traffico è consentito o meno.These flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

Panoramica dei log dei flussi

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log.While flow logs target Network Security Groups, they are not displayed the same as the other logs. I log dei flussi vengono archiviati solo in un account di archiviazione e hanno un percorso di registrazione come quello dell'esempio seguente:Flow logs are stored only within a storage account and following the logging path as shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId%3D/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.network/networksecuritygroups/{nsgName}/{year}/{month}/{day}/PT1H.json

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log.The same retention policies as seen on other logs apply to flow logs. Il criterio di conservazione dei log può essere impostato su un valore compreso tra 1 giorno e 365 giorni.Logs have a retention policy that can be set from 1 day to 365 days. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.If a retention policy is not set, the logs are maintained forever.

File di logLog file

I log dei flussi hanno più proprietà.Flow logs have multiple properties. L'elenco seguente indica le proprietà restituite nel log del flusso del gruppo di sicurezza di rete:The following list is a listing of the properties that are returned within the NSG flow log:

  • time: ora in cui l'evento è stato registrato.time - Time when the event was logged
  • systemId: ID risorsa del gruppo di sicurezza di rete.systemId - Network Security Group resource Id.
  • category: categoria dell'evento, che è sempre NetworkSecurityGroupFlowEvent.category - The category of the event, this is always be NetworkSecurityGroupFlowEvent
  • resourceid: ID risorsa del gruppo di sicurezza di rete.resourceid - The resource Id of the NSG
  • operationName: sempre NetworkSecurityGroupFlowEvents.operationName - Always NetworkSecurityGroupFlowEvents
  • properties: raccolta di proprietà del flusso.properties - A collection of properties of the flow
    • Version: numero di versione dello schema di eventi del log dei flussi.Version - Version number of the Flow Log event schema
    • flows: raccolta di flussi.flows - A collection of flows. Questa proprietà ha più voci per regole diverse.This property has multiple entries for different rules
      • rule: regola per cui vengono elencati i flussi.rule - Rule for which the flows are listed
        • flows: raccolta di flussi.flows - a collection of flows
          • mac: indirizzo MAC della scheda di interfaccia di rete per la VM in cui è stato raccolto il flusso.mac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: stringa che contiene più proprietà per la tupla del flusso nel formato con valori separati da virgole.flowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp: questo valore è il timestamp di quando si è verificato il flusso in formato UNIX EPOCH.Time Stamp - This value is the time stamp of when the flow occurred in UNIX EPOCH format
            • Source IP: IP di origine.Source IP - The source IP
            • Destination IP: IP di destinazione.Destination IP - The destination IP
            • Source Port: porta di origine.Source Port - The source port
            • Destination Port: porta di destinazione.Destination Port - The destination Port
            • Protocol: protocollo del flusso.Protocol - The protocol of the flow. I valori validi sono T per TCP e U per UDP.Valid values are T for TCP and U for UDP
            • Traffic Flow: direzione del flusso del traffico.Traffic Flow - The direction of the traffic flow. I valori validi sono I per traffico in ingresso e O per il traffico in uscita.Valid values are I for inbound and O for outbound.
            • Traffic: indica se il traffico è stato consentito o negato.Traffic - Whether traffic was allowed or denied. I valori validi sono A per il traffico consentito e D per il traffico negato.Valid values are A for allowed and D for denied.

Di seguito è riportato un esempio di log dei flussi.The following is an example of a Flow log. Come si può osservare, più record seguono l'elenco di proprietà descritto nella sezione precedente.As you can see there are multiple records that follow the property list described in the preceding section.

Nota

I valori della proprietà flowTuples sono un elenco delimitato da virgole.Values in the flowTuples property are a comma-separated list.

{
    "records": 
    [

        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

Passaggi successiviNext steps

Per informazioni su come abilitare i log dei flussi, vedere Enabling Flow logging (Abilitazione della registrazione dei flussi).Learn how to enable Flow logs by visiting Enabling Flow logging.

Per informazioni sulla registrazione dei Gruppi di sicurezza di rete, vedere Analisi dei log per i gruppi di sicurezza di rete.Learn about NSG logging by visiting Log analytics for network security groups (NSGs).

Per sapere se il traffico è consentito o negato in una VM, vedere Verify traffic with IP flow verify (Controllare il traffico con la verifica del flusso IP)Find out if traffic is allowed or denied on a VM by visiting Verify traffic with IP flow verify