Introduzione alla registrazione dei flussi per i gruppi di sicurezza di reteIntroduction to flow logging for network security groups

I log dei flussi del gruppo di sicurezza di rete (NSG) sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network security group (NSG) flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through an NSG. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita per ogni regola, l'interfaccia di rete (NIC) a cui si applica il flusso, informazioni a 5 tuple relative al flusso (indirizzo IP di origine/destinazione, porta di origine/destinazione e protocollo), se il traffico è consentito o meno e informazioni sulla velocità effettiva (byte e pacchetti) nella versione 2.Flow logs are written in JSON format, and show outbound and inbound flows on a per rule basis, the network interface (NIC) the flow applies to, 5-tuple information about the flow (Source/destination IP, source/destination port, and protocol), if the traffic was allowed or denied, and in Version 2, throughput information (Bytes and Packets).

Panoramica dei log di flusso

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log.While flow logs target NSGs, they are not displayed the same as the other logs. I log dei flussi vengono archiviati solo in un account di archiviazione e hanno un percorso di registrazione come quello dell'esempio seguente:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log.The same retention policies seen for other logs apply to flow logs. Per i criteri di conservazione dei log è possibile impostare da 1 a 2147483647 giorni.You can set log retention policy from 1 day to 2147483647 days. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.If a retention policy is not set, the logs are maintained forever.

È anche possibile analizzare i log dei flussi usando l'analisi del traffico.You can also analyze flow logs using traffic analytics.

File di logLog file

I log dei flussi includono le proprietà seguenti:Flow logs include the following properties:

  • time: ora in cui l'evento è stato registrato.time - Time when the event was logged
  • systemId: ID risorsa del gruppo di sicurezza di rete.systemId - Network Security Group resource Id.
  • category: categoria dell'evento.category - The category of the event. La categoria è sempre NetworkSecurityGroupFlowEventThe category is always NetworkSecurityGroupFlowEvent
  • resourceid: ID risorsa del gruppo di sicurezza di rete.resourceid - The resource Id of the NSG
  • operationName: sempre NetworkSecurityGroupFlowEvents.operationName - Always NetworkSecurityGroupFlowEvents
  • properties: raccolta di proprietà del flusso.properties - A collection of properties of the flow
    • Version: numero di versione dello schema di eventi del log dei flussi.Version - Version number of the Flow Log event schema
    • flows: raccolta di flussi.flows - A collection of flows. Questa proprietà ha più voci per regole diverse.This property has multiple entries for different rules
      • rule: regola per cui vengono elencati i flussi.rule - Rule for which the flows are listed
        • flows: raccolta di flussi.flows - a collection of flows
          • mac: indirizzo MAC della scheda di interfaccia di rete per la VM in cui è stato raccolto il flusso.mac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: stringa che contiene più proprietà per la tupla del flusso nel formato con valori separati da virgole.flowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp: questo valore è il timestamp di quando si è verificato il flusso in formato UNIX EPOCH.Time Stamp - This value is the time stamp of when the flow occurred in UNIX EPOCH format
            • Source IP: IP di origine.Source IP - The source IP
            • Destination IP: IP di destinazione.Destination IP - The destination IP
            • Source Port: porta di origine.Source Port - The source port
            • Destination Port: porta di destinazione.Destination Port - The destination Port
            • Protocol: protocollo del flusso.Protocol - The protocol of the flow. I valori validi sono T per TCP e U per UDP.Valid values are T for TCP and U for UDP
            • Traffic Flow: direzione del flusso del traffico.Traffic Flow - The direction of the traffic flow. I valori validi sono I per traffico in ingresso e O per il traffico in uscita.Valid values are I for inbound and O for outbound.
            • Traffic Decision: indica se il traffico è stato consentito o negato.Traffic Decision - Whether traffic was allowed or denied. I valori validi sono A per il traffico consentito e D per il traffico negato.Valid values are A for allowed and D for denied.
            • Flow State - Version 2 Only: acquisisce lo stato del flusso.Flow State - Version 2 Only - Captures the state of the flow. Gli stati possibili sono B: indica la creazione di un flusso.Possible states are B: Begin, when a flow is created. Non vengono fornite statistiche.Statistics aren't provided. C: indica un flusso in corso.C: Continuing for an ongoing flow. Vengono fornite statistiche a intervalli di 5 minuti.Statistics are provided at 5-minute intervals. E: indica un flusso terminato.E: End, when a flow is terminated. Vengono fornite statistiche.Statistics are provided.
            • Packets - Source to destination - Version 2 Only Numero totale di pacchetti TCP o UDP inviati dall'origine alla destinazione dall'ultimo aggiornamento.Packets - Source to destination - Version 2 Only The total number of TCP or UDP packets sent from source to destination since last update.
            • Bytes sent - Source to destination - Version 2 Only Numero totale di byte dei pacchetti TCP o UDP inviati dall'origine alla destinazione dall'ultimo aggiornamento.Bytes sent - Source to destination - Version 2 Only The total number of TCP or UDP packet bytes sent from source to destination since last update. I byte dei pacchetti includono l'intestazione del pacchetto e il payload.Packet bytes include the packet header and payload.
            • Packets - Destination to source - Version 2 Only Numero totale di pacchetti TCP o UDP inviati dalla destinazione all'origine dall'ultimo aggiornamento.Packets - Destination to source - Version 2 Only The total number of TCP or UDP packets sent from destination to source since last update.
            • Bytes sent - Destination to source - Version 2 Only Numero totale di byte dei pacchetti TCP e UDP inviati dalla destinazione all'origine dall'ultimo aggiornamento.Bytes sent - Destination to source - Version 2 Only The total number of TCP and UDP packet bytes sent from destination to source since last update. I byte dei pacchetti includono payload e intestazione del pacchetto.Packet bytes include packet header and payload.

Log di flusso del gruppo di sicurezza di rete versione 2NSG flow logs version 2

Nota

I log di flusso versione 2 sono disponibili solo nell'area Stati Uniti centro-occidentali.Flow Logs Version 2 are only available in the West Central US Region. La configurazione è disponibile tramite il portale di Azure e l'API REST.Configuration is available through the Azure Portal and REST API. Se si abilitano i log della versione 2 in un'area non supportata, nel proprio account di archiviazione verranno restituiti i log della versione 1.Enabling Version 2 logs in an unsupported region will result in Version 1 logs outputted to your storage account.

La versione 2 dei log introduce lo stato del flusso.Version 2 of the logs introduces flow state. È possibile configurare la versione del log di flusso ricevuta.You can configure which version of flow logs you receive. Per informazioni su come abilitare i log dei flussi, vedere l'argomento relativo all'abilitazione della registrazione dei flussi dei gruppi di sicurezza di rete.To learn how to enable flow logs, see Enabling NSG flow logging.

Lo stato del flusso B viene registrato quando viene avviato un flusso.Flow state B is recorded when a flow is initiated. Gli stati del flusso C ed E contrassegnano rispettivamente la continuazione e la fine di un flusso.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Gli stati C ed E contengono informazioni sulla larghezza di banda del traffico.Both C and E states contain traffic bandwidth information.

Per gli stati C ed E del flusso, i conteggi di byte e pacchetti sono conteggi aggregati dal momento della registrazione della tupla del flusso precedente.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Facendo riferimento alla conversazione di esempio precedente, il numero totale di pacchetti trasferiti è 1021+52+8005+47=9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. Il numero totale di byte trasferiti è 588096+29952+4610880+27072=5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Esempio: tuple dei flussi da una conversazione TCP tra 185.170.185.105:35370 e 10.2.0.4:23:Example: Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Per gli stati C ed E del flusso, i conteggi di byte e pacchetti sono conteggi aggregati dal momento della registrazione della tupla del flusso precedente.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Facendo riferimento alla conversazione di esempio precedente, il numero totale di pacchetti trasferiti è 1021+52+8005+47=9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. Il numero totale di byte trasferiti è 588096+29952+4610880+27072=5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Di seguito è riportato un testo di esempio di log dei flussi.The text that follows is an example of a flow log. Come si può osservare, più record seguono l'elenco di proprietà descritto nella sezione precedente.As you can see, there are multiple records that follow the property list described in the preceding section.

Record di log di esempioSample log records

Di seguito è riportato un testo di esempio di log dei flussi.The text that follows is an example of a flow log. Come si può osservare, più record seguono l'elenco di proprietà descritto nella sezione precedente.As you can see, there are multiple records that follow the property list described in the preceding section.

Nota

I valori della proprietà *flowTuples sono un elenco delimitato da virgole.Values in the *flowTuples property are a comma-separated list.

Esempio di formato di log di flusso del gruppo di sicurezza di rete versione 1Version 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [

        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

Esempio di formato di log di flusso del gruppo di sicurezza di rete versione 2Version 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        ...

Passaggi successiviNext steps