Introduzione alla registrazione dei flussi per i gruppi di sicurezza di reteIntroduction to flow logging for network security groups

I log dei flussi del gruppo di sicurezza di rete (NSG) sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network security group (NSG) flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through an NSG. Sono scritti in formato JSON e mostrano i flussi in ingresso e in uscita per ogni regola, l'interfaccia di rete (NIC) a cui si applica il flusso, informazioni a 5 tuple relative al flusso (indirizzo IP di origine/destinazione, porta di origine/destinazione e protocollo) e se il traffico è consentito o meno.Flow logs are written in json format, and show outbound and inbound flows on a per rule basis, the network interface (NIC) the flow applies to, 5-tuple information about the flow (Source/destination IP, source/destination port, and protocol), and if the traffic was allowed or denied.

Panoramica dei log di flusso

Anche se i log dei flussi specificano come destinazione gruppi di sicurezza di rete, non vengono visualizzati come gli altri log.While flow logs target NSGs, they are not displayed the same as the other logs. I log dei flussi vengono archiviati solo in un account di archiviazione e hanno un percorso di registrazione come quello dell'esempio seguente:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Ai log dei flussi si applicano gli stessi criteri di conservazione degli altri log.The same retention policies seen for other logs apply to flow logs. Per i criteri di conservazione dei log è possibile impostare da 1 a 2147483647 giorni.You can set log retention policy from 1 day to 2147483647 days. Se non viene impostato alcun criterio di conservazione, i log vengono conservati per sempre.If a retention policy is not set, the logs are maintained forever.

File di logLog file

I log dei flussi includono le proprietà seguenti:Flow logs include the following properties:

  • time: ora in cui l'evento è stato registrato.time - Time when the event was logged
  • systemId: ID risorsa del gruppo di sicurezza di rete.systemId - Network Security Group resource Id.
  • category: categoria dell'evento.category - The category of the event. La categoria è sempre NetworkSecurityGroupFlowEventThe category is always NetworkSecurityGroupFlowEvent
  • resourceid: ID risorsa del gruppo di sicurezza di rete.resourceid - The resource Id of the NSG
  • operationName: sempre NetworkSecurityGroupFlowEvents.operationName - Always NetworkSecurityGroupFlowEvents
  • properties: raccolta di proprietà del flusso.properties - A collection of properties of the flow
    • Version: numero di versione dello schema di eventi del log dei flussi.Version - Version number of the Flow Log event schema
    • flows: raccolta di flussi.flows - A collection of flows. Questa proprietà ha più voci per regole diverse.This property has multiple entries for different rules
      • rule: regola per cui vengono elencati i flussi.rule - Rule for which the flows are listed
        • flows: raccolta di flussi.flows - a collection of flows
          • mac: indirizzo MAC della scheda di interfaccia di rete per la VM in cui è stato raccolto il flusso.mac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples: stringa che contiene più proprietà per la tupla del flusso nel formato con valori separati da virgole.flowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp: questo valore è il timestamp di quando si è verificato il flusso in formato UNIX EPOCH.Time Stamp - This value is the time stamp of when the flow occurred in UNIX EPOCH format
            • Source IP: IP di origine.Source IP - The source IP
            • Destination IP: IP di destinazione.Destination IP - The destination IP
            • Source Port: porta di origine.Source Port - The source port
            • Destination Port: porta di destinazione.Destination Port - The destination Port
            • Protocol: protocollo del flusso.Protocol - The protocol of the flow. I valori validi sono T per TCP e U per UDP.Valid values are T for TCP and U for UDP
            • Traffic Flow: direzione del flusso del traffico.Traffic Flow - The direction of the traffic flow. I valori validi sono I per traffico in ingresso e O per il traffico in uscita.Valid values are I for inbound and O for outbound.
            • Traffic: indica se il traffico è stato consentito o negato.Traffic - Whether traffic was allowed or denied. I valori validi sono A per il traffico consentito e D per il traffico negato.Valid values are A for allowed and D for denied.

Di seguito è riportato un testo di esempio di log dei flussi.The text that follows is an example of a flow log. Come si può osservare, più record seguono l'elenco di proprietà descritto nella sezione precedente.As you can see, there are multiple records that follow the property list described in the preceding section.

Nota

I valori della proprietà *flowTuples sono un elenco delimitato da virgole.Values in the *flowTuples property are a comma-separated list.

{
    "records":
    [

        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        ,
        ...

Passaggi successiviNext steps