Esercitazione: Registrare il traffico di rete da e verso una macchina virtuale tramite il portale di AzureTutorial: Log network traffic to and from a virtual machine using the Azure portal

Un gruppo di sicurezza di rete (NSG) consente di filtrare il traffico in ingresso verso e quello in uscita da una macchina virtuale.A network security group (NSG) enables you to filter inbound traffic to, and outbound traffic from, a virtual machine (VM). È possibile registrare il traffico di rete che scorre attraverso una NSG con la funzionalità di log del flusso di NSG di Network Watcher.You can log network traffic that flows through an NSG with Network Watcher's NSG flow log capability. In questa esercitazione si apprenderà come:In this tutorial, you learn how to:

  • Creare una macchina virtuale con un gruppo di sicurezza di reteCreate a VM with a network security group
  • Abilitare Network Watcher e registrare il provider Microsoft.InsightsEnable Network Watcher and register the Microsoft.Insights provider
  • Abilitare un log del flusso di traffico per un NSG usando la funzionalità di log del flusso di NSG di Network WatcherEnable a traffic flow log for an NSG, using Network Watcher's NSG flow log capability
  • Scaricare i dati registratiDownload logged data
  • Visualizzare i dati registratiView logged data

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

Creare una macchina virtualeCreate a VM

  1. Selezionare + Crea una risorsa visualizzato nell'angolo in alto a sinistra del portale di Azure.Select + Create a resource found on the upper, left corner of the Azure portal.
  2. Selezionare Calcolo e quindi Windows Server 2016 Datacenter o Ubuntu Server 17.10 VM.Select Compute, and then select Windows Server 2016 Datacenter or Ubuntu Server 17.10 VM.
  3. Immettere o selezionare le informazioni seguenti, accettare le impostazioni predefinite rimanenti e quindi scegliere OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    ImpostazioneSetting ValoreValue
    NOMEName myVmmyVm
    Nome utenteUser name Immettere un nome utente a scelta.Enter a user name of your choosing.
    PasswordPassword Immettere una password a scelta.Enter a password of your choosing. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti.The password must be at least 12 characters long and meet the defined complexity requirements.
    SottoscrizioneSubscription Selezionare la propria sottoscrizione.Select your subscription.
    Gruppo di risorseResource group Selezionare Crea nuovo e immettere myResourceGroup.Select Create new and enter myResourceGroup.
    LocalitàLocation Selezionare Stati Uniti orientali.Select East US
  4. Selezionare una dimensione per la VM e quindi selezionare Seleziona.Select a size for the VM and then select Select.

  5. In Impostazioni accettare tutte le impostazioni predefinite e scegliere OK.Under Settings, accept all the defaults, and select OK.
  6. In Crea in Riepilogo selezionare Crea per avviare la distribuzione della VM.Under Create of the Summary, select Create to start VM deployment. La distribuzione della VM richiede alcuni minuti.The VM takes a few minutes to deploy. Attendere che la macchina virtuale completi la distribuzione prima di continuare con i passaggi rimanenti.Wait for the VM to finish deploying before continuing with the remaining steps.

La creazione della VM richiede alcuni minuti.The VM takes a few minutes to create. Non proseguire con i passaggi rimanenti finché non è completata la creazione della macchina virtuale.Don't continue with remaining steps until the VM has finished creating. Mentre il portale crea la macchina virtuale, crea anche un gruppo di sicurezza di rete denominato myVm-nsg, che associa all'interfaccia di rete per la macchina virtuale.While the portal creates the VM, it also creates a network security group with the name myVm-nsg, and associates it to the network interface for the VM.

Abilitare Network WatcherEnable Network Watcher

Se si dispone già di Network Watcher abilitato nell'area Stati Uniti orientali, passare al paragrafo Registrare il provider Insights.If you already have a network watcher enabled in the East US region, skip to Register Insights provider.

  1. Nel portale selezionare Tutti i servizi.In the portal, select All services. Nella casella del filtro immettere Network Watcher.In the Filter box, enter Network Watcher. Selezionare Network Watcher quando viene visualizzato tra i risultati.When Network Watcher appears in the results, select it.
  2. Selezionare Area per espandere e quindi selezionare ... a destra di Stati Uniti orientali, come mostrato nell'immagine seguente:Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Abilitare Network Watcher

  3. Selezionare Abilita Network Watcher.Select Enable Network Watcher.

Registrare il provider InsightsRegister Insights provider

La registrazione del flusso di NSG richiede il provider Microsoft.Insights.NSG flow logging requires the Microsoft.Insights provider. Per registrare il provider completare i passaggi seguenti:To register the provider, complete the following steps:

  1. Nell'angolo in alto a sinistra del portale selezionare Tutti i servizi.In the top, left corner of portal, select All services. Nella casella di filtro immettere Sottoscrizioni.In the Filter box, type Subscriptions. Selezionare Sottoscrizioni quando viene visualizzato nei risultati della ricerca.When Subscriptions appear in the search results, select it.
  2. Dall'elenco selezionare la sottoscrizione per cui si desidera abilitare il provider.From the list of subscriptions, select the subscription you want to enable the provider for.
  3. Selezionare Provider di risorse in IMPOSTAZIONI.Select Resource providers, under SETTINGS.
  4. Verificare che la colonna STATO per il provider microsoft.insights indichi Registrazione completata, come mostrato nell'immagine seguente.Confirm that the STATUS for the microsoft.insights provider is Registered, as shown in the picture that follows. Se lo stato è Non registrato, selezionare Registra a destra del provider.If the status is Unregistered, then select Register, to the right of the provider.

    Registrare il provider

Abilitare il log del flusso di NSGEnable NSG flow log

  1. I dati del log del flusso di NSG vengono scritti in un account di archiviazione di Azure.NSG flow log data is written to an Azure Storage account. Per creare un account di archiviazione di Azure, selezionare + Crea una risorsa nell'angolo in alto a sinistra del portale.To create an Azure Storage account, select + Create a resource at the top, left corner of the portal.
  2. Selezionare Storage (Archiviazione) e quindi Storage account - blob, file, table, queue (Account di archiviazione: BLOB, File, Tabelle, Code).Select Storage, then select Storage account - blob, file, table, queue.
  3. Immettere o selezionare le informazioni seguenti, accettare le impostazioni predefinite rimanenti e quindi selezionare Crea.Enter, or select the following information, accept the remaining defaults, and then select Create.

    ImpostazioneSetting ValoreValue
    NOMEName Può essere di lunghezza compresa tra 3 e 24 caratteri, può contenere solo lettere minuscole e numeri e deve essere univoco in tutti gli account di archiviazione di Azure.3-24 characters in length, can only contain lowercase letters and numbers, and must be unique across all Azure Storage accounts.
    LocalitàLocation Selezionare Stati Uniti orientali.Select East US
    Gruppo di risorseResource group Selezionare Usa esistente e quindi myResourceGroupSelect Use existing, and then select myResourceGroup

    La creazione dell'account di archiviazione può richiedere all'incirca un minuto.The storage account may take around minute to create. Non proseguire con i passaggi rimanenti finché non è stato creato l'account di archiviazione.Don't continue with remaining steps until the storage account is created. Se si usa un account di archiviazione esistente invece di crearne uno, assicurarsi di selezionarne uno con l'impostazione predefinita Tutte le reti selezionata in Firewall e reti virtuali nelle IMPOSTAZIONI dell'account di archiviazione.If you use an existing storage account instead of creating one, ensure you select a storage account that has All networks (default) selected for Firewalls and virtual networks, under the SETTINGS for the storage account.

  4. Nell'angolo in alto a sinistra del portale selezionare Tutti i servizi.In the top, left corner of portal, select All services. Nella casella del filtro digitare Network Watcher.In the Filter box, type Network Watcher. Selezionare Network Watcher quando viene visualizzato tra i risultati della ricerca.When Network Watcher appears in the search results, select it.
  5. In LOGS (LOG) selezionare Log del flusso del NSG, come illustrato nell'immagine seguente:Under LOGS, select NSG flow logs, as shown in the following picture:

    Gruppi di sicurezza di rete

  6. Dall'elenco di NSG selezionare l'NSG denominato myVm-nsg.From the list of NSGs, select the NSG named myVm-nsg.

  7. In Impostazioni dei log dei flussi selezionare On.Under Flow logs settings, select On.
  8. Selezionare l'account di archiviazione creato al passaggio 3.Select the storage account that you created in step 3.
  9. Impostare Conservazione (giorni) su 5 e poi selezionare Salva.Set Retention (days) to 5, and then select Save.

Scaricare il log del flussoDownload flow log

  1. Da Network Watcher nel portale selezionare Log del flusso del NSG in LOGS.From Network Watcher, in the portal, select NSG flow logs under LOGS.
  2. Selezionare È possibile scaricare i log dei flussi dagli account di archiviazione configurati, come mostrato nell'immagine seguente:Select You can download flow logs from configured storage accounts, as shown in the following picture:

    Scaricare i log di flusso

  3. Selezionare l'account di archiviazione configurato al passaggio 2 di Abilitare il log del flusso di NSG.Select the storage account that you configured in step 2 of Enable NSG flow log.

  4. Selezionare Contenitori in SERVIZIO BLOB, quindi selezionare il contenitore insights-logs-networksecuritygroupflowevent, come mostrato nell'immagine seguente:Select Containers, under BLOB SERVICE, and then select the insights-logs-networksecuritygroupflowevent container, as shown in the following picture:

    Selezionare un contenitore

  5. Esplorare la gerarchia di cartelle e proseguire finché non si arriva a un file PT1H.json, come mostrato nell'immagine seguente:Navigate the folder hierarchy and then until you get to a PT1H.json file as shown in the following picture:

    File di log

    I file di log vengono scritti in una gerarchia di cartelle che segue la convenzione di denominazione seguente: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.jsonLog files are written to a folder hierarchy that follows the following name convention: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Selezionare ... a destra del file PT1H.json e pois selezionare Download (Scarica).Select ... to the right of the PT1H.json file and select Download.

Visualizzare il log del flussoView flow log

Il codice json seguente è un esempio di ciò che verrà visualizzato nel file PT1H.json per ogni flusso per cui i dati vengono registrati:The following json is an example of what you'll see in the PT1H.json file for each flow that data is logged for:

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [{
            "rule": "UserRule_default-allow-rdp",
            "flows": [{
                "mac": "000D3A170C69",
                "flowTuples": ["1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"]
            }]
        }]
    }
}

Il valore per mac negli output precedenti è l'indirizzo MAC dell'interfaccia di rete che è stato creato quando è stata creata la macchina virtuale.The value for mac in the previous output is the MAC address of the network interface that was created when the VM was created. Le informazioni separate da virgola per flowTuples sono quelle riportate di seguito:The comma-separated information for flowTuples, is as follows:

Dati di esempioExample data Cosa rappresentano i datiWhat data represents SpiegazioneExplanation
15251867451525186745 TimestampTime stamp Il timestamp di quando si è verificato il flusso in formato UNIX EPOCH.The time stamp of when the flow occurred, in UNIX EPOCH format. Nell'esempio precedente, la data viene convertita in 1° maggio 2018, ore 14:59:05 GMT.In the previous example, the date converts to May 1, 2018 at 2:59:05 PM GMT.
192.168.1.4192.168.1.4 Indirizzo IP di origineSource IP address L'indirizzo IP di origine del flusso.The source IP address that the flow originated from.
10.0.0.410.0.0.4 Indirizzo IP di destinazioneDestination IP address L'indirizzo IP di destinazione del flusso.The destination IP address that the flow was destined to. 10.0.0.4 è l'indirizzo IP privato della macchina virtuale creata in Creare una macchina virtuale.10.0.0.4 is the private IP address of the VM you created in Create a VM.
5596055960 Porta di origineSource port La porta di origine del flusso.The source port that the flow originated from.
33893389 Porta di destinazioneDestination port La porta di destinazione del flusso.The destination port that the flow was destined to. Poiché il traffico è destinato alla porta 3389, il flusso è stato elaborato dalla regola denominata UserRule_default-allow-rdp nel file di log.Since the traffic was destined to port 3389, the rule named UserRule_default-allow-rdp, in the log file processed the flow.
TT ProtocolloProtocol Indica se il protocollo del flusso era TCP (T) o UDP (U).Whether the protocol of the flow was TCP (T) or UDP (U).
II DirezioneDirection Indica se il traffico era in ingresso (I) o in uscita (O).Whether the traffic was inbound (I) or outbound (O).
Una A AzioneAction Indica se il traffico è stato consentito (A) o negato (D).Whether the traffic was allowed (A) or denied (D).

Passaggi successiviNext steps

In questa esercitazione si è appreso come abilitare la registrazione del flusso per un NSG.In this tutorial, you learned how to enable NSG flow logging for an NSG. Si è anche imparato a scaricare e visualizzare i dati registrati in un file.You also learned how to download and view data logged in a file. I dati non elaborati nel file json possono essere difficili da interpretare.The raw data in the json file can be difficult to interpret. Per visualizzare i dati, è possibile usare l'analisi del traffico Network Watcher, Microsoft PowerBIe altri strumenti.To visualize the data, you can use Network Watcher traffic analytics, Microsoft PowerBI, and other tools.