Visualizzare i log dei flussi dei gruppi di sicurezza di rete con Power BIVisualizing Network Security Group flow logs with Power BI

I log dei flussi dei gruppi di sicurezza di rete permettono di visualizzare le informazioni sul traffico IP in ingresso e in uscita nei gruppi di sicurezza di rete.Network Security Group flow logs allow you to view information about ingress and egress IP traffic on Network Security Groups. Questi log mostrano i flussi in ingresso e in uscita in base a regole, la scheda di rete a cui si applica il flusso, informazioni a 5 tuple sul flusso, ad esempio l'indirizzo IP di origine/destinazione, la porta di origine/destinazione o il protocollo, e se il traffico è stato consentito o negato.These flow logs show outbound and inbound flows on a per rule basis, the NIC the flow applies to, 5-tuple information about the flow (Source/Destination IP, Source/Destination Port, Protocol), and if the traffic was allowed or denied.

Cercando manualmente nei file di log può essere difficile ottenere informazioni dettagliate sui dati di log dei flussi.It can be difficult to gain insights into flow logging data by manually searching the log files. Questo articolo offre una soluzione per visualizzare i log dei flussi più recenti e ottenere informazioni sul traffico di rete.In this article, we provide a solution to visualize your most recent flow logs and learn about traffic on your network.

ScenarioScenario

Nello scenario seguente Power BI Desktop viene connesso all'account di archiviazione configurato come sink per i dati di registrazione dei flussi dei gruppi di sicurezza di rete.In the following scenario, we connect Power BI desktop to the storage account we have configured as the sink for our NSG Flow Logging data. Dopo la connessione all'account di archiviazione, Power BI scarica e analizza i log per fornire una rappresentazione visiva del traffico registrato dai gruppi di sicurezza di rete.After we connect to our storage account, Power BI downloads and parses the logs to provide a visual representation of the traffic that is logged by Network Security groups.

Usando gli oggetti visivi inclusi nel modello è possibile esaminare quanto segue:Using the visuals supplied in the template you can examine:

  • Talker principaliTop Talkers
  • Dati di flusso della serie temporale in base alla direzione e alla regola decisaTime Series Flow Data by direction and rule decision
  • Flussi in base all'indirizzo MAC dell'interfaccia di reteFlows by Network Interface MAC address
  • Flussi in base al gruppo di sicurezza di rete e alla regolaFlows by NSG and Rule
  • Flussi in base alla porta di destinazioneFlows by Destination Port

Il modello incluso è modificabile. È quindi possibile aggiungervi nuovi dati e oggetti visivi o modificare le query in base alle esigenze.The template provided is editable so you can modify it to add new data, visuals, or edit queries to suit your needs.

ConfigurazioneSetup

Prima di iniziare, è necessario abilitare la registrazione dei flussi dei gruppi di sicurezza di rete in uno o più gruppi di sicurezza di rete nell'account usato.Before you begin, you must have Network Security Group Flow Logging enabled on one or many Network Security Groups in your account. Per istruzioni in proposito, vedere Introduzione alla registrazione dei flussi per i gruppi di sicurezza di rete.For instructions on enabling Network Security flow logs, refer to the following article: Introduction to flow logging for Network Security Groups.

È necessario che il client di Power BI Desktop sia installato nel computer e che lo spazio disponibile nel computer sia sufficiente per scaricare e caricare i dati di log presenti nell'account di archiviazione.You must also have the Power BI Desktop client installed on your machine, and enough free space on your machine to download and load the log data that exists in your storage account.

Diagramma di Visio

PassiSteps

  1. Scaricare e aprire il modello di log dei flussi Power BI di Network Watcher nell'applicazione Power BI Desktop.Download and open the following Power BI template in the Power BI Desktop Application Network Watcher PowerBI flow logs template
  2. Immettere i parametri di query obbligatori.Enter the required Query parameters

    1. StorageAccountName: specifica il nome dell'account di archiviazione contenente i log dei flussi dei gruppi di sicurezza di rete da caricare e visualizzare.StorageAccountName – Specifies to the name of the storage account containing the NSG flow logs that you would like to load and visualize.
    2. NumberOfLogFiles: specifica il numero di file di log da scaricare e visualizzare in Power BI.NumberOfLogFiles – Specifies the number of log files that you would like to download and visualize in Power BI. Ad esempio, se si specifica 50, vengono scaricati e visualizzati i 50 file di log più recenti.For example, if 50 is specified, the 50 latest log files. Se vengono abilitati e configurati due gruppi di sicurezza di rete per l'invio di log dei flussi dei gruppi di sicurezza di rete a questo account, è possibile visualizzare i log corrispondenti alle ultime 25 ore.Ff we have 2 NSGs enabled and configured to send NSG flow logs to this account, then the past 25 hours of logs can be viewed.

      schermata principale di Power BI

  3. Immettere la chiave di accesso per l'account di archiviazione.Enter the Access Key for your storage account. Per trovare le chiavi di accesso valide, accedere all'account di archiviazione nel portale di Azure e selezionare Chiavi di accesso dal menu Impostazioni.You can find valid access keys by navigating to your storage account in the Azure portal and selecting Access Keys from the Settings menu. Fare clic su Connetti e quindi applicare le modifiche.Click Connect then apply changes.

    chiavi di accesso

    chiave di accesso 2

  4. I log vengono scaricati e analizzati ed è quindi possibile usare gli oggetti visivi creati in precedenza.Your logs are download and parsed and you can now utilize the pre-created visuals.

Informazioni sugli oggetti visiviUnderstanding the visuals

Il modello include un set di oggetti visivi che aiutano a comprendere i dati dei registri dei flussi dei gruppi di sicurezza di rete.Provided in the template are a set of visuals that help make sense of the NSG Flow Log data. Le immagini seguenti mostrano un esempio dell'aspetto del dashboard popolato con i dati.The following images show a sample of what the dashboard looks like when populated with data. Di seguito vengono esaminati in dettaglio i singoli oggetti visiviBelow we examine each visual in greater detail

Power BI

L'oggetto visivo Top Talkers (Talker principali) mostra gli indirizzi IP che hanno avviato il maggior numero di connessioni nel periodo specificato.The Top Talkers visual shows the IPs that have initiated the most connections over the period specified. La dimensione delle caselle corrisponde al relativo numero di connessioni.The size of the boxes corresponds to the relative number of connections.

Top Talkers

I grafici di serie temporali riportati di seguito mostrano il numero dei flussi nel periodo specificato.The following time series graphs show the number of flows over the period. Il grafico superiore è segmentato in base alla direzione del flusso, mentre quello inferiore è segmentato in base alla decisione presa, ovvero consenso o negazione.The upper graph is segmented by the flow direction, and the lower is segmented by the decision made (allow or deny). Con questo oggetto visivo è possibile esaminare le tendenze relative al traffico nel tempo e identificare eventuali cali o picchi anomali nel traffico o nella sua segmentazione.With this visual, you can examine your traffic trends over time, and spot any abnormal spikes or decline in traffic or traffic segmentation.

flussi nel periodo

I grafici seguenti mostrano i flussi per ogni interfaccia di rete. Il grafico superiore è segmentato in base alla direzione dei flussi, mentre quello inferiore è segmentato in base alla decisione presa.The following graphs show the flows per Network interface, with the upper segmented by flow direction and the lower segmented by decision made. Questi dati permettono di ottenere informazioni dettagliate sulla macchina virtuale che ha comunicato di più rispetto alle altre e sul traffico consentito o negato verso una determinata macchina virtuale.With this information, you can gain insights into which of your VMs communicated the most relative to others, and if traffic to a specific VM is being allowed or denied.

flussi per scheda di rete

Il grafico ad anello riportato di seguito mostra una suddivisione dei flussi in base alla porta di destinazione.The following donut wheel chart shows a breakdown of Flows by Destination Port. Con queste informazioni è possibile visualizzare le porte di destinazione più usate nel periodo specificato.With this information, you can view the most commonly used destination ports used within the specified period.

grafico ad anello

Il grafico a barre riportato di seguito mostra i flussi in base ai gruppi di sicurezza di rete e alle regole.The following bar chart shows the Flow by NSG and Rule. Con queste informazioni è possibile visualizzare i gruppi di sicurezza di rete responsabili della maggior parte del traffico e la suddivisione del traffico in un gruppo di sicurezza di rete in base alle regole.With this information, you can see the NSGs responsible for the most traffic, and the breakdown of traffic on an NSG by rule.

grafico a barre

I grafici informativi riportati di seguito mostrano i gruppi di sicurezza di rete presenti nei log, il numero di flussi acquisiti nel periodo specificato e la data del log acquisito più di recente.The following informational charts display information about the NSGs present in the logs, the number of Flows captured over the period, and the date of the earliest log captured. Queste informazioni permettono di capire quali gruppi di sicurezza di rete vengono registrati e l'intervallo di date dei flussi.This information gives you an idea of what NSGs are being logged and the date range of flows.

grafico informativo 1

grafico informativo 2

Questo modello include i filtri dei dati indicati di seguito, che permettono di visualizzare solo i dati rilevanti.This template includes the following slicers to allow you to view only the data you are most interested in. È possibile applicare filtri ai gruppi di risorse, ai gruppi di sicurezza di rete e alle regole.You can filter on your resource groups, NSGs, and rules. È anche possibile applicare filtri alle informazioni a 5 tuple, alle decisioni e all'orario di scrittura del log.You can also filter on 5-tuple information, decision, and the time the log was written.

filtri dei dati

ConclusioneConclusion

Questo scenario ha permesso di dimostrare come l'uso dei registri dei flussi dei gruppi di sicurezza di rete inclusi in Network Watcher e Power BI permetta di visualizzare e comprendere il traffico.We showed in this scenario that by using Network Security Group Flow logs provided by Network Watcher and Power BI, we are able to visualize and understand the traffic. Usando il modello incluso, Power BI scarica i log direttamente dall'archivio e li elabora in locale.Using the provided template, Power BI downloads the logs directly from storage and processes them locally. Il tempo necessario a caricare il modello varia a seconda del numero di file richiesti e della dimensione totale dei file scaricati.Time taken to load the template varies depending on the number of files requested and total size of files downloaded.

È possibile personalizzare il modello in base alle esigenze.Feel free to customize this template for your needs. Power BI e i log dei flussi dei gruppi di sicurezza di rete possono essere usati in molti modi diversi.There are many numerous ways that you can use Power BI with Network Security Group Flow Logs.

NoteNotes

  • Per impostazione predefinita, i log vengono archiviati in https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/Logs by default are stored in https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Se esistono altri dati in un'altra directory, è necessario modificare le query per il pull e l'elaborazione dei dati.If other data exists in another directory they the queries to pull and process the data must be modified.
  • Non è consigliabile usare il modello incluso con più di 1 GB di log.The provided template is not recommended for use with more than 1 GB of logs.

  • In presenza di una grande quantità di log, è consigliabile prendere in considerazione una soluzione con un altro archivio dati, come Data Lake o SQL Server.If you have a large amount of logs, we recommend that you investigate a solution using another data store like Data Lake or SQL server.

Passaggi successiviNext Steps

Per informazioni su come visualizzare i log dei flussi dei gruppi di sicurezza di rete con Elastick Stack, vedere Visualize Azure Network Watcher NSG flow logs using open source tools (Visualizzare i log dei flussi dei gruppi di sicurezza di rete di Azure Network Watcher tramite gli strumenti open source).Learn how to visualize your NSG flow logs with the Elastick Stack by visiting Visualize Azure Network Watcher NSG flow logs using open source tools