Gestire i log dei flussi del gruppo di sicurezza di rete usando il portale di Azure
La registrazione dei flussi dei gruppi di sicurezza di rete è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. Per altre informazioni sulla registrazione dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi del gruppo di sicurezza di rete.
Questo articolo illustra come creare, modificare, disabilitare o eliminare un log del flusso del gruppo di sicurezza di rete usando il portale di Azure. È possibile imparare a gestire un log del flusso del gruppo di sicurezza di rete usando PowerShell, l'interfaccia della riga di comando di Azure, l'API REST o il modello di Resource Manager.
Prerequisiti
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Provider insights. Per altre informazioni, vedere Registrare il provider di Insights.
Gruppo di sicurezza di rete. Se è necessario creare un gruppo di sicurezza di rete, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Un account di archiviazione di Azure. Se è necessario creare un account di archiviazione, vedere Creare un account di archiviazione con PowerShell.
Registrare il provider Insights
Il provider Microsoft.Insights deve essere registrato per registrare correttamente il traffico che scorre attraverso un gruppo di sicurezza di rete. Se non si è certi che il provider Microsoft.Insights sia registrato, controllarne lo stato:
Nella casella di ricerca nella parte superiore del portale immettere sottoscrizioni. Selezionare Sottoscrizioni nei risultati della ricerca.
Selezionare la sottoscrizione di Azure per cui si vuole abilitare il provider in Sottoscrizioni.
In Impostazioni selezionare Provider di risorse.
Immettere informazioni dettagliate nella casella di filtro.
Verificare che lo stato del provider visualizzato sia Registrato. Se lo stato è NotRegistered, selezionare il provider Microsoft.Insights e quindi selezionare Registra.
Creare un log di flusso
Creare un log di flusso per il gruppo di sicurezza di rete. Questo log del flusso del gruppo di sicurezza di rete viene salvato in un account di archiviazione di Azure.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log di flusso, selezionare + Crea o crea log di flusso pulsante blu.
Immettere o selezionare i valori seguenti in Creare un log di flusso:
Impostazione Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure del gruppo di sicurezza di rete che si vuole registrare. Gruppo di sicurezza di rete Selezionare + Seleziona risorsa.
In Selezionare il gruppo di sicurezza di rete selezionare myNSG. Selezionare quindi Conferma selezione.Nome log flusso Immettere un nome per il log del flusso o lasciare il nome predefinito. myNSG-myResourceGroup-flowlog è il nome predefinito per questo esempio. Dettagli istanza Abbonamento Selezionare la sottoscrizione di Azure dell'account di archiviazione. Account di archiviazione Selezionare l'account di archiviazione in cui salvare i log dei flussi. Per creare un nuovo account di archiviazione, selezionare Crea un nuovo account di archiviazione. Periodo di mantenimento (giorni) Immettere un tempo di conservazione per i log. Immettere 0 se si desidera conservare i dati dei log del flusso nell'account di archiviazione per sempre (fino a quando non viene eliminato dall'account di archiviazione). Per informazioni sui prezzi, vedere prezzi Archiviazione di Azure. 
Nota
Se l'account di archiviazione si trova in una sottoscrizione diversa, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
Selezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Creare un log di flusso e un'area di lavoro analisi del traffico
Creare un log di flusso per il gruppo di sicurezza di rete e abilitare l'analisi del traffico. Il log del flusso del gruppo di sicurezza di rete viene salvato in un account di archiviazione di Azure.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log di flusso, selezionare + Crea o crea log di flusso pulsante blu.
Immettere o selezionare i valori seguenti in Creare un log di flusso:
Impostazione Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure del gruppo di sicurezza di rete che si vuole registrare. Gruppo di sicurezza di rete Selezionare + Seleziona risorsa.
In Selezionare il gruppo di sicurezza di rete selezionare myNSG. Selezionare quindi Conferma selezione.Nome log flusso Immettere un nome per il log del flusso o lasciare il nome predefinito. Per impostazione predefinita, portale di Azure crea il log del flusso {network-security-group}-{resource-group}-flowlog nel gruppo di risorse NetworkWatcherRG. Dettagli istanza Abbonamento Selezionare la sottoscrizione di Azure dell'account di archiviazione. Account di archiviazione Selezionare l'account di archiviazione in cui salvare i log dei flussi. Per creare un nuovo account di archiviazione, selezionare Crea un nuovo account di archiviazione. Periodo di mantenimento (giorni) Immettere un tempo di conservazione per i log. Immettere 0 se si desidera conservare i dati dei log del flusso nell'account di archiviazione per sempre (fino a quando non viene eliminato dall'account di archiviazione). Per informazioni sui prezzi, vedere prezzi Archiviazione di Azure. 
Nota
Se l'account di archiviazione si trova in una sottoscrizione diversa, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
Selezionare Il pulsante Avanti: Analisi o selezionare la scheda Analisi . Immettere o selezionare i valori seguenti:
Impostazione Valore Versione dei log dei flussi Selezionare la versione del log del flusso. La versione 2 è selezionata per impostazione predefinita quando si crea un log di flusso usando il portale di Azure. Per altre informazioni sulle versioni dei log dei flussi, vedere Formato di log dei log dei flussi del gruppo di sicurezza di rete. Analisi del traffico Abilitare Analisi del traffico Selezionare la casella di controllo per abilitare l'analisi del traffico per il log del flusso. Intervallo di elaborazione di Analisi del traffico Selezionare l'intervallo di elaborazione preferito, le opzioni disponibili sono: Ogni 1 ora e Ogni 10 minuti. L'intervallo di elaborazione predefinito è ogni ora. Per altre informazioni, vedere Analisi del traffico. Abbonamento Selezionare la sottoscrizione di Azure dell'area di lavoro Log Analytics. Area di lavoro Log Analytics Selezionare l'area di lavoro Log Analytics. Per impostazione predefinita, portale di Azure crea e seleziona DefaultWorkspace-{subscription-id}-{region} Area di lavoro Log Analytics nel gruppo di risorse defaultresourcegroup-{Region}. 
Selezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Modificare un log di flusso
È possibile modificare le proprietà di un log di flusso dopo averlo creato. Ad esempio, è possibile modificare la versione del log del flusso o disabilitare l'analisi del traffico.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log di flusso, selezionare il log del flusso che si vuole modificare.
Nelle impostazioni dei log di Flow è possibile modificare una delle impostazioni seguenti:
- Versione dei log di flusso: modificare la versione del log del flusso. Le versioni disponibili sono: versione 1 e 2. La versione 2 è selezionata per impostazione predefinita quando si crea un log di flusso usando il portale di Azure. Per altre informazioni sulle versioni dei log dei flussi, vedere Formato di log dei log dei flussi del gruppo di sicurezza di rete.
- Archiviazione Account: modificare l'account di archiviazione in cui salvare i log del flusso. Per creare un nuovo account di archiviazione, selezionare Crea un nuovo account di archiviazione.
- Conservazione (giorni): modificare il tempo di conservazione nell'account di archiviazione. Immettere 0 se si desidera conservare i dati dei log del flusso nell'account di archiviazione per sempre (fino a quando non si eliminano manualmente i dati dall'account di archiviazione).
- Analisi del traffico: abilitare o disabilitare l'analisi del traffico per il log dei flussi. Per altre informazioni, vedere Analisi del traffico.
- Intervallo di elaborazione di Analisi del traffico: modificare l'intervallo di elaborazione dell'analisi del traffico (se l'analisi del traffico è abilitata). Le opzioni disponibili sono: un'ora e 10 minuti. L'intervallo di elaborazione predefinito è ogni ora. Per altre informazioni, vedere Analisi del traffico.
- Area di lavoro Log Analytics: modificare l'area di lavoro Log Analytics in cui salvare i log dei flussi (se è abilitata l'analisi del traffico).
Elencare tutti i log dei flussi
È possibile elencare tutti i log di flusso in una sottoscrizione o in un gruppo di sottoscrizioni. È anche possibile elencare tutti i log di flusso in un'area.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
Selezionare Subscription equals filter per scegliere una o più sottoscrizioni.Select Subscription equals filter to choose one or more of your subscriptions. È possibile applicare altri filtri, ad esempio Località, per elencare tutti i log dei flussi in un'area.
Visualizzare i dettagli di una risorsa del log del flusso
È possibile visualizzare i dettagli di un log di flusso in una sottoscrizione o in un gruppo di sottoscrizioni. È anche possibile elencare tutti i log di flusso in un'area.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log dei flussi, selezionare il log del flusso che si vuole visualizzare.
Nelle impostazioni dei log di Flow è possibile visualizzare le impostazioni della risorsa del log del flusso.
Scaricare un log di flusso
Il percorso di archiviazione di un log di flusso viene definito al momento della creazione. Per accedere e scaricare i log dei flussi dall'account di archiviazione, è possibile usare Archiviazione di Azure Explorer. Per altre informazioni, vedere Introduzione a Archiviazione Explorer.
I file di log del flusso del gruppo di sicurezza di rete salvati in un account di archiviazione seguono questo percorso:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Per informazioni sulla struttura di un log di flusso, vedere Formato di log dei log dei flussi del gruppo di sicurezza di rete.
Disabilitare un log di flusso
È possibile disabilitare temporaneamente un log del flusso del gruppo di sicurezza di rete senza eliminarlo. La disabilitazione di un log di flusso arresta la registrazione dei flussi per il gruppo di sicurezza di rete associato. Tuttavia, la risorsa del log del flusso rimane con tutte le relative impostazioni e associazioni. È possibile riabilitarlo in qualsiasi momento per riprendere la registrazione del flusso per il gruppo di sicurezza di rete configurato.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log dei flussi, selezionare la casella di controllo del log del flusso che si vuole disabilitare.
Seleziona Disabilita.
Nota
Se l'analisi del traffico è abilitata per un log di flusso, è necessario disabilitarla prima di poter disabilitare il log dei flussi. Per disabilitare l'analisi del traffico, vedere Modificare un log dei flussi.
Eliminare un log di flusso
È possibile eliminare definitivamente un log dei flussi del gruppo di sicurezza di rete. L'eliminazione di un log di flusso elimina tutte le relative impostazioni e associazioni. Per iniziare di nuovo la registrazione del flusso per lo stesso gruppo di sicurezza di rete, è necessario crearne uno nuovo.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Selezionare Network Watcher nei risultati della ricerca.
In Log selezionare Log di flusso.
In Network Watcher | Log di flusso, selezionare la casella di controllo del log del flusso che si vuole eliminare.
Selezionare Elimina.
Nota
L'eliminazione di un log di flusso non comporta l'eliminazione dei dati di log del flusso dall'account di archiviazione. I dati dei log dei flussi archiviati nell'account di archiviazione seguono i criteri di conservazione configurati o rimangono archiviati nell'account di archiviazione fino a quando non vengono eliminati manualmente (nel caso in cui non siano configurati criteri di conservazione).
Passaggi successivi
- Per informazioni su come usare i criteri predefiniti di Azure per controllare o distribuire i log dei flussi dei gruppi di sicurezza di rete, vedere Gestire i log dei flussi dei gruppi di sicurezza di rete usando Criteri di Azure.
- Per informazioni sull'analisi del traffico, vedere Analisi del traffico.