Analisi dei log per i gruppi di sicurezza di reteLog analytics for network security groups (NSGs)

È possibile abilitare le seguenti categorie di log di diagnostica per i gruppi di sicurezza di rete:You can enable the following diagnostic log categories for NSGs:

  • Evento: contiene voci per cui le regole dei gruppi di sicurezza di rete sono applicate alle macchine virtuali e ai ruoli delle istanze in base all'indirizzo MAC.Event: Contains entries for which NSG rules are applied to VMs and instance roles based on MAC address. Lo stato di queste regole viene raccolto ogni 60 secondi.The status for these rules is collected every 60 seconds.
  • Contenitore di regole: contiene voci per sapere quante volte ogni regola dei gruppi di sicurezza di rete è stata applicata per rifiutare o consentire il traffico.Rule counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

Nota

I log di diagnostica sono disponibili solo per i gruppi di sicurezza di rete distribuiti nel modello di distribuzione di Azure Resource Manager.Diagnostic logs are only available for NSGs deployed through the Azure Resource Manager deployment model. Non è possibile abilitare la registrazione diagnostica per i gruppi di sicurezza di rete distribuiti tramite il modello di distribuzione classico.You cannot enable diagnostic logging for NSGs deployed through the classic deployment model. Per altre informazioni sui due modelli, vedere l'articolo Comprendere i modelli di distribuzione di Azure.For a better understanding of the two models, reference the Understanding Azure deployment models article.

La registrazione delle attività (precedentemente nota come controllo o registri operativi) è abilitata per impostazione predefinita per i gruppi di sicurezza di rete creati tramite qualsivoglia modello di distribuzione di Azure.Activity logging (previously known as audit or operational logs) is enabled by default for NSGs created through either Azure deployment model. Per determinare quali operazioni sono state completate nei NGS nel log attività, cercare le voci che contengono i tipi di risorsa seguenti:To determine which operations were completed on NSGs in the activity log, look for entries that contain the following resource types:

  • Microsoft.ClassicNetwork/networkSecurityGroupsMicrosoft.ClassicNetwork/networkSecurityGroups
  • Microsoft.ClassicNetwork/networkSecurityGroups/securityRulesMicrosoft.ClassicNetwork/networkSecurityGroups/securityRules
  • Microsoft.Network/networkSecurityGroupsMicrosoft.Network/networkSecurityGroups
  • Microsoft.Network/networkSecurityGroups/securityRulesMicrosoft.Network/networkSecurityGroups/securityRules

Leggere l'articolo Panoramica del log attività di Azure per ulteriori informazioni sui log attività.Read the Overview of the Azure Activity Log article to learn more about activity logs.

Abilitare la registrazione diagnosticaEnable diagnostic logging

Deve essere abilitata la registrazione diagnostica per ogni gruppo di sicurezza di rete da cui si vogliono raccogliere dati.Diagnostic logging must be enabled for each NSG you want to collect data for. L'articolo Panoramica dei log di diagnostica di Azure spiega dove è possibile inviare i log di diagnostica.The Overview of Azure Diagnostic Logs article explains where diagnostic logs can be sent. Se non si dispone di un gruppo di sicurezza di rete esistente, completare i passaggi descritti nell'articolo Creare un gruppo di sicurezza di rete per crearne uno.If you don't have an existing NSG, complete the steps in the Create a network security group article to create one. È possibile abilitare la registrazione diagnostica nei gruppi di sicurezza direte usando uno dei metodi seguenti:You can enable NSG diagnostic logging using any of the following methods:

Portale di AzureAzure portal

Per usare li portale per abilitare la registrazione, accedere al portale.To use the portal to enable logging, login to the portal. Fare clic su Altri servizi, quindi digitare gruppi di sicurezza di rete.Click More services, then type network security groups. Selezionare il gruppo di sicurezza di rete per cui si vuole abilitare l'accesso.Select the NSG you want to enable logging for. Seguire le istruzioni per le risorse non di calcolo nell'articolo Abilitare i log di diagnostica nel portale.Follow the instructions for non-compute resources in the Enable diagnostic logs in the portal article. Selezionare NetworkSecurityGroupEvent, NetworkSecurityGroupRuleCounter o entrambe le categorie di log.Select NetworkSecurityGroupEvent, NetworkSecurityGroupRuleCounter, or both categories of logs.

PowerShellPowerShell

Per abilitare la registrazione con PowerShell, seguire le istruzioni nell'articolo Abilitare i log di diagnostica tramite PowerShell.To use PowerShell to enable logging, follow the instructions in the Enable diagnostic logs via PowerShell article. Valutare le seguenti informazioni prima di immettere un comando dall'articolo:Evaluate the following information before entering a command from the article:

  • È possibile determinare il valore da usare per il parametro -ResourceId sostituendo in base alle necessità il [testo] seguente e quindi immettendo il comando Get-AzureRmNetworkSecurityGroup -Name [nsg-name] -ResourceGroupName [resource-group-name].You can determine the value to use for the -ResourceId parameter by replacing the following [text], as appropriate, then entering the command Get-AzureRmNetworkSecurityGroup -Name [nsg-name] -ResourceGroupName [resource-group-name]. L'output dell'ID dal comando è simile a /subscriptions/[ID sottoscrizione]/resourceGroups/[Gruppo di risorse]/providers/Microsoft.Network/networkSecurityGroups/[Nome gruppo di sicurezza di rete].The ID output from the command looks similar to /subscriptions/[Subscription Id]/resourceGroups/[resource-group]/providers/Microsoft.Network/networkSecurityGroups/[NSG name].
  • Se si desidera solamente raccogliere i dati dalla categoria di log, aggiungere -Categories [category] alla fine del comando nell'articolo, dove la categoria è NetworkSecurityGroupEvent o NetworkSecurityGroupRuleCounter.If you only want to collect data from log category add -Categories [category] to the end of the command in the article, where category is either NetworkSecurityGroupEvent or NetworkSecurityGroupRuleCounter. Se non si usa il parametro -Categories, la raccolta dei dati viene abilitata per entrambe le categorie di log.If you don't use the -Categories parameter, data collection is enabled for both log categories.

interfaccia della riga di comando di Azure (CLI)Azure command-line interface (CLI)

Per abilitare la registrazione con l'interfaccia della riga di comando, seguire le istruzioni nell'articolo Abilitare i log di diagnostica tramite l'interfaccia della riga di comando.To use the CLI to enable logging, follow the instructions in the Enable diagnostic logs via CLI article. Valutare le seguenti informazioni prima di immettere un comando dall'articolo:Evaluate the following information before entering a command from the article:

  • È possibile determinare il valore da usare per il parametro -ResourceId sostituendo in base alle necessità il [testo] seguente e quindi immettendo il comando azure network nsg show [resource-group-name] [nsg-name].You can determine the value to use for the -ResourceId parameter by replacing the following [text], as appropriate, then entering the command azure network nsg show [resource-group-name] [nsg-name]. L'output dell'ID dal comando è simile a /subscriptions/[ID sottoscrizione]/resourceGroups/[Gruppo di risorse]/providers/Microsoft.Network/networkSecurityGroups/[Nome gruppo di sicurezza di rete].The ID output from the command looks similar to /subscriptions/[Subscription Id]/resourceGroups/[resource-group]/providers/Microsoft.Network/networkSecurityGroups/[NSG name].
  • Se si desidera solamente raccogliere i dati dalla categoria di log, aggiungere -Categories [category] alla fine del comando nell'articolo, dove la categoria è NetworkSecurityGroupEvent o NetworkSecurityGroupRuleCounter.If you only want to collect data from log category add -Categories [category] to the end of the command in the article, where category is either NetworkSecurityGroupEvent or NetworkSecurityGroupRuleCounter. Se non si usa il parametro -Categories, la raccolta dei dati viene abilitata per entrambe le categorie di log.If you don't use the -Categories parameter, data collection is enabled for both log categories.

Dati registratiLogged data

Vengono scritti dati in formato JSON per entrambi i log.JSON-formatted data is written for both logs. I dati specifici scritti per ciascun tipo di log sono elencati nelle sezioni seguenti:The specific data written for each log type is listed in the following sections:

Registro eventiEvent log

Questo registro contiene informazioni su quali regole del gruppo di sicurezza di rete vengono applicate alle macchine virtuali e alle istanze del ruolo del servizio cloud, in base all'indirizzo MAC.This log contains information about which NSG rules are applied to VMs and cloud service role instances, based on MAC address. I dati nell'esempio seguente vengono registrati per ogni evento:The following example data is logged for each event:

{
    "time": "[DATE-TIME]",
    "systemId": "007d0441-5d6b-41f6-8bfd-930db640ec03",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"{5E8AEC16-C728-441F-B0CA-B791E1DBC2F4}",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"UserRule_default-allow-rdp",
        "direction":"In",
        "priority":1000,
        "type":"allow",
        "conditions":{
            "protocols":"6",
            "destinationPortRange":"3389-3389",
            "sourcePortRange":"0-65535",
            "sourceIP":"0.0.0.0/0",
            "destinationIP":"0.0.0.0/0"
            }
        }
}

Log contatore regoleRule counter log

Questo log contiene informazioni su ogni regola applicata alle risorse.This log contains information about each rule applied to resources. I dati nell'esempio seguente vengono registrati ogni volta che viene applicata una regola:The following example data is logged each time a rule is applied:

{
    "time": "[DATE-TIME]",
    "systemId": "007d0441-5d6b-41f6-8bfd-930db640ec03",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]TESTRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"{5E8AEC16-C728-441F-B0CA-791E1DBC2F4}",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"UserRule_default-allow-rdp",
        "direction":"In",
        "type":"allow",
        "matchedConnections":125
        }
}

Visualizzare e analizzare i logView and analyze logs

Leggere l'articolo Panoramica del log attività di Azure per ulteriori informazioni su come visualizzare i dati del log attività.To learn how to view activity log data, read the Overview of the Azure Activity Log article. Leggere l'articolo Panoramica dei log di diagnostica di Azure per ulteriori informazioni su come visualizzare i dati dei log di diagnostica.To learn how to view diagnostic log data, read the Overview of Azure Diagnostic Logs article. Se si inviano dati di diagnostica a Log Analytics, è possibile usare la soluzione di gestione Analisi di gruppo di sicurezza di rete di Azure (anteprima) per approfondimenti avanzati.If you send diagnostics data to Log Analytics, you can use the Azure Network Security Group analytics (preview) management solution for enhanced insights.