Registrazione diagnostica per un gruppo di sicurezza di reteDiagnostic logging for a network security group

Un gruppo di sicurezza di rete (NSG) include regole che consentono o negano il traffico verso una subnet della rete virtuale, un'interfaccia di rete o entrambe.A network security group (NSG) includes rules that allow or deny traffic to a virtual network subnet, network interface, or both. Quando si abilita la registrazione diagnostica per un gruppo di sicurezza di rete, è possibile registrare le categorie di informazioni seguenti:When you enable diagnostic logging for an NSG, you can log the following categories of information:

  • Evento: vengono registrate voci relative alle regole dei gruppi di sicurezza di rete applicate alle macchine virtuali in base all'indirizzo MAC.Event: Entries are logged for which NSG rules are applied to VMs, based on MAC address. Lo stato di queste regole viene raccolto ogni 60 secondi.The status for these rules is collected every 60 seconds.
  • Contenitore di regole: contiene voci per sapere quante volte ogni regola dei gruppi di sicurezza di rete è stata applicata per rifiutare o consentire il traffico.Rule counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

I log di diagnostica sono disponibili solo per i gruppi di sicurezza di rete distribuiti nel modello di distribuzione di Azure Resource Manager.Diagnostic logs are only available for NSGs deployed through the Azure Resource Manager deployment model. Non è possibile abilitare la registrazione diagnostica per i gruppi di sicurezza di rete distribuiti tramite il modello di distribuzione classico.You cannot enable diagnostic logging for NSGs deployed through the classic deployment model. Per altre informazioni sui due modelli, vedere le informazioni sui modelli di distribuzione di Azure.For a better understanding of the two models, see Understanding Azure deployment models.

La registrazione diagnostica viene abilitata separatamente per ogni gruppo di sicurezza di rete per cui si vogliono raccogliere dati di diagnostica.Diagnostic logging is enabled separately for each NSG you want to collect diagnostic data for. Se è interessati invece ai log operativi, o log attività, vedere le informazioni sulla registrazione delle attività di Azure.If you're interested in operational, or activity, logs instead, see Azure activity logging.

Abilitazione della registrazioneEnable logging

È possibile usare il portale di Azure o PowerShell per abilitare la registrazione diagnostica.You can use the Azure Portal, or PowerShell, to enable diagnostic logging.

Portale di AzureAzure Portal

  1. Accedere al portale.Log in to the portal.
  2. Selezionare Tutti i servizi e quindi digitare gruppi di sicurezza di rete.Select All services, then type network security groups. Selezionare la voce Gruppi di sicurezza di rete quando viene visualizzata nei risultati della ricerca.When Network security groups appear in the search results, select it.
  3. Selezionare il gruppo di sicurezza di rete per cui si vuole abilitare l'accesso.Select the NSG you want to enable logging for.
  4. In Monitoraggio selezionare Log di diagnostica e quindi selezionare Abilita diagnostica, come illustrato nell'immagine seguente:Under MONITORING, select Diagnostics logs, and then select Turn on diagnostics, as shown in the following picture:

    Attivare la diagnostica

  5. In Impostazioni di diagnostica immettere o selezionare le informazioni seguenti e quindi selezionare Salva:Under Diagnostics settings, enter, or select the following information, and then select Save:

    ImpostazioneSetting ValoreValue
    NOMEName Un nome di propria scelta.A name of your choosing. Ad esempio: DiagnosticaGsrFor example: myNsgDiagnostics
    Archivia in un account di archiviazione, Streaming in un hub eventi e Invia a Log AnalyticsArchive to a storage account, Stream to an event hub, and Send to Log Analytics È possibile selezionare tutte le destinazioni desiderate.You can select as many destinations as you choose. Per altre informazioni su ognuna, vedere Destinazioni dei log.To learn more about each, see Log destinations.
    LOGLOG Selezionare una o entrambe le categorie di log.Select either, or both log categories. Per altre informazioni su dati registrati per ogni categoria, vedere Categorie di log.To learn more about the data logged for each category, see Log categories.
  6. Visualizzare e analizzare i log.View and analyze logs. Per altre informazioni, vedere Visualizzare e analizzare i log.For more information, see View and analyze logs.

PowerShellPowerShell

È possibile eseguire i comandi seguenti in Azure Cloud Shell oppure eseguendo PowerShell dal computer.You can run the commands that follow in the Azure Cloud Shell, or by running PowerShell from your computer. Azure Cloud Shell è una shell interattiva gratuita.The Azure Cloud Shell is a free interactive shell. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.It has common Azure tools preinstalled and configured to use with your account. Se si esegue PowerShell dal computer, è necessario il modulo AzureRM di PowerShell versione 6.1.1 o successiva.If you run PowerShell from your computer, you need the AzureRM PowerShell module, version 6.1.1 or later. Per trovare la versione installata, eseguire Get-Module -ListAvailable AzureRM nel computer.Run Get-Module -ListAvailable AzureRM on your computer, to find the installed version. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell.If you need to upgrade, see Install Azure PowerShell module. Se si esegue PowerShell in locale, è necessario eseguire anche Login-AzureRmAccount per accedere ad Azure con un account con le autorizzazioni necessarie.If you are running PowerShell locally, you also need to run Login-AzureRmAccount to log into Azure with an account that has the necessary permissions].

Per abilitare la registrazione diagnostica, è necessario l'ID di un gruppo di sicurezza di rete esistente.To enable diagnostic logging, you need the Id of an existing NSG. Se non è disponibile un gruppo di sicurezza di rete esistente, è possibile crearne uno con New-AzureRmNetworkSecurityGroup.If you don't have an existing NSG, you can create one with New-AzureRmNetworkSecurityGroup.

Recuperare il gruppo di sicurezza di rete per cui si vuole abilitare la registrazione diagnostica con Get-AzureRmNetworkSecurityGroup.Retrieve the network security group that you want to enable diagnostic logging for with Get-AzureRmNetworkSecurityGroup. Ad esempio, per recuperare un gruppo di sicurezza di rete denominato myNsg esistente in un gruppo di risorse denominato myResourceGroup, immettere il comando seguente:For example, to retrieve an NSG named myNsg that exists in a resource group named myResourceGroup, enter the following command:

$Nsg=Get-AzureRmNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

È possibile scrivere i log di diagnostica in tre tipi di destinazione.You can write diagnostic logs to three destination types. Per altre informazioni, vedere Destinazioni dei log.For more information, see Log destinations. In questo articolo, i log vengono inviati alla destinazione Log Analytics, a titolo di esempio.In this article, logs are sent to the Log Analytics destination, as an example. Recuperare un'area di lavoro di Log Analytics esistente con Get-AzureRmOperationalInsightsWorkspace.Retrieve an existing Log Analytics workspace with Get-AzureRmOperationalInsightsWorkspace. Ad esempio, per recuperare un'area di lavoro esistente denominata myLaWorkspace in un gruppo di risorse denominato LaWorkspaces, immettere il comando seguente:For example, to retrieve an existing workspace named myLaWorkspace in a resource group named LaWorkspaces, enter the following command:

$Oms=Get-AzureRmOperationalInsightsWorkspace `
  -ResourceGroupName LaWorkspaces `
  -Name myLaWorkspace

Se non è disponibile un'area di lavoro esistente, è possibile crearne una con New-AzureRmOperationalInsightsWorkspace.If you don't have an existing workspace, you can create one with New-AzureRmOperationalInsightsWorkspace.

Esistono due categorie di registrazione per cui è possibile abilitare i log.There are two categories of logging you can enable logs for. Per altre informazioni, vedere Categorie di log.For more information, see Log categories. Abilitare la registrazione diagnostica per il gruppo di sicurezza di rete con Set-AzureRmDiagnosticSetting.Enable diagnostic logging for the NSG with Set-AzureRmDiagnosticSetting. L'esempio seguente registra sia i dati della categoria evento che quelli della categoria contatore nell'area di lavoro per un gruppo sicurezza di rete, usando gli ID per il gruppo sicurezza di rete e l'area di lavoro recuperati in precedenza:The following example logs both event and counter category data to the workspace for an NSG, using the IDs for the NSG and workspace you retrieved previously:

Set-AzureRmDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

Se si vogliono registrare i dati solo per una categoria o l'altra, anziché entrambe, aggiungere l'opzione -Categories al comando precedente, seguita da NetworkSecurityGroupEvent o NetworkSecurityGroupRuleCounter.If you only want to log data for one category or the other, rather than both, add the -Categories option to the previous command, followed by NetworkSecurityGroupEvent or NetworkSecurityGroupRuleCounter. Se si vuole accedere a una destinazione diversa rispetto a un'area di lavoro di Log Analytics, usare i parametri appropriati per un account di archiviazione di Azure oppure per Hub eventi.If you want to log to a different destination than a Log Analytics workspace, use the appropriate parameters for an Azure Storage account or Event Hub.

Visualizzare e analizzare i log.View and analyze logs. Per altre informazioni, vedere Visualizzare e analizzare i log.For more information, see View and analyze logs.

Destinazioni dei logLog destinations

I dati di diagnostica possono essere:Diagnostics data can be:

Categorie di logLog categories

Per le categorie di log seguenti vengono scritti dati in formato JSON:JSON-formatted data is written for the following log categories:

EventEvent

Il registro eventi contiene informazioni su quali regole del gruppo di sicurezza di rete vengono applicate alle macchine virtuali, in base all'indirizzo MAC.The event log contains information about which NSG rules are applied to VMs, based on MAC address. I dati nell'esempio seguente vengono registrati per ogni evento:The following example data is logged for each event:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY RULE NAME]",
        "direction":"In",
        "priority":1000,
        "type":"allow",
        "conditions":{
            "protocols":"6",
            "destinationPortRange":"[PORT RANGE]",
            "sourcePortRange":"0-65535",
            "sourceIP":"0.0.0.0/0",
            "destinationIP":"0.0.0.0/0"
            }
        }
}

Contatore regoleRule counter

Il log contatore regole contiene informazioni su ogni regola applicata alle risorse.The rule counter log contains information about each rule applied to resources. I dati nell'esempio seguente vengono registrati ogni volta che viene applicata una regola:The following example data is logged each time a rule is applied:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY RULE NAME]",
        "direction":"In",
        "type":"allow",
        "matchedConnections":125
        }
}

Nota

L'indirizzo IP di origine per la comunicazione non viene registrato.The source IP address for the communication is not logged. È comunque possibile abilitare la registrazione dei flussi per i gruppi di sicurezza di rete per un gruppo di sicurezza di rete, che registra tutte le informazioni sul contatore regole, oltre all'indirizzo IP di origine che ha avviato la comunicazione.You can enable NSG flow logging for an NSG however, which logs all of the rule counter information, as well as the source IP address that initiated the communication. I dati del log del flusso di NSG vengono scritti in un account di archiviazione di Azure.NSG flow log data is written to an Azure Storage account. È possibile analizzare i dati con la funzionalità di analisi del traffico di Azure Network Watcher.You can analyze the data with the traffic analytics capability of Azure Network Watcher.

Visualizzare e analizzare i logView and analyze logs

Per informazioni su come visualizzare i dati dei log di diagnostica, vedere Panoramica dei log di diagnostica di Azure.To learn how to view diagnostic log data, see Azure Diagnostic Logs overview. Se si inviano i dati di diagnostica a:If you send diagnostics data to:

  • Log Analytics: è possibile usare la soluzione di analisi del gruppo di sicurezza di rete per ottenere ulteriori informazioni dettagliate.Log Analytics: You can use the network security group analytics solution for enhanced insights. La soluzione offre visualizzazioni per le regole dei gruppi di sicurezza di rete che consentono o negano il traffico, in base all'indirizzo MAC, dell'interfaccia di rete in una macchina virtuale.The solution provides visualizations for NSG rules that allow or deny traffic, per MAC address, of the network interface in a virtual machine.
  • Account di archiviazione Azure: i dati vengono scritti in un file PT1H.json.Azure Storage account: Data is written to a PT1H.json file. È possibile trovare il:You can find the:
    • Registro eventi nel percorso seguente: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]Event log in the following path: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • Log contatore regole nel percorso seguente: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]Rule counter log in the following path: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Passaggi successiviNext steps

  • Scoprire di più sulla registrazione delle attività, precedentemente nota come log di controllo o operativi.Learn more about Activity logging, previously known as audit or operational logs. La registrazione delle attività è abilitata per impostazione predefinita per i gruppi di sicurezza di rete creati tramite qualsiasi modello di distribuzione di Azure.Activity logging is enabled by default for NSGs created through either Azure deployment model. Per determinare quali operazioni sono state completate nei NGS nel log attività, cercare le voci che contengono i tipi di risorsa seguenti:To determine which operations were completed on NSGs in the activity log, look for entries that contain the following resource types:
    • Microsoft.ClassicNetwork/networkSecurityGroupsMicrosoft.ClassicNetwork/networkSecurityGroups
    • Microsoft.ClassicNetwork/networkSecurityGroups/securityRulesMicrosoft.ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft.Network/networkSecurityGroupsMicrosoft.Network/networkSecurityGroups
    • Microsoft.Network/networkSecurityGroups/securityRulesMicrosoft.Network/networkSecurityGroups/securityRules
  • Per informazioni su come registrare le informazioni di diagnostica, per includere l'indirizzo IP di origine per ogni flusso, vedere NSG flow logging (Registrazione dei flussi per il gruppo di sicurezza di rete).To learn how to log diagnostic information, to include the source IP address for each flow, see NSG flow logging.