Zelfstudie: Logboekregistratie van netwerkverkeer naar en van een virtuele machine met behulp van de Microsoft Azure-portal

Artikel
11/19/2021
6 minuten om te lezen

Met een NSG (netwerkbeveiligingsgroep) kunt u inkomend verkeer naar en uitgaand verkeer van een VM (virtuele machine) filteren. U kunt netwerkverkeer dat via een NSG stroomt, vastleggen in een NSG-stroomlogboek van Network Watcher.

In deze zelfstudie leert u het volgende:

Een VM met een netwerkbeveiligingsgroep maken
Network Watcher inschakelen en de provider Microsoft.Insights registreren
Een verkeersstroomlogboek voor een NSG inschakelen met behulp van het stroomlogboek van Network Watcher
Logboekgegevens downloaden
Logboekgegevens weergeven

Vereisten

Een Azure-account met een actief abonnement. Gratis een account maken

Een virtuele machine maken

Meld u aan bij de Azure-portal.
Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines.
Selecteer in Virtuele machines+ Maken en vervolgens + Virtuele machine.

Voer de volgende gegevens in of selecteer deze in Een virtuele machine maken.

Instelling	Waarde
Projectgegevens
Abonnement	Selecteer uw abonnement.
Resourcegroep	Selecteer Nieuw maken. Voer myResourceGroup in bij Naam. Selecteer OK.
Exemplaardetails
Naam van de virtuele machine	Voer myVM in.
Regio	Selecteer (VS) VS - oost.
Beschikbaarheidsopties	Selecteer Geen infrastructuur redundantie vereist.
Beveiligingstype	Laat de standaardwaarde Standard staan.
Installatiekopie	Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2.
Azure Spot-exemplaar	Laat de standaardinstelling staan.
Grootte	Selecteer een grootte.
Beheerdersaccount
Verificatietype	selecteer Openbare SSH-sleutel.
Gebruikersnaam	Voer een gebruikersnaam in.
Wachtwoord	Voer een wachtwoord in.
Wachtwoord bevestigen	Bevestig het wachtwoord.
Regels voor binnenkomende poort
Openbare poorten voor inkomend verkeer	Laat de standaardwaarde Geselecteerde poorten toestaan staan.
Binnenkomende poorten selecteren	Laat de standaardwaarde RDP (3389) staan.

Selecteer Controleren + maken.
Selecteer Maken.

Het maken van de virtuele machine duurt een paar minuten. Ga pas verder met de resterende stappen wanneer de virtuele machine is gemaakt. Terwijl de virtuele machine in de portal wordt gemaakt, wordt er ook een netwerkbeveiligingsgroep met de naam myVM-nsg gemaakt en aan de netwerkinterface voor de VM koppelt.

Network Watcher inschakelen

Als u al een netwerk-watcher hebt ingeschakeld in de regio VS - oost, ga dan verder met Insights-provider registreren.

Voer in het zoekvak boven aan de portal Network Watcher. Selecteer Network Watcher in de zoekresultaten.
Selecteer op de pagina Overzicht Network Watcher+ Toevoegen.
Selecteer uw abonnement in Network Watcher toevoegen. Selecteer (VS) VS - oost in Regio.
Selecteer Toevoegen.

Insights-provider registreren

Voor NSG-stroomlogboekregistratie is de Microsoft.Insights-provider vereist. Voer de volgende stappen uit om de provider te registreren:

Voer in het zoekvak bovenaan de portal Abonnementen in. Selecteer Abonnementen in de zoekresultaten.
Selecteer in Abonnementen het abonnement voor wie u de provider wilt inschakelen.
Selecteer Resourceproviders in Instellingen van uw abonnement.
Voer Microsoft.Insights in het filtervak in.
Controleer of de status van de weergegeven provider Geregistreerd is. Als de status Niet-geregistreerd is, selecteert u de provider en selecteert u vervolgens Registreren.

NSG-stroomlogboek inschakelen

NSG-stroomlogboekgegevens worden naar een Azure Storage-account geschreven. Voltooi de volgende stappen om een opslagaccount voor de logboekgegevens te maken.

Voer in het zoekvak boven aan de portal het Storage account in. Selecteer Storage accounts in de zoekresultaten.
Selecteer Storage + Maken in Storage accounts.

Voer de volgende gegevens in of selecteer deze in Een opslagaccount maken.

Instelling	Waarde
Projectgegevens
Abonnement	Selecteer uw abonnement.
Resourcegroep	Selecteer myResourceGroup.
Exemplaardetails
Naam van het opslagaccount	Voer een naam in voor het opslagaccount. Moet 3 tot 24 tekens lang zijn, mag alleen kleine letters en cijfers bevatten en moet uniek zijn voor alle Azure Storage.
Regio	Selecteer (VS)VS - oost.
Prestaties	Laat de standaardwaarde Standard staan.
Redundantie	Laat de standaardwaarde geografisch redundante opslag (GRS) staan.

Selecteer Controleren + maken.
Selecteer Maken.

Het maken van het opslagaccount kan ongeveer een minuut duren. Ga pas verder met de resterende stappen wanneer het opslagaccount is gemaakt. In alle gevallen moet het opslagaccount zich in dezelfde regio bevinden als de netwerkbeveiligingsgroep (NSG).

Voer in het zoekvak boven aan de portal Network Watcher. Selecteer Network Watcher in de zoekresultaten.
Selecteer NSG-stroomlogboeken in Logboeken.
In Network Watcher | NSG-stroomlogboeken, selecteer + Maken.

Voer de volgende gegevens in of selecteer deze in Een stroomlogboek maken.

Instelling	Waarde
Projectgegevens
Abonnement	Selecteer uw abonnement.
Netwerkbeveiligingsgroep	Selecteer myVM-nsg.
Flow logboeknaam	Laat de standaardwaarde myVM-nsg-myResourceGroup-flowlog staan.
Exemplaardetails
Opslagaccount selecteren
Abonnement	Selecteer uw abonnement.
Storage Accounts	Selecteer het opslagaccount dat u in de vorige stappen hebt gemaakt.
Bewaren (dagen)	Voer een bewaartijd in voor de logboeken.

Selecteer Controleren + maken.
Selecteer Maken.

Stroomlogboek downloaden

Voer in het zoekvak boven aan de portal het Storage account in. Selecteer Storage accounts in de zoekresultaten.
Selecteer het opslagaccount dat u in de vorige stappen hebt gemaakt.
Selecteer containers in Gegevensopslag.
Selecteer de container insights-logs-networksecuritygroupflowevent.
Navigeer in de container naar de maphiërarchie totdat u bij een PT1H.json-bestand komt. Logboekbestanden worden naar een maphiërarchie geschreven die de volgende naamconventie volgt:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Selecteer ... rechts van het bestand PT1H.json en selecteer vervolgens Downloaden.

Stroomlogboek weergeven

In het volgende json-voorbeeld worden gegevens weergegeven die u in het bestand PT1H.json ziet voor elke vastgelegde stroom:

Versie 1-stroomlogboekgebeurtenis

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Versie 2-stroomlogboekgebeurtenis

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

De waarde voor mac in de vorige uitvoer is het MAC-adres van de netwerkinterface die is gemaakt toen de VM werd gemaakt. De door komma's gescheiden informatie voor flowTuples bevat het volgende:

Voorbeeldgegevens	Wat de gegevens voorstellen	Uitleg
1542110377	Tijdstempel	Het tijdstempel van wanneer de stroom heeft plaatsgevonden, in de indeling UNIX-EPOCHE. In het vorige voorbeeld is de datum omgezet in 1 mei 2018 op 2:59:05 PM GMT.
10.0.0.4	IP-adres van bron	Het IP-adres van de bron waaruit de stroom afkomstig is. 10.0.0.4 is het privé-IP-adres van de virtuele machine die u hebt gemaakt in Een virtuele machine maken.
13.67.143.118	IP-adres van doel	Het IP-adres van het doel waarvoor de stroom is bestemd.
44931	Bronpoort	De bronpoort waaruit de stroom afkomstig is.
443	Doelpoort	De doelpoort waarvoor de stroom is bestemd. Aangezien het verkeer was bestemd voor poort 443, is de stroom verwerkt op basis van de regel met de naam UserRule_default-allow-rdp in het logboekbestand.
T	Protocol	Hiermee wordt aangegeven of het protocol van de stroom TCP (T) of UDP (U).
O	Richting	Hiermee wordt aangegeven of het verkeer inkomend (I) of uitgaand (O) was.
A	Bewerking	Hiermee wordt aangegeven of het verkeer was toegelaten (A) of geweigerd (D).
C	Stroomstatus Alleen Versie 2	Legt de status van de stroom vast. Mogelijke statussen zijn B: Begin, wanneer een stroom wordt gemaakt. Er worden geen statistische gegevens geleverd. C: Continu, voor een actieve stroom. Statistische gegevens worden geleverd met intervallen van 5 minuten. E: Einde, wanneer een stroom wordt beëindigd. Er worden statistische gegevens geleverd.
30	Verzonden pakketten: bron naar doel, alleen voor Versie 2	Het totale aantal TCP- of UDP- pakketten dat sinds de laatste update is verzonden van de bron naar het doel.
16978	Verzonden bytes: bron naar doel, alleen voor Versie 2	Het totale aantal TCP- of UDP- pakketbytes dat sinds de laatste update is verzonden van de bron naar het doel. Pakketbytes omvatten de pakket-header en -nettolading.
24	Verzonden pakketten: doel naar bron, alleen voor Versie 2	Het totale aantal TCP- of UDP- pakketten dat sinds de laatste update is verzonden van het doel naar de bron.
14008	Verzonden bytes: doel naar bron, alleen voor Versie 2	Het totale aantal TCP- of UDP- pakketbytes dat sinds de laatste update is verzonden van het doel naar de bron. Pakketbytes omvatten een pakket-header en -nettolading.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

NSG-stroomlogregistratie inschakelen voor een NSG
Gegevens downloaden en weergeven die zijn vastgelegd in een bestand.

De onbewerkte gegevens in het json-bestand zijn soms lastig te interpreteren. Als u Flow Logboeken wilt visualiseren, kunt u Azure Traffic Analytics en Microsoft Power BI.

Zie PowerShell, Azure CLI, REST APIen Resource Manager voor alternatieve methoden voor het inschakelen van NS Flow G Resource Manager logboeken.

Lees het volgende artikel voor meer informatie over het bewaken van netwerkcommunicatie tussen twee virtuele machines:

Netwerkcommunicatie tussen twee virtuele machines bewaken met behulp van de Azure-portal