NSG-stroomlogboeken beheren met behulp van de Azure CLI

  • Artikel

Logboekregistratie van netwerkbeveiligingsgroepen is een functie van Azure Network Watcher waarmee u informatie kunt vastleggen over IP-verkeer dat via een netwerkbeveiligingsgroep stroomt. Zie het overzicht van NSG-stroomlogboeken voor meer informatie over logboekregistratie van netwerkbeveiligingsgroepen.

In dit artikel leert u hoe u een NSG-stroomlogboek maakt, wijzigt, uitschakelt of verwijdert met behulp van de Azure CLI. U kunt leren hoe u een NSG-stroomlogboek beheert met behulp van de Azure-portal, PowerShell, REST API of ARM-sjabloon.

Vereisten

  • Een Azure-account met een actief abonnement. Gratis een account maken

  • Inzichtenprovider. Zie Register Insights-provider voor meer informatie.

  • Een netwerkbeveiligingsgroep. Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen als u een netwerkbeveiligingsgroep wilt maken, wijzigen of verwijderen.

  • Een opslagaccount van Azure. Als u een opslagaccount wilt maken, raadpleegt u Een opslagaccount maken met behulp van PowerShell.

  • Azure Cloud Shell of Azure CLI lokaal geïnstalleerd.

    • In de stappen in dit artikel worden de Azure CLI-opdrachten interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

    • U kunt Azure CLI ook lokaal installeren om de opdrachten uit te voeren. Als u Azure CLI lokaal uitvoert, meldt u zich aan bij Azure met behulp van de opdracht az login .

Insights-provider registreren

De Microsoft.Insights-provider moet zijn geregistreerd om verkeer dat via een netwerkbeveiligingsgroep stroomt, te kunnen registreren. Als u niet zeker weet of de Microsoft.Insights-provider is geregistreerd, gebruikt u az provider register om deze te registreren.

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

Een stroomlogboek maken

Maak een stroomlogboek met az network watcher flow-log create. Het stroomlogboek wordt gemaakt in de Network Watcher-standaardresourcegroep NetworkWatcherRG.

# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'

Notitie

  • Als het opslagaccount zich in een ander abonnement bevindt, moeten de netwerkbeveiligingsgroep en het opslagaccount zijn gekoppeld aan dezelfde Azure Active Directory-tenant. Het account dat u voor elk abonnement gebruikt, moet over de benodigde machtigingen beschikken.
  • Als het opslagaccount zich in een andere resourcegroep of een ander abonnement bevindt, moet u de volledige id van het opslagaccount opgeven in plaats van alleen de naam. Als het opslagaccount myStorageAccount zich bijvoorbeeld in een resourcegroep met de naam StorageRG bevindt terwijl de netwerkbeveiligingsgroep zich in de resourcegroep myResourceGroup bevindt, moet u deze gebruiken /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount voor --storage-account parameters in plaats van myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa

Een werkruimte voor stroomlogboeken en traffic analytics maken

  1. Maak een Log Analytics-werkruimte met az monitor log-analytics workspace create.

    # Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

  2. Maak een stroomlogboek met az network watcher flow-log create. Het stroomlogboek wordt gemaakt in de Network Watcher-standaardresourcegroep NetworkWatcherRG.

    # Create a version 1 NSG flow log and enable traffic analytics for it.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'

Notitie

  • Het opslagaccount kan geen netwerkregels hebben die de netwerktoegang beperken tot alleen Microsoft-services of specifieke virtuele netwerken.
  • Als het opslagaccount zich in een ander abonnement bevindt, moeten de netwerkbeveiligingsgroep en het opslagaccount zijn gekoppeld aan dezelfde Azure Active Directory-tenant. Het account dat u voor elk abonnement gebruikt, moet over de benodigde machtigingen beschikken.
  • Als het opslagaccount zich in een andere resourcegroep of een ander abonnement bevindt, moet de volledige id van het opslagaccount worden gebruikt. Als het opslagaccount myStorageAccount zich bijvoorbeeld in een resourcegroep met de naam StorageRG bevindt terwijl de netwerkbeveiligingsgroep zich in de resourcegroep myResourceGroup bevindt, moet u deze gebruiken /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount voor --storage-account parameters in plaats van myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'

Een stroomlogboek wijzigen

U kunt az network watcher flow-log update gebruiken om de eigenschappen van een stroomlogboek te wijzigen. U kunt bijvoorbeeld de versie van het stroomlogboek wijzigen of verkeersanalyse uitschakelen.

# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'

Alle stroomlogboeken in een regio weergeven

Gebruik az network watcher flow-log list om alle NSG-stroomlogboekresources in een bepaalde regio in uw abonnement weer te geven.

# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Details van een stroomlogboekresource weergeven

Gebruik az network watcher flow-log show om details van een stroomlogboekresource weer te geven.

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Een stroomlogboek downloaden

De opslaglocatie van een stroomlogboek wordt gedefinieerd bij het maken. Als u stroomlogboeken vanuit uw opslagaccount wilt openen en downloaden, kunt u Azure Storage Explorer gebruiken. Zie Aan de slag met Storage Explorer voor meer informatie.

NSG-stroomlogboekbestanden die zijn opgeslagen in een opslagaccount, volgen dit pad:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Zie De logboekindeling van NSG-stroomlogboeken voor informatie over de structuur van een stroomlogboek.

Een stroomlogboek uitschakelen

Als u een stroomlogboek tijdelijk wilt uitschakelen zonder het te verwijderen, gebruikt u de opdracht az network watcher flow-log update . Als u een stroomlogboek uitschakelt, wordt de logboekregistratie van stromen voor de gekoppelde netwerkbeveiligingsgroep gestopt. De stroomlogboekresource blijft echter behouden met alle instellingen en koppelingen. U kunt deze functie op elk gewenst moment opnieuw inschakelen om stroomlogboekregistratie voor de geconfigureerde netwerkbeveiligingsgroep te hervatten.

Notitie

Als traffic analytics is ingeschakeld voor een stroomlogboek, moet dit worden uitgeschakeld voordat u het stroomlogboek kunt uitschakelen.

# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'

Een stroomlogboek verwijderen

Als u een stroomlogboek definitief wilt verwijderen, gebruikt u de opdracht az network watcher flow-log delete . Als u een stroomlogboek verwijdert, worden alle instellingen en koppelingen verwijderd. Als u stroomlogboekregistratie opnieuw wilt starten voor dezelfde netwerkbeveiligingsgroep, moet u er een nieuw stroomlogboek voor maken.

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'

Notitie

Als u een stroomlogboek verwijdert, worden de stroomlogboekgegevens niet uit het opslagaccount verwijderd. Stroomlogboekgegevens die zijn opgeslagen in het opslagaccount, volgen het geconfigureerde bewaarbeleid.

Volgende stappen