Introductie van stroomlogboeken voor netwerkbeveiligingsgroepen
Introductie
Stroomlogboeken van netwerkbeveiligingsgroep (NSG) is een functie van Azure Network Watcher waarmee u informatie kunt verzamelen over IP-verkeer dat via een NSG stroomt. Flow gegevens worden verzonden naar Azure Storage accounts van waaruit u ze kunt openen en exporteren naar een visualisatiehulpprogramma, SIEM of ID's van uw keuze.
Waarom zou u Flow logboeken gebruiken?
Het is essentieel om uw eigen netwerk te bewaken, te beheren en te kennen voor niet-gecompromitteerde beveiliging, naleving en prestaties. Kennis van uw eigen omgeving is van cruciaal belang om deze te beveiligen en te optimaliseren. U moet vaak weten wat de huidige status is van het netwerk, wie verbinding maakt, waar ze verbinding van maken, welke poorten zijn geopend voor internet, verwacht netwerkgedrag, onregelmatig netwerkgedrag en plotselinge toename van het verkeer.
Flow logboeken zijn de bron van waarheid voor alle netwerkactiviteit in uw cloudomgeving. Of u nu een beginnend start-up bent die resources probeert te optimaliseren of grote ondernemingen die inbraak proberen te detecteren, Flow logboeken zijn de beste keuze. U kunt deze gebruiken voor het optimaliseren van netwerkstromen, het bewaken van de doorvoer, het controleren van de naleving, het detecteren van indringers en meer.
Algemene scenario’s
Netwerkbewaking: identificeer onbekend of ongewenst verkeer. Verkeersniveaus en bandbreedteverbruik bewaken. Filter stroomlogboeken op IP en poort om het gedrag van de toepassing te begrijpen. Export Flow logboeken naar analyse- en visualisatiehulpprogramma's van uw keuze om bewakingsdashboards in te stellen.
Bewaking en optimalisatie van gebruik: Identificeer de belangrijkste gespreksmakers in uw netwerk. Combineren met GeoIP-gegevens om verkeer tussen regio's te identificeren. Meer inzicht krijgen in de groei van het verkeer voor capaciteitsprognoses. Gebruik gegevens om al te beperkende verkeersregels te verwijderen.
Naleving: stroomgegevens gebruiken om netwerkisolatie en naleving van toegangsregels voor ondernemingen te controleren
Forensische netwerken & beveiligingsanalyse: analyseer netwerkstromen van aangetaste IP's en netwerkinterfaces. Stroomlogboeken exporteren naar een SIEM- of IDS-hulpprogramma van uw keuze.
Hoe logboekregistratie werkt
Sleuteleigenschappen
- Flow logboeken werken op laag 4 en registreren alle IP-stromen die in en uit een NSG gaan
- Logboeken worden verzameld met een interval van 1 minuut via het Azure-platform en hebben op geen enkele manier invloed op de resources of netwerkprestaties van klanten.
- Logboeken worden geschreven in de JSON-indeling en tonen uitgaande en binnenkomende stromen per NSG-regel.
- Elke logboekrecord bevat de netwerkinterface (NIC) waar de stroom op van toepassing is, informatie met 5 tuples, de verkeersbeslissing & (alleen versie 2) doorvoergegevens. Zie Logboekindeling hieronder voor meer informatie.
- Flow logboeken hebben een retentiefunctie waarmee de logboeken automatisch kunnen worden verwijderd tot een jaar na het maken ervan.
Notitie
Retentie is alleen beschikbaar als u Algemeen gebruik v2 Storage accounts (GPv2) gebruikt.
Basisconcepten
- Software-gedefinieerde netwerken zijn georganiseerd rond virtuele netwerken (VNET's) en subnetten. De beveiliging van deze VNets en subnetten kan worden beheerd met behulp van een NSG.
- Een netwerkbeveiligingsgroep (NSG) bevat een lijst met beveiligingsregels die netwerkverkeer toestaan of weigeren in resources waarmee deze is verbonden. NSG's kunnen worden gekoppeld aan elk subnet van een virtueel netwerk en elke netwerkinterface in een virtuele machine. Zie Overzicht van netwerkbeveiligingsgroep voor meer informatie.
- Alle verkeersstromen in uw netwerk worden geëvalueerd met behulp van de regels in de toepasselijke NSG.
- Het resultaat van deze evaluaties is NSG-Flow logboeken. Flow logboeken worden verzameld via het Azure-platform en hoeven de resources van de klant niet te worden gewijzigd.
- Opmerking: regels zijn van twee typen: het beëindigen & niet-beëindiging, elk met verschillende gedragingen voor logboekregistratie.
-
- NSG-regels voor weigeren worden beëindigen. De NSG die het verkeer weigert, registreert het in Flow logboeken en de verwerking in dit geval stopt nadat een NSG verkeer weigert.
-
- Regels voor het toestaan van NSG's zijn niet-beëindigend, wat betekent dat zelfs als één NSG dit toestaat, de verwerking wordt voortgezet naar de volgende NSG. De laatste NSG die verkeer toestaat, registreert het verkeer in Flow logboeken.
- NSG Flow logboeken worden geschreven naar opslagaccounts van waar ze toegankelijk zijn.
- U kunt logboeken exporteren, verwerken, analyseren en visualiseren Flow hulpprogramma's zoals Traffic Analytics, Splunk, Grafana, Verborgenwatch, enzovoort.
Logboekindeling
Flow logboeken bevatten de volgende eigenschappen:
- time: het tijdstip waarop de gebeurtenis is geregistreerd
- systemId : systeem-id van netwerkbeveiligingsgroep.
- category: de categorie van de gebeurtenis. De categorie is altijd NetworkSecurityGroupFlowEvent
- resourceid: de resource-id van de NSG
- operationName - Altijd NetworkSecurityGroupFlowEvents
- eigenschappen: een verzameling eigenschappen van de stroom
- Versie: versienummer van het Flow logboekgebeurtenisschema
- flows: een verzameling stromen. Deze eigenschap heeft meerdere vermeldingen voor verschillende regels
- regel: regel waarvoor de stromen worden vermeld
- flows: een verzameling stromen
- mac: het MAC-adres van de NIC voor de VM waarop de stroom is verzameld
- flowTuples: een tekenreeks met meerdere eigenschappen voor de stroom-tuple in door komma's gescheiden indeling
- Tijdstempel: deze waarde is het tijdstempel van wanneer de stroom heeft plaatsgevonden in UNIX epoche-indeling
- Bron-IP: het bron-IP-adres
- Doel-IP: het doel-IP-adres
- Bronpoort: de bronpoort
- Doelpoort: de doelpoort
- Protocol: het protocol van de stroom. Geldige waarden zijn T voor TCP en U voor UDP
- Verkeer Flow: de richting van de verkeersstroom. Geldige waarden zijn I voor inkomende en O voor uitgaand verkeer.
- Beslissing over verkeer: of verkeer is toegestaan of geweigerd. Geldige waarden zijn A voor toegestaan en D voor geweigerd.
- Flow status : alleen versie 2: legt de status van de stroom vast. Mogelijke statussen zijn B: Begin, wanneer een stroom wordt gemaakt. Er worden geen statistische gegevens geleverd. C: Continu, voor een actieve stroom. Statistische gegevens worden geleverd met intervallen van 5 minuten. E: Eind, wanneer een stroom is beëindigd. Er worden statistische gegevens geleverd.
- Pakketten - bron naar doel - alleen versie 2 Het totale aantal TCP-pakketten dat sinds de laatste update van de bron naar de bestemming is verzonden.
- Verzonden bytes - bron naar doel - alleen versie 2 Het totale aantal TCP-pakket bytes dat sinds de laatste update van de bron naar de bestemming is verzonden. Pakketbytes omvatten de pakket-header en -nettolading.
- Pakketten - Doel naar bron - alleen versie 2 Het totale aantal TCP-pakketten dat sinds de laatste update van het doel naar de bron is verzonden.
- Verzonden bytes - doel naar bron - alleen versie 2 Het totale aantal TCP-pakket bytes dat sinds de laatste update van het doel naar de bron is verzonden. Pakketbytes omvatten een pakket-header en -nettolading.
- flows: een verzameling stromen
- regel: regel waarvoor de stromen worden vermeld
NSG-stroomlogboeken versie 2 (versus versie 1)
Versie 2 van de logboeken introduceert het concept stroomtoestand. U kunt configureren welke versie van stroomlogboeken u ontvangt.
Flow status B wordt vastgelegd wanneer een stroom wordt gestart. Flow status C en stroomtoestand E zijn statussen die respectievelijk het vervolg van een stroom en stroombeëindiging markeren. De C- en E-staten bevatten informatie over de bandbreedte van het verkeer.
Voorbeeldlogboekrecords
De volgende tekst is een voorbeeld van een stroomlogboek. Zoals u ziet, zijn er meerdere records die de eigenschappenlijst volgen die in de vorige sectie is beschreven.
Notitie
Waarden in de eigenschap flowTuples zijn een door komma's gescheiden lijst.
Voorbeeld van NSG-stroomlogboekindeling versie 1
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
"records":
[
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
}
Voorbeeld van NSG-stroomlogboekindeling versie 2
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
Uitleg van Log Tuple
Berekening van steekproefbandbreedte
Flow tuples uit een TCP-gesprek tussen 185.170.185.105:35370 en 10.2.0.4:23:
"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.18 5.105.10.2.0.4.35370,23,T,I,A,E,52.29952,47.27072"
Voor de vervolg-C- en eind-E-stroom worden het aantal byten en pakketten geaggregeerd vanaf het tijdstip van de vorige stroom-tuplerecord. Verwijzend naar het vorige voorbeeldgesprek is het totale aantal overgedragen pakketten 1021+52+8005+47 = 9125. Het totale aantal overgedragen bytes is 588096+29952+4610880+27072 = 5256000.
NSG-stroomlogboeken inschakelen
Gebruik de relevante koppeling hieronder voor hulp bij het inschakelen van stroomlogboeken.
Parameters bijwerken
Azure-portal
Navigeer Azure Portal de pagina NSG-logboeken Flow logboeken in Network Watcher. Klik vervolgens op de naam van de NSG. Hiermee wordt het deelvenster Instellingen voor het Flow weergegeven. Wijzig de parameters die u wilt en druk op Opslaan om de wijzigingen te implementeren.
PS/CLI/REST/ARM
Als u parameters wilt bijwerken via opdrachtregelprogramma's, gebruikt u dezelfde opdracht als voor het inschakelen van Flow-logboeken (hierboven), maar met bijgewerkte parameters die u wilt wijzigen.
Werken met Flow logboeken
Stroomlogboeken lezen en exporteren
- Weergave & van Flow downloaden vanuit de portal
- Logboeken Flow PowerShell-functies lezen
- NSG-logboeken Flow exporteren naar Splunk
Stroomlogboeken zijn gericht op NSG's, maar ze worden niet hetzelfde weergegeven als de andere logboeken. Flow logboeken worden alleen opgeslagen in een opslagaccount en volgen het logboekpad dat in het volgende voorbeeld wordt weergegeven:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Stroomlogboeken visualiseren
- Azure Traffic Analytics is een native Azure-service voor het verwerken van stroomlogboeken, het extraheren van inzichten en het visualiseren van stroomlogboeken.
- [Zelfstudie] NSG-logboeken Flow visualiseren met Power BI
- [Zelfstudie] NSG-logboeken Flow visualiseren met Elastic Stack
- [Zelfstudie] NSG-logboeken beheren Flow analyseren met grafana
- [Zelfstudie] NSG-logboeken met Flow beheren en analyseren met Graylog
Stroomlogboeken uitschakelen
Wanneer het stroomlogboek is uitgeschakeld, wordt de stroomlogboekregistratie voor de gekoppelde NSG gestopt. Maar het stroomlogboek als resource blijft bestaan met alle instellingen en verbanden. Het kan op elk gewenst moment worden ingeschakeld om stroomlogregistratie te starten op de geconfigureerde NSG. Stappen voor het uitschakelen/inschakelen van stroomlogboeken vindt u in deze handleiding.
Stroomlogboeken verwijderen
Wanneer het stroomlogboek wordt verwijderd, wordt niet alleen de stroomlogboekregistratie voor de gekoppelde NSG gestopt, maar wordt ook de resource voor het stroomlogboek verwijderd met de instellingen en associaties. Als u de stroomlogboekregistratie opnieuw wilt starten, moet er een nieuwe stroomlogboekresource worden gemaakt voor die NSG. Een stroomlogboek kan worden verwijderd met behulp van PowerShell, CLI of REST API. De ondersteuning voor het verwijderen van stroomlogboeken van Azure Portal is in de pijplijn.
Wanneer een NSG wordt verwijderd, wordt standaard ook de bijbehorende stroomlogboekresource verwijderd.
Notitie
Als u een NSG wilt verplaatsen naar een andere resourcegroep of een ander abonnement, moeten de bijbehorende stroomlogboeken worden verwijderd. Het uitschakelen van de stroomlogboeken werkt niet. Na de migratie van NSG moeten de stroomlogboeken opnieuw worden gemaakt om stroomlogboeken in te kunnen stellen.
Overwegingen voor NSG-stroomlogregistratie
Storage accountoverwegingen:
- Locatie: het gebruikte opslagaccount moet zich in dezelfde regio bevinden als de NSG.
- Prestatielaag: momenteel worden alleen opslagaccounts van de Standard-laag ondersteund.
- Sleutelrotatie zelf beheren: als u de toegangssleutels voor uw opslagaccount wijzigt/roteert, werken de NSG-Flow-logboeken niet meer. U kunt dit probleem oplossen door NSG-logboeken uit te schakelen Flow weer in te schakelen.
Flow logboekregistratiekosten: NSG-stroomlogboeken worden gefactureerd voor het aantal geproduceerde logboeken. Een hoog verkeersvolume kan leiden tot een groot stroomlogboekvolume en de bijbehorende kosten. De prijzen van Flow NSG-logboeken omvatten niet de onderliggende opslagkosten. Het gebruik van de functie voor retentiebeleid met NSG Flow logboekregistratie betekent dat er gedurende langere tijd afzonderlijke opslagkosten in rekening worden brengen. Als u gegevens voor altijd wilt bewaren en geen bewaarbeleid wilt toepassen, stelt u retentie (dagen) in op 0. Zie Prijzen en Network Watcher meer Azure Storage voor meer informatie.
Problemen met door de gebruiker gedefinieerde inkomende TCP-regels: netwerkbeveiligingsgroepen (NSG's) worden geïmplementeerd als een stateful firewall. Vanwege de huidige platformbeperkingen worden door de gebruiker gedefinieerde regels die van invloed zijn op binnenkomende TCP-stromen echter op een staatloze manier geïmplementeerd. Als gevolg van dit worden stromen die worden beïnvloed door door de gebruiker gedefinieerde regels voor binnenkomende gegevens, niet-beëindigend. Daarnaast worden het aantal byte's en pakketten niet vastgelegd voor deze stromen. Daarom kan het aantal bytes en pakketten dat wordt gerapporteerd in NSG Flow-logboeken (en Traffic Analytics) verschillen van de werkelijke getallen. Dit kan worden opgelost door de eigenschap FlowTimeoutInMinutes op de gekoppelde virtuele netwerken in te stellen op een niet-null-waarde.
Binnenkomende stromen die zijn geregistreerd van internet-IP's naar VM's zonder openbare IP-adressen: VM's die geen openbaar IP-adres hebben dat is toegewezen via een openbaar IP-adres dat is gekoppeld aan de NIC als een openbaar IP-adres op exemplaarniveau of die deel uitmaken van een basis-load balancer-back-endpool, gebruiken standaard-SNAT en hebben een IP-adres dat door Azure is toegewezen om uitgaande connectiviteit te vergemakkelijken. Als gevolg hiervan ziet u mogelijk vermeldingen in stroomlogboek voor stromen van IP-adressen op internet, als de stroom is bestemd voor een poort in het bereik van poorten die zijn toegewezen voor SNAT. Hoewel deze stromen niet naar de VM worden toegestaan, wordt de poging geregistreerd en wordt deze in het NSG-stroomlogboek van Network Watcher weergegeven. We raden u aan om ongewenst inkomende internetverkeer expliciet te blokkeren met NSG.
NSG op ExpressRoute-gatewaysubnet: het wordt afgeraden om stromen in het ExpressRoute-gatewaysubnet te melden, omdat verkeer de Express Route-gateway kan omzeilen (bijvoorbeeld: FastPath). Dus als een NSG is gekoppeld aan een ExpressRoute-gatewaysubnet en NSG-stroomlogboeken zijn ingeschakeld, worden uitgaande stromen naar virtuele machines mogelijk niet vastgelegd. Dergelijke stromen moeten worden vastgelegd in het subnet of de NIC van de virtuele machine.
Verkeer via private link: als u verkeer wilt logboeken tijdens het openen van PaaS-resources via private link, moet u NSG-stroomlogboeken inschakelen op een subnet-NSG met de privékoppeling. Vanwege platformbeperkingen kan het verkeer op alle bron-VM's alleen worden vastgelegd, terwijl dat op de Doel-PaaS-resource niet kan worden vastgelegd.
Probleem met Application Gateway V2-subnet-NSG: Flow logboekregistratie op de V2-subnet-NSG van de toepassingsgateway wordt momenteel niet ondersteund. Dit probleem heeft geen invloed op Application Gateway V1.
Niet-compatibele services: vanwege de huidige platformbeperkingen wordt een kleine set Azure-services niet ondersteund door NSG-Flow logboeken. De huidige lijst met incompatibele services is
Aanbevolen procedures
Inschakelen op kritieke VNET's/subnetten: Flow-logboeken moeten worden ingeschakeld op alle kritieke VNET's/subnetten in uw abonnement als een best practice.
Schakel NSG-Flow logboekregistratie in op alle NSG's die zijn gekoppeld aan een resource: Flow logboekregistratie in Azure is geconfigureerd op de NSG-resource. Een stroom wordt slechts aan één NSG-regel gekoppeld. In scenario's waarin meerdere NSG's worden gebruikt, wordt u aangeraden NSG-stroomlogboeken in te schakelen op alle NSG's die in het subnet of de netwerkinterface van de resource zijn toegepast, om ervoor te zorgen dat al het verkeer wordt geregistreerd. Zie hoe verkeer wordt geëvalueerd in netwerkbeveiligingsgroepen voor meer informatie.
Enkele veelvoorkomende scenario's:
- Meerdere NIC's op een VM: als er meerdere NIC's zijn gekoppeld aan een virtuele machine, moet stroomlogregistratie op al deze NIC's zijn ingeschakeld
- NSG op zowel NIC- als subnetniveau: als NSG is geconfigureerd op het niveau van de NIC en het subnet, moet stroomlogregistratie worden ingeschakeld op beide NSG's.
- AKS-clustersubnet: AKS voegt een standaard-NSG toe aan het clustersubnet. Zoals uitgelegd in het bovenstaande punt, moet stroomlogregistratie zijn ingeschakeld op deze standaard-NSG.
Storage inrichting: Storage moeten worden ingericht in lijn met het verwachte Flow Log-volume.
Naamgeving: de naam van de NSG moet maximaal 80 chars zijn en de NSG-regel mag maximaal 65 chars zijn. Als de namen de tekenlimiet overschrijden, kan deze tijdens de logboekregistratie worden afgekapt.
Oplossen van algemene problemen
Ik kan de NSG-stroomlogboeken niet inschakelen
- Microsoft. Insights resourceprovider is niet geregistreerd
Als u een fout AuthorizationFailed of GatewayAuthenticationFailed hebt ontvangen, hebt u mogelijk de resourceprovider Microsoft Insights niet ingeschakeld in uw abonnement. Volg de instructies voor het inschakelen van de Microsoft Insights provider.
Ik heb NSG-stroomlogboeken ingeschakeld maar ik zie de gegevens niet in mijn opslagaccount
- Configuratietijd
Het kan tot vijf minuten duren voordat NSG-stroomlogboeken worden weergegeven in uw opslagaccount (als ze correct zijn geconfigureerd). Er wordt een PT1H.json weergegeven die kan worden geopend zoals hier wordt beschreven.
- Geen verkeer op uw NSG's
Soms worden er geen logboeken weergegeven omdat uw VM's niet actief zijn of dat er upstreamfilters aanwezig zijn op een App Gateway of andere apparaten die verkeer naar uw NSG's blokkeren.
Ik wil NSG-stroomlogboeken automatiseren
Ondersteuning voor automatisering via ARM-sjablonen is nu beschikbaar voor NSG-Flow logboeken. Lees de aankondiging van de functie & het Snel starten in het arm-sjabloondocument voor meer informatie.
Veelgestelde vragen
Wat doet NSG Flow logboeken?
Azure-netwerkbronnen kunnen worden gecombineerd en beheerd via netwerkbeveiligingsgroepen (NSG's). Met NSG Flow logboeken kunt u 5-tuple stroominformatie over al het verkeer via uw NSG's in een logboek opslaan. De logboeken van de onbewerkte stroom worden naar een Azure Storage-account geschreven van waaruit ze verder kunnen worden verwerkt, geanalyseerd, opgevraagd of waar nodig kunnen worden geëxporteerd.
Is het gebruik Flow logboeken van invloed op mijn netwerklatentie of prestaties?
Flow registreert gegevens worden verzameld buiten het pad van uw netwerkverkeer en heeft daarom geen invloed op de netwerkdoorvoer of latentie. U kunt stroomlogboeken maken of verwijderen zonder dat dit van invloed is op de netwerkprestaties.
Hoe kan ik NSG gebruiken Flow logboeken met een Storage-account achter een firewall?
Als u een Storage-account achter een firewall wilt gebruiken, moet u een uitzondering voor vertrouwde Microsoft-services bieden voor toegang tot uw opslagaccount:
- Navigeer naar het opslagaccount door de naam van het opslagaccount te typen in de algemene zoekopdracht in de portal of op de pagina Storage Accounts
- Selecteer in de sectie INSTELLINGEN de optie Firewalls en virtuele netwerken
- Selecteer geselecteerde netwerken in Toegang toestaan vanuit. Vink vervolgens onder Uitzonderingen het selectievakje aan naast Vertrouwde Microsoft-services toegang tot dit opslagaccount toestaan
- Als deze optie al is geselecteerd, is er geen wijziging nodig.
- Zoek uw doel-NSG op de overzichtspagina NSG Flow-logboeken en schakel NSG in Flow-logboeken met het bovenstaande opslagaccount geselecteerd.
U kunt de Storage-logboeken na enkele minuten controleren. U ziet dan een bijgewerkte tijdstempel of een nieuw JSON-bestand.
Hoe kan ik NSG gebruiken Flow logboeken met een Storage-account achter een service-eindpunt?
NSG Flow logboeken zijn compatibel met service-eindpunten zonder extra configuratie. Zie de zelfstudie over het inschakelen van service-eindpunten in uw virtuele netwerk.
Wat is het verschil tussen stroomlogboeken versie 1 & 2?
Flow logs versie 2 introduceert het concept van Flow State & slaat informatie op over verzonden bytes en pakketten. Meer informatie
Prijzen
NSG Flow logboeken worden in rekening gebracht per GB logboeken die zijn verzameld en worden bij een gratis laag van 5 GB/maand per abonnement inbegrepen. Zie de pagina met prijzen voor Network Watcher huidige prijzen in uw regio.
Storage van logboeken afzonderlijk in rekening worden gebracht, zie Azure Storage pagina met prijzen voor blok-blobs voor relevante prijzen.