Introductie van stroomlogboeken voor netwerkbeveiligingsgroepen

Introductie

Netwerkbeveiligingsgroepstroomlogboeken (NSG) is een functie van Azure Network Watcher waarmee u informatie kunt vastleggen over IP-verkeer dat via een NSG stroomt. Flow gegevens worden verzonden naar Azure Storage accounts waar u deze kunt openen en exporteren naar elk visualisatieprogramma, SIEM of IDS van uw keuze.

flow logs overview

Waarom Flow Logboeken gebruiken?

Het is essentieel om uw eigen netwerk te bewaken, beheren en kennen voor niet-gecompromiseerde beveiliging, naleving en prestaties. Het is van cruciaal belang om uw eigen omgeving te beschermen en te optimaliseren. U moet vaak de huidige status van het netwerk kennen, die verbinding maakt, waar ze verbinding maken, van waaruit poorten zijn geopend voor internet, verwacht netwerkgedrag, onregelmatig netwerkgedrag en plotselinge toename van het verkeer.

Flow logboeken zijn de bron van waarheid voor alle netwerkactiviteiten in uw cloudomgeving. Of u nu een geplande startup bent die resources of grote ondernemingen probeert te optimaliseren om inbraak te detecteren, Flow logboeken zijn de meest relevante treffer. U kunt deze gebruiken voor het optimaliseren van netwerkstromen, het bewaken van doorvoer, het controleren van naleving, het detecteren van inbraak en meer.

Algemene scenario’s

Netwerkbewaking: onbekend of ongewenst verkeer identificeren. Bewaak de verkeersniveaus en het bandbreedteverbruik. Filter stroomlogboeken op IP en poort om inzicht te hebben in het gedrag van toepassingen. Exporteer Flow Logboeken naar analyse- en visualisatiehulpprogramma's van uw keuze om bewakingsdashboards in te stellen.

Gebruiksbewaking en optimalisatie: Identificeer de belangrijkste talkers in uw netwerk. Combineer met GeoIP-gegevens om verkeer tussen regio's te identificeren. Inzicht in de verkeersgroei voor capaciteitsprognoses. Gebruik gegevens om te veel beperkende verkeersregels te verwijderen.

Naleving: Stroomgegevens gebruiken om netwerkisolatie en naleving van bedrijfstoegangsregels te controleren

Forensisch & netwerk Beveiligingsanalyse: analyseer netwerkstromen van aangetaste IP-adressen en netwerkinterfaces. Exporteer stroomlogboeken naar elk SIEM- of IDS-hulpprogramma van uw keuze.

Hoe logboekregistratie werkt

Sleuteleigenschappen

  • Flow logboeken worden uitgevoerd op laag 4 en registreren alle IP-stromen die in en uit een NSG gaan
  • Logboeken worden verzameld met een interval van 1 minuten via het Azure-platform en hebben geen invloed op klantbronnen of netwerkprestaties.
  • Logboeken worden geschreven in de JSON-indeling en tonen uitgaande en binnenkomende stromen op basis van een NSG-regel.
  • Elke logboekrecord bevat de netwerkinterface (NIC) die de stroom toepast op gegevens van 5 tuples, de verkeersbeslissing & (alleen versie 2) doorvoerinformatie. Zie De logboekindeling hieronder voor meer informatie.
  • Flow Logboeken een bewaarfunctie hebben waarmee de logboeken automatisch een jaar na het maken ervan worden verwijderd.

Notitie

Retentie is alleen beschikbaar als u Algemeen gebruik v2 Storage accounts (GPv2) gebruikt.

Basisconcepten

  • Software-gedefinieerde netwerken zijn georganiseerd rond VNET's (Virtual Networks) en subnetten. De beveiliging van deze VNets en subnetten kan worden beheerd met behulp van een NSG.
  • Een netwerkbeveiligingsgroep (NSG) bevat een lijst met beveiligingsregels waarmee netwerkverkeer wordt toegestaan of geweigerd in resources waarmee het is verbonden. NSG's kunnen worden gekoppeld aan elk subnet van het virtuele netwerk en de netwerkinterface in een virtuele machine. Zie het overzicht van netwerkbeveiligingsgroepen voor meer informatie.
  • Alle verkeersstromen in uw netwerk worden geëvalueerd met behulp van de regels in de toepasselijke NSG.
  • Het resultaat van deze evaluaties is NSG Flow Logboeken. Flow logboeken worden verzameld via het Azure-platform en hoeven de klantbronnen niet te worden gewijzigd.
  • Opmerking: Regels zijn van twee typen: het beëindigen van & niet-afsluitbewerkingen, elk met verschillende gedragsregels voor logboekregistratie.
    • NSG-regels voor weigeren worden beëindigd. De NSG die het verkeer weigert, registreert het in Flow logboeken en verwerking in dit geval wordt gestopt nadat een NSG verkeer weigert.
    • Regels voor het toestaan van NSG's zijn niet-afsluiting, wat betekent dat zelfs als één NSG dit toestaat, de verwerking wordt voortgezet naar de volgende NSG. De laatste NSG waarmee verkeer wordt toegestaan, registreert het verkeer naar Flow logboeken.
  • NSG Flow Logboeken worden naar opslagaccounts geschreven waar ze kunnen worden geopend.
  • U kunt Flow logboeken exporteren, verwerken, analyseren en visualiseren met behulp van hulpprogramma's zoals Traffic Analytics, Splunk, Grafana, Stealthwatch, enzovoort.

Logboekindeling

Flow logboeken bevatten de volgende eigenschappen:

  • tijd - Tijdstip waarop de gebeurtenis is geregistreerd
  • systemId - Systeem-id van netwerkbeveiligingsgroep.
  • categorie - De categorie van de gebeurtenis. De categorie is altijd NetworkSecurityGroupFlowEvent
  • resourceid - De resource-id van de NSG
  • operationName - Always NetworkSecurityGroupFlowEvents
  • eigenschappen - Een verzameling eigenschappen van de stroom
    • Versie- versienummer van het gebeurtenisschema van Flow logboek
    • stromen : een verzameling stromen. Deze eigenschap heeft meerdere vermeldingen voor verschillende regels
      • regel - Regel waarvoor de stromen worden vermeld
        • stromen - een verzameling stromen
          • mac : het MAC-adres van de NIC voor de VM waarop de stroom is verzameld
          • flowTuples - Een tekenreeks die meerdere eigenschappen voor de stroom tuple bevat in door komma's gescheiden indeling
            • Tijdstempel: deze waarde is het tijdstempel van wanneer de stroom is opgetreden in UNIX epoch-indeling
            • Bron-IP - Het bron-IP-adres
            • Doel-IP - Het doel-IP-adres
            • Bronpoort : de bronpoort
            • Doelpoort - De doelpoort
            • Protocol : het protocol van de stroom. Geldige waarden zijn T voor TCP en U voor UDP
            • Verkeer Flow : de richting van de verkeersstroom. Geldige waarden zijn I voor inkomend en O voor uitgaand verkeer.
            • Beslissing over verkeer: of verkeer is toegestaan of geweigerd. Geldige waarden zijn A voor toegestaan en D voor geweigerd.
            • Flow state - alleen versie 2 - legt de status van de stroom vast. Mogelijke statussen zijn B: Begin, wanneer een stroom wordt gemaakt. Er worden geen statistische gegevens geleverd. C: Continu, voor een actieve stroom. Statistische gegevens worden geleverd met intervallen van 5 minuten. E: Eind, wanneer een stroom is beëindigd. Er worden statistische gegevens geleverd.
            • Pakketten - Bron naar bestemming - alleen versie 2 Het totale aantal TCP-pakketten dat vanaf de bron naar de bestemming is verzonden sinds de laatste update.
            • Verzonden bytes - Bron naar bestemming - alleen versie 2 Het totale aantal TCP-pakketbytes dat is verzonden van de bron naar de bestemming sinds de laatste update. Pakketbytes omvatten de pakket-header en -nettolading.
            • Pakketten - Doel naar bron - alleen versie 2 Het totale aantal TCP-pakketten dat vanaf de bestemming naar de bron is verzonden sinds de laatste update.
            • Verzonden bytes - Doel naar bron - alleen versie 2 Het totale aantal TCP-pakketbytes dat is verzonden van de bestemming naar de bron sinds de laatste update. Pakketbytes omvatten een pakket-header en -nettolading.

NSG-stroomlogboeken versie 2 (vs versie 1)

Versie 2 van de logboeken introduceert het concept van stroomstatus. U kunt configureren welke versie van stroomlogboeken u ontvangt.

Flow status B wordt geregistreerd wanneer een stroom wordt gestart. Flow status C en stroomstatus E zijn statusSen die respectievelijk de voortzetting van een stroom- en stroombeëindiging markeren. Zowel C - als E-statussen bevatten informatie over de verkeersbandbreedte.

Voorbeeldlogboekrecords

De volgende tekst is een voorbeeld van een stroomlogboek. Zoals u ziet, zijn er meerdere records die de eigenschappenlijst volgen die in de vorige sectie worden beschreven.

Notitie

Waarden in de eigenschap flowTuples zijn een door komma's gescheiden lijst.

Voorbeeld van NSG-stroomlogboekindeling versie 1

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        
        

Voorbeeld van NSG-stroomlogboekindeling versie 2

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
        

Uitleg van logboek tuple

flow logs tuple

Berekening van voorbeeldbandbreedte

Flow tuples van een TCP-gesprek tussen 185.170.185.105:35370 en 10.2.0.4:23:

"1493763938,185.170.185.105.10.2.0.4.35370,23,T,I,A,A B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,3 T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105.10.2.0.4.35370,23,T,I,A,E,52.29952,47.27072"

Voor vervolg-C - en end-E-stroomstatussen zijn byte- en pakketaantallen geaggregeerde aantallen van de tijd van de vorige stroom tuple-record. Naar het vorige voorbeeldgesprek verwijst, is het totale aantal overgedragen pakketten 1021+52+8005+47 = 9125. Het totale aantal overgedragen bytes is 588096+29952+4610880+27072 = 5256000.

NSG-stroomlogboeken inschakelen

Gebruik de relevante koppeling hieronder voor handleidingen over het inschakelen van stroomlogboeken.

Parameters bijwerken

Azure-portal

Ga op de Azure Portal naar de sectie NSG-Flow Logboeken in Network Watcher. Klik vervolgens op de naam van de NSG. Hiermee wordt het deelvenster Instellingen voor het Flow-logboek weergegeven. Wijzig de gewenste parameters en druk op Opslaan om de wijzigingen te implementeren.

PS/CLI/REST/ARM

Als u parameters wilt bijwerken via opdrachtregelprogramma's, gebruikt u dezelfde opdracht die wordt gebruikt om Flow Logboeken (van boven) in te schakelen, maar met bijgewerkte parameters die u wilt wijzigen.

Werken met Flow logboeken

Stroomlogboeken lezen en exporteren

Terwijl stroomlogboeken zijn gericht op NSG's, worden ze niet hetzelfde weergegeven als de andere logboeken. Flow logboeken worden alleen in een opslagaccount opgeslagen en volgt u het logboekpad in het volgende voorbeeld:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Stroomlogboeken visualiseren

Stroomlogboeken uitschakelen

Wanneer het stroomlogboek is uitgeschakeld, wordt de stroomlogboekregistratie voor de bijbehorende NSG gestopt. Maar het stroomlogboek als resource blijft bestaan met alle bijbehorende instellingen en koppelingen. Het kan op elk gewenst moment worden ingeschakeld om stroomlogboeken te starten op de geconfigureerde NSG. Stappen voor het uitschakelen/inschakelen van stroomlogboeken vindt u in deze handleiding.

Stroomlogboeken verwijderen

Wanneer het stroomlogboek wordt verwijderd, wordt niet alleen de stroomlogboekregistratie voor de bijbehorende NSG gestopt, maar wordt ook de stroomlogboekresource verwijderd met de instellingen en koppelingen. Als u stroomlogboekregistratie opnieuw wilt starten, moet er een nieuwe stroomlogboekresource worden gemaakt voor die NSG. Een stroomlogboek kan worden verwijderd met behulp van PowerShell, CLI of REST API. De ondersteuning voor het verwijderen van stroomlogboeken van Azure Portal bevindt zich in de pijplijn.

Wanneer een NSG wordt verwijderd, wordt standaard de bijbehorende stroomlogboekresource verwijderd.

Notitie

Als u een NSG wilt verplaatsen naar een andere resourcegroep of een ander abonnement, moeten de gekoppelde stroomlogboeken worden verwijderd. Het uitschakelen van de stroomlogboeken werkt niet. Na de migratie van NSG moeten de stroomlogboeken opnieuw worden gemaakt om stroomlogboeken in te schakelen.

Overwegingen voor NSG-stroomlogboeken

overwegingen voor Storage account:

  • Locatie: Het gebruikte opslagaccount moet zich in dezelfde regio bevinden als de NSG.
  • Prestatielaag: momenteel worden alleen opslagaccounts van de standard-laag ondersteund.
  • Zelfbeheer van sleutelrotatie: als u de toegangssleutels wijzigt/roteert naar uw opslagaccount, werken NSG-Flow Logboeken niet meer. U kunt dit probleem oplossen door NSG-Flow Logboeken uit te schakelen en vervolgens opnieuw in te schakelen.

Flow kosten voor logboekregistratie: NSG-stroomlogboekregistratie wordt gefactureerd op het aantal geproduceerde logboeken. Een groot verkeersvolume kan leiden tot een groot stroomlogboekvolume en de bijbehorende kosten. NSG Flow logboekprijzen omvatten niet de onderliggende kosten van opslag. Het gebruik van de functie bewaarbeleid met NSG Flow Logboekregistratie betekent dat er gedurende langere tijd afzonderlijke opslagkosten worden gemaakt. Als u gegevens voor altijd wilt bewaren en geen bewaarbeleid wilt toepassen, stelt u bewaarperiode (dagen) in op 0. Zie Network Watcher prijzen en Azure Storage prijzen voor meer informatie voor meer informatie.

Problemen met door de gebruiker gedefinieerde TCP-regels: Netwerkbeveiligingsgroepen (NSG's) worden geïmplementeerd als stateful firewall. Vanwege de huidige platformbeperkingen worden door de gebruiker gedefinieerde regels die van invloed zijn op binnenkomende TCP-stromen echter op staatloze wijze geïmplementeerd. Hierdoor worden stromen die worden beïnvloed door door de gebruiker gedefinieerde regels voor inkomend verkeer, niet-beëindigend. Daarnaast worden byte- en pakketaantallen niet vastgelegd voor deze stromen. Het aantal bytes en pakketten dat in NSG Flow Logboeken (en Traffic Analytics) is gerapporteerd, kan dus verschillen van werkelijke getallen. Dit kan worden opgelost door de eigenschap FlowTimeoutInMinutes in te stellen op de gekoppelde virtuele netwerken op een niet-null-waarde.

Binnenkomende stromen die zijn vastgelegd van internet-IP's naar VM's zonder openbare IP-adressen: VM's die geen openbaar IP-adres hebben toegewezen via een openbaar IP-adres dat is gekoppeld aan de NIC als openbaar IP-adres op exemplaarniveau, of die deel uitmaken van een standaard back-endpool van een load balancer, standaard-SNAT gebruiken en een IP-adres hebben toegewezen door Azure om uitgaande connectiviteit mogelijk te maken. Als gevolg hiervan ziet u mogelijk vermeldingen in het stroomlogboek voor stromen van INTERNET-IP-adressen, als de stroom is bestemd voor een poort in het bereik van poorten die zijn toegewezen voor SNAT. Hoewel Azure deze stromen niet toestaat voor de VIRTUELE machine, wordt de poging vastgelegd en weergegeven in het NSG-stroomlogboek van Network Watcher ontwerp. We raden u aan dat ongewenst binnenkomend internetverkeer expliciet wordt geblokkeerd met NSG.

NSG in het ExpressRoute-gatewaysubnet : het wordt niet aanbevolen om stromen op het ExpressRoute-gatewaysubnet te registreren, omdat verkeer de expressroute-gateway kan omzeilen (bijvoorbeeld : FastPath). Dus als een NSG is gekoppeld aan een ExpressRoute Gateway-subnet en NSG-stroomlogboeken zijn ingeschakeld, worden uitgaande stromen naar virtuele machines mogelijk niet vastgelegd. Dergelijke stromen moeten worden vastgelegd in het subnet of de NIC van de VIRTUELE machine.

Verkeer via privékoppeling : als u verkeer wilt registreren tijdens het openen van PaaS-resources via private link, schakelt u NSG-stroomlogboeken in op een subnet-NSG met de privékoppeling. Vanwege platformbeperkingen kan het verkeer op alle bron-VM's alleen worden vastgelegd, terwijl dat op de PaaS-doelresource niet kan worden vastgelegd.

Probleem met Application Gateway V2-subnet-NSG: Flow logboekregistratie op de V2-subnet-NSG van de toepassingsgateway wordt momenteel niet ondersteund. Dit probleem heeft geen invloed op Application Gateway V1.

Niet-compatibele services: vanwege de huidige platformbeperkingen worden een kleine set Azure-services niet ondersteund door NSG-Flow Logboeken. De huidige lijst met niet-compatibele services is

Aanbevolen procedures

Inschakelen voor kritieke subnetten: Flow logboeken moeten zijn ingeschakeld voor alle kritieke subnetten in uw abonnement als best practice voor controlebaarheid en beveiliging.

Schakel NSG-Flow logboekregistratie in voor alle NSG's die zijn gekoppeld aan een resource: Flow logboekregistratie in Azure is geconfigureerd op de NSG-resource. Een stroom wordt slechts gekoppeld aan één NSG-regel. In scenario's waarin meerdere NSG's worden gebruikt, wordt u aangeraden NSG-stroomlogboeken in te schakelen op alle NSG's die in het subnet of de netwerkinterface van de resource zijn toegepast, om ervoor te zorgen dat al het verkeer wordt geregistreerd. Zie voor meer informatie hoe verkeer wordt geëvalueerd in netwerkbeveiligingsgroepen.

Enkele veelvoorkomende scenario's:

  1. Meerdere NIC's op een VM: als er meerdere NIC's aan een virtuele machine zijn gekoppeld, moet stroomlogboekregistratie zijn ingeschakeld op alle NIC's
  2. NSG op zowel NIC- als subnetniveau: als NSG op NIC en subnetniveau is geconfigureerd, moet stroomlogboekregistratie worden ingeschakeld op zowel de NSG's, omdat de exacte volgorde van regelverwerking door NSG's op NIC- en subnetniveau platformafhankelijk is en verschilt van hoofdletter tot geval. Verkeersstromen worden geregistreerd bij de NSG die het laatst wordt verwerkt.
  3. AKS-clustersubnet: AKS voegt een standaard-NSG toe aan het clustersubnet. Zoals in het bovenstaande punt wordt uitgelegd, moet stroomlogboekregistratie zijn ingeschakeld op deze standaard-NSG.

Storage inrichting: Storage moet worden ingericht overeenkomstig het verwachte Flow Logboekvolume.

Naamgeving: De NSG-naam moet maximaal 80 tekens zijn en de NSG-regelnamen tot 65 tekens. Als de namen de tekenlimiet overschrijden, wordt deze mogelijk afgekapt tijdens de logboekregistratie.

Oplossen van algemene problemen

Ik kan de NSG-stroomlogboeken niet inschakelen

  • Microsoft. Insights resourceprovider is niet geregistreerd

Als u een fout AuthorizationFailed of GatewayAuthenticationFailed hebt ontvangen, hebt u mogelijk de resourceprovider Microsoft Insights niet ingeschakeld in uw abonnement. Volg de instructies om de Microsoft Insights-provider in te schakelen.

Ik heb NSG-stroomlogboeken ingeschakeld maar ik zie de gegevens niet in mijn opslagaccount

  • Configuratietijd

Het kan tot vijf minuten duren voordat NSG-stroomlogboeken worden weergegeven in uw opslagaccount (als ze correct zijn geconfigureerd). Er wordt een PT1H.json weergegeven die kan worden geopend zoals hier wordt beschreven.

  • Geen verkeer op uw NSG's

Soms worden er geen logboeken weergegeven omdat uw VM's niet actief zijn of dat er upstreamfilters aanwezig zijn op een App Gateway of andere apparaten die verkeer naar uw NSG's blokkeren.

Ik wil NSG-stroomlogboeken automatiseren

Ondersteuning voor automatisering via ARM-sjablonen is nu beschikbaar voor NSG-Flow Logboeken. Lees de aankondiging van de functie & de quick start van het ARM-sjabloondocument voor meer informatie.

Veelgestelde vragen

Wat doet NSG Flow Logboeken?

Azure-netwerkbronnen kunnen worden gecombineerd en beheerd via netwerkbeveiligingsgroepen (NSG's). Met NSG-Flow-logboeken kunt u informatie over 5 tuple-stromen vastleggen over al het verkeer via uw NSG's. De onbewerkte stroomlogboeken worden naar een Azure Storage-account geschreven waar ze naar behoefte verder kunnen worden verwerkt, geanalyseerd, opgevraagd of geëxporteerd.

Heeft het gebruik van Flow Logboeken invloed op mijn netwerklatentie of -prestaties?

Flow logboekgegevens worden verzameld buiten het pad van uw netwerkverkeer en hebben daarom geen invloed op de netwerkdoorvoer of latentie. U kunt stroomlogboeken maken of verwijderen zonder enig risico op de netwerkprestaties.

Hoe kan ik NSG-Flow Logboeken gebruiken met een Storage-account achter een firewall?

Als u een Storage-account achter een firewall wilt gebruiken, moet u een uitzondering opgeven voor vertrouwde Microsoft-services voor toegang tot uw opslagaccount:

  • Navigeer naar het opslagaccount door de naam van het opslagaccount te typen in de algemene zoekopdracht in de portal of op de pagina Storage Accounts
  • Selecteer in de sectie INSTELLINGEN de optie Firewalls en virtuele netwerken
  • Selecteer Geselecteerde netwerken in Toegang toestaan vanuit. Schakel onder Uitzonderingen het selectievakje naast Vertrouwde Microsoft-services toegang tot dit opslagaccount in
  • Als deze optie al is geselecteerd, is er geen wijziging nodig.
  • Zoek de doel-NSG op de overzichtspagina van de NSG Flow Logboeken en schakel NSG Flow Logboeken in met het bovenstaande opslagaccount geselecteerd.

U kunt de Storage-logboeken na enkele minuten controleren. U ziet dan een bijgewerkte tijdstempel of een nieuw JSON-bestand.

Hoe kan ik NSG-Flow Logboeken gebruiken met een Storage-account achter een service-eindpunt?

NSG-Flow-logboeken zijn compatibel met service-eindpunten zonder extra configuratie. Zie de zelfstudie over het inschakelen van service-eindpunten in uw virtuele netwerk.

Wat is het verschil tussen stroomlogboeken versie 1 & 2?

Flow Logboeken versie 2 introduceert het concept Flow State& informatie over verzonden bytes en pakketten opslaat. Meer informatie

Prijzen

NSG Flow Logboeken worden in rekening gebracht per GB aan logboeken die worden verzameld en worden geleverd met een gratis laag van 5 GB per maand per abonnement. Zie de pagina met Network Watcher prijzen voor de huidige prijzen in uw regio.

Storage logboeken afzonderlijk worden in rekening gebracht, raadpleegt u Azure Storage pagina Met prijzen voor blok-blob's voor relevante prijzen.