Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu interfejsu wiersza polecenia platformy Azure

Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu interfejsu wiersza polecenia platformy Azure. Możesz dowiedzieć się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal, programu PowerShell, interfejsu API REST lub szablonu usługi ARM.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Szczegółowe informacje dostawcy. Aby uzyskać więcej informacji, zobacz Rejestrowanie dostawcy Szczegółowe informacje.

• Sieciowa grupa zabezpieczeń. Jeśli musisz utworzyć sieciową grupę zabezpieczeń, zobacz Tworzenie, zmienianie lub usuwanie sieciowej grupy zabezpieczeń.

• Konto usługi Azure Storage. Jeśli musisz utworzyć konto magazynu, zobacz tworzenie konta magazynu przy użyciu programu PowerShell.

• Usługa Azure Cloud Shell lub interfejs wiersza polecenia platformy Azure zainstalowana lokalnie.

  • Kroki opisane w tym artykule umożliwiają interaktywne uruchamianie poleceń interfejsu wiersza polecenia platformy Azure w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

  • Możesz również zainstalować interfejs wiersza polecenia platformy Azure lokalnie , aby uruchomić polecenia. Jeśli uruchomisz interfejs wiersza polecenia platformy Azure lokalnie, zaloguj się do platformy Azure przy użyciu polecenia az login .

Rejestrowanie dostawcy usługi Insights

Microsoft. Szczegółowe informacje dostawca musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Szczegółowe informacje jest zarejestrowany, użyj polecenia az provider register, aby go zarejestrować.

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

Tworzenie dziennika przepływu

Utwórz dziennik przepływu przy użyciu polecenia az network watcher flow-log create. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.

# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'

Uwaga

• Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
• Jeśli konto magazynu znajduje się w innej grupie zasobów lub subskrypcji, musisz określić pełny identyfikator konta magazynu, a nie tylko jego nazwę. Jeśli na przykład konto magazynu myStorageAccount znajduje się w grupie zasobów o nazwie StorageRG, podczas gdy sieciowa grupa zabezpieczeń znajduje się w grupie zasobów myResourceGroup, należy użyć parametru myStorageAccount/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-account zamiast .

# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa

Tworzenie obszaru roboczego dziennika przepływu i analizy ruchu

1. Utwórz obszar roboczy usługi Log Analytics przy użyciu polecenia az monitor log-analytics workspace create.

   # Create a Log Analytics workspace.
   az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
   

2. Utwórz dziennik przepływu przy użyciu polecenia az network watcher flow-log create. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.

   # Create a version 1 NSG flow log and enable traffic analytics for it.
   az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
   

Uwaga

• Konto magazynu nie może mieć reguł sieciowych, które ograniczają dostęp sieciowy tylko do usługi firmy Microsoft lub określonych sieci wirtualnych.
• Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
• Jeśli konto magazynu znajduje się w innej grupie zasobów lub subskrypcji, należy użyć pełnego identyfikatora konta magazynu. Jeśli na przykład konto magazynu myStorageAccount znajduje się w grupie zasobów o nazwie StorageRG, podczas gdy sieciowa grupa zabezpieczeń znajduje się w grupie zasobów myResourceGroup, należy użyć parametru myStorageAccount/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-account zamiast .

# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'

Zmienianie dziennika przepływu

Aby zmienić właściwości dziennika przepływu, możesz użyć polecenia az network watcher flow-log update . Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.

# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'

Wyświetlanie listy wszystkich dzienników przepływu w regionie

Użyj polecenia az network watcher flow-log list , aby wyświetlić listę wszystkich zasobów dziennika przepływu sieciowej grupy zabezpieczeń w określonym regionie w ramach subskrypcji.

# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Wyświetlanie szczegółów zasobu dziennika przepływu

Użyj polecenia az network watcher flow-log show , aby wyświetlić szczegóły zasobu dziennika przepływu.

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Pobieranie dziennika przepływu

Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.

Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.

Wyłączanie dziennika przepływu

Aby tymczasowo wyłączyć dziennik przepływu bez jego usuwania, użyj polecenia az network watcher flow-log update . Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.

Uwaga

Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu.

# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'

Usuwanie dziennika przepływu

Aby trwale usunąć dziennik przepływu, użyj polecenia az network watcher flow-log delete . Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'

Uwaga

Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania.

Następne kroki

• Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do przeprowadzania inspekcji lub wdrażania dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy.
• Aby dowiedzieć się więcej o analizie ruchu, zobacz Analiza ruchu.