Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal

  • Artykuł

Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal. Dowiesz się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu programu PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub szablonu usługi ARM.

Wymagania wstępne

Rejestrowanie dostawcy usługi Insights

Microsoft. Szczegółowe informacje dostawca musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Szczegółowe informacje jest zarejestrowany, sprawdź jego stan:

  1. W polu wyszukiwania w górnej części portalu wprowadź subskrypcje. Wybierz pozycję Subskrypcje w wynikach wyszukiwania.

  2. Wybierz subskrypcję platformy Azure, dla której chcesz włączyć dostawcę w obszarze Subskrypcje.

  3. W obszarze Ustawienia wybierz opcję Dostawcy zasobów.

  4. Wprowadź szczegółowe informacje w polu filtru.

  5. Upewnij się, że wyświetlany stan dostawcy to Zarejestrowano. Jeśli stan to NotRegistered, wybierz dostawcę Microsoft.Szczegółowe informacje, a następnie wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający rejestrowanie dostawcy usługi Microsoft Szczegółowe informacje w witrynie Azure Portal.

Tworzenie dziennika przepływu

Utwórz dziennik przepływu dla sieciowej grupy zabezpieczeń. Ten dziennik przepływu sieciowej grupy zabezpieczeń jest zapisywany na koncie usługi Azure Storage.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz przycisk + Utwórz lub Utwórz dziennik przepływu niebieski.

    Zrzut ekranu przedstawiający stronę Dzienniki usługi Flow w witrynie Azure Portal.

  4. Wprowadź lub wybierz następujące wartości w obszarze Tworzenie dziennika przepływu:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure sieciowej grupy zabezpieczeń, którą chcesz zarejestrować.
    Sieciowa grupa zabezpieczeń Wybierz pozycję + Wybierz zasób.
    W obszarze Wybierz sieciowa grupa zabezpieczeń wybierz pozycję myNSG. Następnie wybierz pozycję Potwierdź wybór.
    Nazwa dziennika przepływu Wprowadź nazwę dziennika przepływu lub pozostaw nazwę domyślną. myNSG-myResourceGroup-flowlog jest nazwą domyślną dla tego przykładu.
    Szczegóły wystąpienia
    Subskrypcja Wybierz subskrypcję platformy Azure konta magazynu.
    Konta magazynu Wybierz konto magazynu, do którego chcesz zapisać dzienniki przepływu. Jeśli chcesz utworzyć nowe konto magazynu, wybierz pozycję Utwórz nowe konto magazynu.
    Przechowywanie (dni) Wprowadź czas przechowywania dzienników. Wprowadź wartość 0 , jeśli chcesz zachować dane dzienników przepływu na koncie magazynu na zawsze (dopóki nie usuniesz ich z konta magazynu). Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure Storage.

    Zrzut ekranu przedstawiający tworzenie dziennika przepływu sieciowej grupy zabezpieczeń w witrynie Azure Portal.

    Uwaga

    Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.

  5. Wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Tworzenie obszaru roboczego dziennika przepływu i analizy ruchu

Utwórz dziennik przepływu dla sieciowej grupy zabezpieczeń i włącz analizę ruchu. Dziennik przepływu sieciowej grupy zabezpieczeń jest zapisywany na koncie usługi Azure Storage.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz przycisk + Utwórz lub Utwórz dziennik przepływu niebieski.

    Zrzut ekranu przedstawiający stronę Dzienniki usługi Flow w witrynie Azure Portal.

  4. Wprowadź lub wybierz następujące wartości w obszarze Tworzenie dziennika przepływu:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure sieciowej grupy zabezpieczeń, którą chcesz zarejestrować.
    Sieciowa grupa zabezpieczeń Wybierz pozycję + Wybierz zasób.
    W obszarze Wybierz sieciowa grupa zabezpieczeń wybierz pozycję myNSG. Następnie wybierz pozycję Potwierdź wybór.
    Nazwa dziennika przepływu Wprowadź nazwę dziennika przepływu lub pozostaw nazwę domyślną. Domyślnie witryna Azure Portal tworzy dziennik przepływu {network-security-group}-{resource-group}-flowlog w grupie zasobów NetworkWatcherRG .
    Szczegóły wystąpienia
    Subskrypcja Wybierz subskrypcję platformy Azure konta magazynu.
    Konta magazynu Wybierz konto magazynu, do którego chcesz zapisać dzienniki przepływu. Jeśli chcesz utworzyć nowe konto magazynu, wybierz pozycję Utwórz nowe konto magazynu.
    Przechowywanie (dni) Wprowadź czas przechowywania dzienników. Wprowadź wartość 0 , jeśli chcesz zachować dane dzienników przepływu na koncie magazynu na zawsze (dopóki nie usuniesz ich z konta magazynu). Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure Storage.

    Zrzut ekranu przedstawiający kartę Podstawy tworzenia dziennika przepływu w witrynie Azure Portal.

    Uwaga

    Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.

  5. Wybierz przycisk Dalej: Analiza lub wybierz kartę Analiza . Następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Wersja dzienników przepływu Wybierz wersję dziennika przepływu. Wersja 2 jest domyślnie wybierana podczas tworzenia dziennika przepływu przy użyciu witryny Azure Portal. Aby uzyskać więcej informacji na temat wersji dzienników przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.
    Analiza ruchu
    Włączanie analizy ruchu Zaznacz pole wyboru, aby włączyć analizę ruchu dla dziennika przepływu.
    Interwał przetwarzania analizy ruchu Wybierz preferowany interwał przetwarzania: co 1 godzinę i co 10 minut. Domyślny interwał przetwarzania to co godzinę. Aby uzyskać więcej informacji, zobacz Analiza ruchu.
    Subskrypcja Wybierz subskrypcję platformy Azure obszaru roboczego usługi Log Analytics.
    Obszar roboczy usługi Log Analytics Wybierz obszar roboczy usługi Log Analytics. Domyślnie witryna Azure Portal tworzy i wybiera pozycję DefaultWorkspace-{subscription-id}-{region} obszar roboczy usługi Log Analytics w grupie zasobów defaultresourcegroup-{Region} .

    Zrzut ekranu przedstawiający włączanie analizy ruchu dla dziennika przepływu w witrynie Azure Portal.

  6. Wybierz pozycję Przejrzyj i utwórz.

  7. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Zmienianie dziennika przepływu

Właściwości dziennika przepływu można zmienić po jego utworzeniu. Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz dziennik przepływu, który chcesz zmienić.

  4. W obszarze Ustawienia dzienników usługi Flow można zmienić dowolne z następujących ustawień:

    • Wersja dzienników przepływu: zmień wersję dziennika przepływu. Dostępne wersje to: wersja 1 i wersja 2. Wersja 2 jest domyślnie wybierana podczas tworzenia dziennika przepływu przy użyciu witryny Azure Portal. Aby uzyskać więcej informacji na temat wersji dzienników przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.
    • Konto magazynu: zmień konto magazynu, do którego chcesz zapisać dzienniki przepływu. Jeśli chcesz utworzyć nowe konto magazynu, wybierz pozycję Utwórz nowe konto magazynu.
    • Przechowywanie (dni): zmień czas przechowywania na koncie magazynu. Wprowadź wartość 0 , jeśli chcesz zachować dane dzienników przepływu na koncie magazynu na zawsze (dopóki nie usuniesz ręcznie danych z konta magazynu).
    • Analiza ruchu: włącz lub wyłącz analizę ruchu dla dziennika przepływu. Aby uzyskać więcej informacji, zobacz Analiza ruchu.
    • Interwał przetwarzania analizy ruchu: zmień interwał przetwarzania analizy ruchu (jeśli jest włączona analiza ruchu). Dostępne opcje to: jedna godzina i 10 minut. Domyślny interwał przetwarzania to co godzinę. Aby uzyskać więcej informacji, zobacz Analiza ruchu.
    • Obszar roboczy usługi Log Analytics: zmień obszar roboczy usługi Log Analytics, do którego chcesz zapisać dzienniki przepływu (jeśli włączono analizę ruchu).

    Zrzut ekranu przedstawiający stronę Ustawień dzienników usługi Flow w witrynie Azure Portal, na której można zmienić niektóre ustawienia.

Wyświetlanie listy wszystkich dzienników przepływu

Możesz wyświetlić listę wszystkich dzienników przepływu w subskrypcji lub grupie subskrypcji. Możesz również wyświetlić listę wszystkich dzienników przepływu w regionie.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. Wybierz pozycję Subskrypcja równa się filtrowi, aby wybrać co najmniej jedną subskrypcję. Możesz zastosować inne filtry, takie jak Lokalizacja równa się, aby wyświetlić listę wszystkich dzienników przepływu w regionie.

    Zrzut ekranu przedstawiający sposób używania filtrów do wyświetlania listy wszystkich istniejących dzienników przepływu w subskrypcji przy użyciu witryny Azure Portal.

Wyświetlanie szczegółów zasobu dziennika przepływu

Możesz wyświetlić szczegóły dziennika przepływu w subskrypcji lub grupie subskrypcji. Możesz również wyświetlić listę wszystkich dzienników przepływu w regionie.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz dziennik przepływu, który chcesz wyświetlić.

  4. W obszarze Ustawienia dzienników usługi Flow można wyświetlić ustawienia zasobu dziennika przepływu.

    Zrzut ekranu przedstawiający stronę Ustawień dzienników usługi Flow w witrynie Azure Portal.

Pobieranie dziennika przepływu

Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.

Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.

Wyłączanie dziennika przepływu

Dziennik przepływu sieciowej grupy zabezpieczeń można tymczasowo wyłączyć bez jego usuwania. Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, zaznacz pole wyboru dziennika przepływu, który chcesz wyłączyć.

  4. Wybierz opcję Wyłącz.

    Zrzut ekranu przedstawiający sposób wyłączania dziennika przepływu w witrynie Azure Portal.

Uwaga

Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu. Aby wyłączyć analizę ruchu, zobacz Zmienianie dziennika przepływu.

Usuwanie dziennika przepływu

Możesz trwale usunąć dziennik przepływu sieciowej grupy zabezpieczeń. Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher w wynikach wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, zaznacz pole wyboru dziennika przepływu, który chcesz usunąć.

  4. Wybierz Usuń.

    Zrzut ekranu przedstawiający sposób usuwania dziennika przepływu w witrynie Azure Portal.

Uwaga

Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania lub pozostają przechowywane na koncie magazynu do momentu ręcznego usunięcia (w przypadku skonfigurowania zasad przechowywania).

Następne kroki