Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu programu Azure PowerShell
Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.
Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu programu Azure PowerShell. Możesz dowiedzieć się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub szablonu usługi ARM.
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Szczegółowe informacje dostawcy. Aby uzyskać więcej informacji, zobacz Rejestrowanie dostawcy Szczegółowe informacje.
Sieciowa grupa zabezpieczeń. Jeśli musisz utworzyć sieciową grupę zabezpieczeń, zobacz Tworzenie, zmienianie lub usuwanie sieciowej grupy zabezpieczeń.
Konto usługi Azure Storage. Jeśli musisz utworzyć konto magazynu, zobacz tworzenie konta magazynu przy użyciu programu PowerShell.
Zainstalowano lokalnie usługę Azure Cloud Shell lub program Azure PowerShell.
Kroki opisane w tym artykule uruchamiają interaktywne polecenia cmdlet programu Azure PowerShell w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.
Możesz również zainstalować program Azure PowerShell lokalnie, aby uruchomić polecenia cmdlet. Ten artykuł wymaga modułu Az programu PowerShell. Aby uzyskać więcej informacji, zobacz How to install Azure PowerShell (Jak zainstalować program Azure PowerShell). Aby dowiedzieć się, jaka wersja została zainstalowana, uruchom polecenie
Get-InstalledModule -Name Az. Jeśli uruchomisz program PowerShell lokalnie, zaloguj się do platformy Azure przy użyciu polecenia cmdlet Połączenie-AzAccount.
Rejestrowanie dostawcy szczegółowych informacji
Microsoft. Szczegółowe informacje dostawca musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Szczegółowe informacje jest zarejestrowany, użyj polecenia Register-AzResourceProvider, aby go zarejestrować.
# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'
Tworzenie dziennika przepływu
Pobierz właściwości sieciowej grupy zabezpieczeń, dla której chcesz utworzyć dziennik przepływu, oraz konto magazynu, którego chcesz użyć do przechowywania utworzonego dziennika przepływu przy użyciu odpowiednio polecenia Get-AzNetworkSecurityGroup i Get-AzStorageAccount .
# Place the network security group properties into a variable. $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup' # Place the storage account properties into a variable. $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'Uwaga
- Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
Utwórz dziennik przepływu przy użyciu polecenia New-AzNetworkWatcherFlowLog. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log. New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
Tworzenie obszaru roboczego dziennika przepływu i analizy ruchu
Pobierz właściwości sieciowej grupy zabezpieczeń, dla której chcesz utworzyć dziennik przepływu, oraz konto magazynu, którego chcesz użyć do przechowywania utworzonego dziennika przepływu przy użyciu odpowiednio polecenia Get-AzNetworkSecurityGroup i Get-AzStorageAccount .
# Place the network security group properties into a variable. $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup' # Place the storage account properties into a variable. $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'Uwaga
- Konto magazynu nie może mieć reguł sieciowych, które ograniczają dostęp sieciowy tylko do usługi firmy Microsoft lub określonych sieci wirtualnych.
- Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
Utwórz obszar roboczy analizy ruchu przy użyciu polecenia New-AzOperational Szczegółowe informacje Workspace.
# Create a traffic analytics workspace and place its properties into a variable. $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'Utwórz dziennik przepływu przy użyciu polecenia New-AzNetworkWatcherFlowLog. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log with traffic analytics. New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
Zmienianie dziennika przepływu
Aby zmienić właściwości dziennika przepływu, możesz użyć polecenia Set-AzNetworkWatcherFlowLog . Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.
# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -FormatVersion 2
Wyświetlanie listy wszystkich dzienników przepływu w regionie
Użyj polecenia Get-AzNetworkWatcherFlowLog , aby wyświetlić listę wszystkich zasobów dziennika przepływu sieciowej grupy zabezpieczeń w określonym regionie w ramach subskrypcji.
# Get all NSG flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name
Uwaga
Aby użyć parametru -Location z Get-AzNetworkWatcherFlowLog poleceniem cmdlet, potrzebujesz dodatkowego uprawnienia czytelnika w grupie zasobów NetworkWatcherRG .
Wyświetlanie szczegółów zasobu dziennika przepływu
Użyj polecenia Get-AzNetworkWatcherFlowLog , aby wyświetlić szczegóły zasobu dziennika przepływu.
# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'
Uwaga
Aby użyć parametru -Location z Get-AzNetworkWatcherFlowLog poleceniem cmdlet, potrzebujesz dodatkowego uprawnienia czytelnika w grupie zasobów NetworkWatcherRG .
Pobieranie dziennika przepływu
Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.
Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.
Wyłączanie dziennika przepływu
Aby tymczasowo wyłączyć dziennik przepływu bez jego usuwania, użyj polecenia Set-AzNetworkWatcherFlowLog z parametrem -Enabled $false . Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.
Uwaga
Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu.
# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id
Usuwanie dziennika przepływu
Aby trwale usunąć dziennik przepływu sieciowej grupy zabezpieczeń, użyj polecenia Remove-AzNetworkWatcherFlowLog . Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.
# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'
Uwaga
Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania.
Następne kroki
- Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do przeprowadzania inspekcji lub wdrażania dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy.
- Aby dowiedzieć się więcej o analizie ruchu, zobacz Analiza ruchu.