Introdução ao registo de fluxos para grupos de segurança de redeIntroduction to flow logging for network security groups

IntroduçãoIntroduction

Os registos de fluxo do grupo de segurança da rede (NSG) são uma característica do Azure Network Watcher que permite registar informações sobre o tráfego IP que flui através de um NSG.Network security group (NSG) flow logs is a feature of Azure Network Watcher that allows you to log information about IP traffic flowing through an NSG. Os dados de fluxo são enviados para as contas de Armazenamento Azure de onde pode acessá-lo, bem como exportá-lo para qualquer ferramenta de visualização, SIEM ou IDS à sua escolha.Flow data is sent to Azure Storage accounts from where you can access it as well as export it to any visualization tool, SIEM, or IDS of your choice.

visão geral dos registos de fluxo

Porquê utilizar Registos de Fluxo?Why use Flow Logs?

É vital monitorizar, gerir e conhecer a sua própria rede para segurança, conformidade e desempenho descompromissados.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Conhecer o seu próprio ambiente é da maior importância protegê-lo e otimizá-lo.Knowing your own environment is of paramount importance to protect and optimize it. É frequente saber o estado atual da rede, quem está a ligar-se, de onde estão a ligar-se, quais as portas abertas à internet, o comportamento esperado da rede, o comportamento irregular da rede e o aumento súbito do tráfego.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

Os registos de fluxo são a fonte da verdade para toda a atividade da rede no seu ambiente em nuvem.Flow logs are the source of truth for all network activity in your cloud environment. Quer seja uma próxima startup a tentar otimizar recursos ou uma grande empresa a tentar detetar intrusões, os registos flow são a sua melhor aposta.Whether you're an upcoming startup trying to optimize resources or large enterprise trying to detect intrusion, Flow logs are your best bet. Pode usá-lo para otimizar fluxos de rede, monitorizar a produção, verificar a conformidade, detetar intrusões e muito mais.You can use it for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more.

Casos de utilização comunsCommon use cases

Monitorização da rede: Identifique tráfego desconhecido ou não existente.Network Monitoring: Identify unknown or undesired traffic. Monitorize os níveis de tráfego e o consumo de largura de banda.Monitor traffic levels and bandwidth consumption. Filtrar os registos de fluxo por IP e porta para entender o comportamento da aplicação.Filter flow logs by IP and port to understand application behavior. Fluxo de exportação para ferramentas de análise e visualização à sua escolha para configurar painéis de monitorização.Export Flow Logs to analytics and visualization tools of your choice to set up monitoring dashboards.

Monitorização e otimização de utilização: Identifique os melhores falantes da sua rede.Usage monitoring and optimization: Identify top talkers in your network. Combine com os dados da GeoIP para identificar o tráfego entre regiões.Combine with GeoIP data to identify cross-region traffic. Compreender o crescimento do tráfego para a previsão de capacidade.Understand traffic growth for capacity forecasting. Utilize dados para remover regras de tráfego excessivamente restritivas.Use data to remove overtly restrictive traffic rules.

Conformidade: Utilize dados de fluxo para verificar o isolamento da rede e o cumprimento das regras de acesso à empresaCompliance: Use flow data to verify network isolation and compliance with enterprise access rules

Análise de segurança da rede forense &: Analise os fluxos de rede de IPs comprometidos e interfaces de rede.Network forensics & Security analysis: Analyze network flows from compromised IPs and network interfaces. Registos de fluxo de exportação para qualquer ferramenta SIEM ou IDS à sua escolha.Export flow logs to any SIEM or IDS tool of your choice.

Como funciona o registoHow logging works

Propriedades-chaveKey Properties

  • Os registos de fluxo operam na Camada 4 e registam todos os fluxos IP que entram e saem de um NSGFlow logs operate at Layer 4 and record all IP flows going in and out of an NSG
  • Os registos são recolhidos com um intervalo de 1 min através da plataforma Azure e não afetam de forma alguma os recursos do cliente ou o desempenho da rede.Logs are collected at 1-min interval through the Azure platform and do not affect customer resources or network performance in any way.
  • Os registos são escritos no formato JSON e mostram fluxos de saída e entrada numa base de regra de NSG.Logs are written in the JSON format and show outbound and inbound flows on a per NSG rule basis.
  • Cada registo de registo contém a interface de rede (NIC) que o fluxo se aplica a informações de 5 tuple, a decisão de tráfego & (apenas versão 2).Each log record contains the network interface (NIC) the flow applies to, 5-tuple information, the traffic decision & (Version 2 only) throughput information. Consulte o Formato de Registo abaixo para mais detalhes.See Log Format below for full details.
  • Os Registos de Fluxo têm uma funcionalidade de retenção que permite eliminar automaticamente os registos até um ano após a sua criação.Flow Logs have a retention feature that allows automatically deleting the logs up to a year after their creation.

Nota

A retenção só está disponível se utilizar as contas de armazenamento v2 (GPv2) para fins gerais ..Retention is available only if you use General purpose v2 Storage accounts (GPv2).

Conceitos-chaveCore concepts

  • As redes definidas por software são organizadas em torno de Redes Virtuais (VNETs) e sub-redes.Software defined networks are organized around Virtual Networks (VNETs) and subnets. A segurança destes VNets e sub-redes pode ser gerida através de um NSG.The security of these VNets and subnets can be managed using an NSG.
  • Um grupo de segurança de rede (NSG) contém uma lista de regras de segurança que permitem ou negam o tráfego de rede em recursos a que está ligado.A Network security group (NSG) contains a list of security rules that allow or deny network traffic in resources it is connected to. Os NSGs podem ser associados com sub-redes, VMs individuais ou interfaces de rede individuais (NIC) anexadas a VMs (Gestor de Recursos).NSGs can be associated with subnets, individual VMs, or individual network interfaces (NIC) attached to VMs (Resource Manager). Para obter mais informações, consulte a visão geral do grupo de segurança da rede.For more information, see Network security group overview.
  • Todos os fluxos de tráfego da sua rede são avaliados usando as regras do NSG aplicável.All traffic flows in your network are evaluated using the rules in the applicable NSG.
  • O resultado destas avaliações são os Registos de Fluxo NSG.The result of these evaluations is NSG Flow Logs. Os registos de fluxo são recolhidos através da plataforma Azure e não requerem qualquer alteração aos recursos do cliente.Flow logs are collected through the Azure platform and don't require any change to the customer resources.
  • Nota: As regras são de dois tipos - terminando & não terminantes, cada uma com diferentes comportamentos de registo.Note: Rules are of two types - terminating & non-terminating, each with different logging behaviors.
    • As regras da NSG Deny estão a terminar.NSG Deny rules are terminating. A NSG negando que o tráfego irá registrá-lo em registos flow e o processamento neste caso iria parar depois de qualquer NSG negar o tráfego.The NSG denying the traffic will log it in Flow logs and processing in this case would stop after any NSG denies traffic.
    • NSG Permitir que as regras não sejam terminantes, o que significa que mesmo que um NSG o permita, o processamento continuará para o próximo NSG.NSG Allow rules are non-terminating, which means even if one NSG allows it, processing will continue to the next NSG. O último NSG que permite o tráfego registará o tráfego nos registos do Flow.The last NSG allowing traffic will log the traffic to Flow logs.
  • Os Registos de Fluxo NSG são escritos para contas de armazenamento a partir de onde podem ser acedidos.NSG Flow Logs are written to storage accounts from where they can be accessed.
  • Você pode exportar, processar, analisar e visualizar Flow Logs usando ferramentas como TA, Splunk, Grafana, Stealthwatch, etc.You can export, process, analyze, and visualize Flow Logs using tools like TA, Splunk, Grafana, Stealthwatch, etc.

Formato de registoLog format

Os registos de fluxo incluem as seguintes propriedades:Flow logs include the following properties:

  • tempo - Tempo em que o evento foi registadotime - Time when the event was logged
  • systemId - ID do sistema de segurança de rede.systemId - Network Security Group system ID.
  • categoria - A categoria do evento.category - The category of the event. A categoria é sempre NetworkSecurityGroupFlowEventThe category is always NetworkSecurityGroupFlowEvent
  • resourceid - O ID de recursos do NSGresourceid - The resource ID of the NSG
  • operaçãoName - Sempre NetworkSecurityGroupFlowEventsoperationName - Always NetworkSecurityGroupFlowEvents
  • propriedades - Uma coleção de propriedades do fluxoproperties - A collection of properties of the flow
    • Versão - Número de versão do esquema do evento Flow LogVersion - Version number of the Flow Log event schema
    • fluxos - Uma coleção de fluxos.flows - A collection of flows. Esta propriedade tem múltiplas entradas para diferentes regrasThis property has multiple entries for different rules
      • regra - Regra para a qual os fluxos são listadosrule - Rule for which the flows are listed
        • fluxos - uma coleção de fluxosflows - a collection of flows
          • mac - O endereço MAC do NIC para o VM onde o fluxo foi recolhidomac - The MAC address of the NIC for the VM where the flow was collected
          • flowTuples - Uma cadeia que contém múltiplas propriedades para o tuple de fluxo em formato separado em vírgulaflowTuples - A string that contains multiple properties for the flow tuple in comma-separated format
            • Time Stamp - Este valor é o carimbo de tempo de quando o fluxo ocorreu no formato de época UNIXTime Stamp - This value is the time stamp of when the flow occurred in UNIX epoch format
            • Origem IP - O IP de origemSource IP - The source IP
            • Destination IP - O destino IPDestination IP - The destination IP
            • Porto fonte - A porta de origemSource Port - The source port
            • Porto de Destino - O Porto de destinoDestination Port - The destination Port
            • Protocolo - O protocolo do fluxo.Protocol - The protocol of the flow. Valores válidos são T para TCP e U para UDPValid values are T for TCP and U for UDP
            • Fluxo de Tráfego - A direção do fluxo de tráfego.Traffic Flow - The direction of the traffic flow. Valores válidos são I para entrada e O para saída.Valid values are I for inbound and O for outbound.
            • Decisão de Trânsito - Se o tráfego foi permitido ou negado.Traffic Decision - Whether traffic was allowed or denied. Valores válidos são A para permitido e D para negado.Valid values are A for allowed and D for denied.
            • Flow State - Versão 2 Apenas - Captura o estado do fluxo.Flow State - Version 2 Only - Captures the state of the flow. Os estados possíveis são B: Comece, quando um fluxo é criado.Possible states are B: Begin, when a flow is created. As estatísticas não são fornecidas.Statistics aren't provided. C: Continuando para um fluxo contínuo.C: Continuing for an ongoing flow. As estatísticas são fornecidas em intervalos de 5 minutos.Statistics are provided at 5-minute intervals. E: Fim, quando um fluxo é interrompido.E: End, when a flow is terminated. As estatísticas são fornecidas.Statistics are provided.
            • Pacotes - Fonte de destino - Versão 2 Apenas O número total de pacotes TCP enviados de origem para destino desde a última atualização.Packets - Source to destination - Version 2 Only The total number of TCP packets sent from source to destination since last update.
            • Bytes enviados - Fonte para destino - Versão 2 Apenas O número total de bytes de pacotes TCP enviados de origem para destino desde a última atualização.Bytes sent - Source to destination - Version 2 Only The total number of TCP packet bytes sent from source to destination since last update. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.Packet bytes include the packet header and payload.
            • Pacotes - Destino à fonte - Versão 2 Apenas O número total de pacotes TCP enviados de destino a fonte desde a última atualização.Packets - Destination to source - Version 2 Only The total number of TCP packets sent from destination to source since last update.
            • Bytes enviados - Destino à fonte - Versão 2 Apenas O número total de bytes de pacotes TCP enviados de destino para fonte desde a última atualização.Bytes sent - Destination to source - Version 2 Only The total number of TCP packet bytes sent from destination to source since last update. Os bytes de pacote incluem cabeçalho de pacote e carga útil.Packet bytes include packet header and payload.

Registos de fluxo NSG Versão 2 (vs Versão 1)NSG flow logs Version 2 (vs Version 1)

A versão 2 dos registos introduz o conceito de estado de fluxo.Version 2 of the logs introduces the concept of flow state. Pode configurar qual a versão dos registos de fluxo que recebe.You can configure which version of flow logs you receive.

O estado de fluxo B é registado quando um fluxo é iniciado.Flow state B is recorded when a flow is initiated. O estado de fluxo C e o estado de fluxo E são estados que marcam a continuação de uma terminação do fluxo e do fluxo, respectivamente.Flow state C and flow state E are states that mark the continuation of a flow and flow termination, respectively. Tanto os estados C como os estados E contêm informações de largura de banda de tráfego.Both C and E states contain traffic bandwidth information.

Registos de registos de amostrasSample log records

O texto que se segue é um exemplo de um registo de fluxo.The text that follows is an example of a flow log. Como pode ver, existem vários registos que seguem a lista de propriedades descrita na secção anterior.As you can see, there are multiple records that follow the property list described in the preceding section.

Nota

Os valores na propriedade flowTuples são uma lista separada por vírgulas.Values in the flowTuples property are a comma-separated list.

Amostra de formato de registo de fluxo NSG da versão 1Version 1 NSG flow log format sample

{
    "records": [
        {
            "time": "2017-02-16T22:00:32.8950000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
                                    "1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
                                    "1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
                                    "1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2017-02-16T22:01:32.8960000Z",
            "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 1,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "UserRule_default-allow-rdp",
                        "flows": [
                            {
                                "mac": "000D3AF8801A",
                                "flowTuples": [
                                    "1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
                                    "1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
                                    "1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
    "records":
    [
        
        {
             "time": "2017-02-16T22:00:32.8950000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:01:32.8960000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
        }
        ,
        {
             "time": "2017-02-16T22:02:32.9040000Z",
             "systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
             "category": "NetworkSecurityGroupFlowEvent",
             "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
             "operationName": "NetworkSecurityGroupFlowEvents",
             "properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
        }
        
        

Amostra de formato de registo de fluxo NSG versão 2Version 2 NSG flow log format sample

 {
    "records": [
        {
            "time": "2018-11-13T12:00:35.3899262Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                                    "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                                    "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    },
                    {
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                                    "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                                    "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                                    "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                                ]
                            }
                        ]
                    }
                ]
            }
        },
        {
            "time": "2018-11-13T12:01:35.3918317Z",
            "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
            "category": "NetworkSecurityGroupFlowEvent",
            "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
            "operationName": "NetworkSecurityGroupFlowEvents",
            "properties": {
                "Version": 2,
                "flows": [
                    {
                        "rule": "DefaultRule_DenyAllInBound",
                        "flows": [
                            {
                                "mac": "000D3AF87856",
                                "flowTuples": [
                                    "1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
                                    "1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
                                    "1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
                                    "1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
        

Tuple log explicadoLog tuple explained

tuple de troncos de fluxo

Cálculo da largura de banda da amostraSample bandwidth calculation

Tpláss em duas conversas de TCP entre 185.170.185.105:35370 e 10.2.0.4:23:Flow tuples from a TCP conversation between 185.170.185.105:35370 and 10.2.0.4:23:

"1493763938.185.170.185.105.10.2.0.4.35370,23,T,I,A,B,,,," "1493695838,185.170.185.105.105.10.2.0.4.35370,23,23,23,23,23,23,23,23,,23,23,,23,23,,23,,23,,23,,23,,23,,23,,23,,,, T,I,C,1021.588096.8005.4610880" "1493696138.185.170.185.105.10.2.0.4.35370,23,T,I,A,E,52.29952.47.27072""1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"

Para a continuação dos estados de fluxo C e end E, as contagens de byte e pacotes são contagens agregadas do tempo do registo anterior do fluxo tuple.For continuation C and end E flow states, byte and packet counts are aggregate counts from the time of the previous flow tuple record. Referindo-se à conversa de exemplo anterior, o número total de pacotes transferidos é 1021+52+8005+47 = 9125.Referencing the previous example conversation, the total number of packets transferred is 1021+52+8005+47 = 9125. O número total de bytes transferidos é 588096+29952+4610880+27072 = 5256000.The total number of bytes transferred is 588096+29952+4610880+27072 = 5256000.

Desativar os Registos de Fluxos dos NSGsEnabling NSG Flow Logs

Utilize o link relevante a partir de baixo para obter guias sobre a ativação dos registos de fluxo.Use the relevant link from below for guides on enabling flow logs.

Atualização de parâmetrosUpdating parameters

Portal do AzureAzure portal

No portal Azure, navegue para a secção de Registos de Fluxo NSG no Observador de Rede.On the Azure portal, navigate to the NSG Flow Logs section in Network Watcher. Em seguida, clique no nome do NSG.Then click the name of the NSG. Isto irá trazer o painel de definições para o registo flow.This will bring up the settings pane for the Flow log. Altere os parâmetros que deseja e bata Para implementar as alterações.Change the parameters you want and hit Save to deploy the changes.

PS/CLI/REST/ARMPS/CLI/REST/ARM

Para atualizar parâmetros através de ferramentas de linha de comando, utilize o mesmo comando utilizado para ativar Registos de Fluxo (a partir de cima) mas com parâmetros atualizados que pretende alterar.To update parameters via command-line tools, use the same command used to enable Flow Logs (from above) but with updated parameters that you want to change.

Trabalhar com registos flowWorking with Flow logs

Ler e Exportar registos de fluxosRead and Export flow logs

Embora os registos de fluxo direcionem os NSGs, não são apresentados da mesma forma que os outros registos.While flow logs target NSGs, they are not displayed the same as the other logs. Os registos de fluxo são armazenados apenas numa conta de armazenamento e seguem o caminho de registo indicado no seguinte exemplo:Flow logs are stored only within a storage account and follow the logging path shown in the following example:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Visualizar registos de fluxoVisualize flow logs

Desativar registos de fluxoDisable flow logs

Quando o registo de fluxo é desativado, o registo de fluxo para o NSG associado é interrompido.When the flow log is disabled, the flow logging for associated NSG is stopped. Mas o fluxo como recurso continua a existir com todas as suas configurações e associações.But the flow log as a resource continues to exist with all its settings and associations. Pode ser ativado a qualquer momento para iniciar a exploração de fluxo no NSG configurado.It can be enabled anytime to begin flow logging on the configured NSG. Podem ser encontradas etapas para desativar/permitir que possam ser encontradas nos registos de fluxos como orientar.Steps to disable/enable a flow logs can be found in this how to guide.

Eliminar registos de fluxoDelete flow logs

Quando o registo de fluxo é eliminado, não só o registo de fluxo para o NSG associado é interrompido, mas também o recurso de registo de fluxo é eliminado com as suas definições e associações.When the flow log is deleted, not only the flow logging for the associated NSG is stopped but also the flow log resource is deleted with its settings and associations. Para recomeçar a registar o fluxo, deve ser criado um novo recurso de registo de fluxo para esse NSG.To begin flow logging again, a new flow log resource must be created for that NSG. Um registo de fluxo pode ser eliminado usando PowerShell, CLI ou REST API.A flow log can be deleted using PowerShell, CLI or REST API. O suporte para a eliminação de registos de fluxo do portal Azure está em vias de ser concretizado.The support for deleting flow logs from Azure portal is in pipeline.

Além disso, quando um NSG é eliminado, por padrão, o recurso de registo de fluxo associado é eliminado.Also, when a NSG is deleted, by default the associated flow log resource is deleted.

Nota

Para mover um NSG para um grupo de recursos diferente ou subscrição, os registos de fluxo associados devem ser eliminados, apenas desativar os registos de fluxo não funcionará.To move a NSG to a different resource group or subscription, the associated flow logs must be deleted, just disabling the flow logs won't work. Após a migração do NSG, os registos de fluxo devem ser recriados para permitir a queda de fluxo nele.After migration of NSG, the flow logs must be recreated to enable flow logging on it.

Considerações de registo de fluxos NSGNSG flow logging considerations

Considerações da conta de armazenamento:Storage account considerations:

  • Localização: A conta de armazenamento utilizada deve estar na mesma região que o NSG.Location: The storage account used must be in the same region as the NSG.
  • Nível de desempenho: Atualmente, apenas as contas de armazenamento de nível padrão são suportadas.Performance Tier: Currently, only standard tier storage accounts are supported.
  • Rotação da chave de auto-gestão: Se alterar/rodar as teclas de acesso à sua conta de armazenamento, os Registos de Fluxo NSG deixarão de funcionar.Self-manage key rotation: If you change/rotate the access keys to your storage account, NSG Flow Logs will stop working. Para corrigir este problema, tem de desativar e, em seguida, voltar a ativar os Registos de Fluxo NSG.To fix this issue, you must disable and then re-enable NSG Flow Logs.

Custos de registo do fluxo: A exploração de fluxo NSG é faturada no volume de registos produzidos.Flow Logging Costs: NSG flow logging is billed on the volume of logs produced. O elevado volume de tráfego pode resultar num grande volume de registo de fluxo e nos custos associados.High traffic volume can result in large flow log volume and the associated costs. O preço do registo do NSG Flow não inclui os custos subjacentes de armazenamento.NSG Flow log pricing does not include the underlying costs of storage. A utilização da função de política de retenção com a NSG Flow Logging significa incorrer em custos de armazenamento separados por longos períodos de tempo.Using the retention policy feature with NSG Flow Logging means incurring separate storage costs for extended periods of time. Se pretender reter dados para sempre e não quiser aplicar qualquer política de retenção, desembarate a retenção (dias) para 0.If you want to retain data forever and do not want to apply any retention policy, set retention (days) to 0. Para mais informações, consulte o Preço do Observador de Rede e os Preços de Armazenamento Azure para obter mais detalhes.For more information, see Network Watcher Pricing and Azure Storage Pricing for additional details.

Problemas com as regras de entrada definidas pelo utilizador: Os Grupos de Segurança da Rede (NSGs) são implementados como uma firewall stateful.Issues with User-defined Inbound TCP rules: Network Security Groups (NSGs) are implemented as a Stateful firewall. No entanto, devido às limitações atuais da plataforma, as regras definidas pelo utilizador que afetam os fluxos de TCP de entrada são implementadas de forma apátrida.However, due to current platform limitations, user-defined rules that affect inbound TCP flows are implemented in a stateless fashion. Devido a isso, os fluxos afetados pelas regras de entrada definidas pelo utilizador tornam-se não-terminantes.Due to this, flows affected by user-defined inbound rules become non-terminating. Adicionalmente, as contagens de byte e pacotes não são registadas para estes fluxos.Additionally byte and packet counts are not recorded for these flows. Consequentemente, o número de bytes e pacotes relatados em Registos de Fluxo NSG (e Traffic Analytics) poderia ser diferente dos números reais.Consequently the number of bytes and packets reported in NSG Flow Logs (and Traffic Analytics) could be different from actual numbers. Uma bandeira de opt-in que corrige estas questões está prevista para março de 2021.An opt-in flag that fixes these issues is scheduled to be available by March 2021 latest. Entretanto, os clientes que enfrentam problemas graves devido a este comportamento podem solicitar a opt-in via Support, por favor, levantem um pedido de suporte no âmbito do Network Watcher > NSG Flow Logs.In the interim, customers facing severe issues due to this behavior can request opting-in via Support, please raise a support request under Network Watcher > NSG Flow Logs.

Fluxos de entrada registados de IPs de internet para VMs sem IPs públicos: VMs que não têm um endereço IP público atribuído através de um endereço IP público associado ao NIC como um IP público de nível de instância, ou que fazem parte de um pool de back-end do balancer de carga básico, usam SNAT padrão e têm um endereço IP atribuído pela Azure para facilitar a conectividade de saída.Inbound flows logged from internet IPs to VMs without public IPs: VMs that don't have a public IP address assigned via a public IP address associated with the NIC as an instance-level public IP, or that are part of a basic load balancer back-end pool, use default SNAT and have an IP address assigned by Azure to facilitate outbound connectivity. Como resultado, pode ver entradas de registo de fluxo para fluxos a partir de endereços IP da Internet, se o fluxo estiver destinado a uma porta na gama de portas atribuídas ao SNAT.As a result, you might see flow log entries for flows from internet IP addresses, if the flow is destined to a port in the range of ports assigned for SNAT. Embora o Azure não permita estes fluxos para o VM, a tentativa é registada e aparece no registo de fluxo NSG do Observador de Rede por design.While Azure won't allow these flows to the VM, the attempt is logged and appears in Network Watcher's NSG flow log by design. Recomendamos que o tráfego de internet de entrada indesejada seja explicitamente bloqueado com o NSG.We recommend that unwanted inbound internet traffic be explicitly blocked with NSG.

Problema com a sub-rede NSG do Gateway de Aplicação V2: A registo de fluxo na sub-rede NSG do gateway de aplicações V2 não é suportada atualmente.Issue with Application Gateway V2 Subnet NSG: Flow logging on the application gateway V2 subnet NSG is not supported currently. Este problema não afeta o Gateway V1.This issue does not affect Application Gateway V1.

Serviços Incompatíveis: Devido às limitações atuais da plataforma, um pequeno conjunto de serviços Azure não são suportados por Registos de Fluxo NSG.Incompatible Services: Due to current platform limitations, a small set of Azure services are not supported by NSG Flow Logs. A lista atual de serviços incompatíveis éThe current list of incompatible services is

Melhores práticasBest practices

Ativar em VNETs/Subnetas críticas: Os registos de fluxo devem ser ativados em todos os VNETs/subnets críticos da sua subscrição como uma auditoria e as melhores práticas de segurança.Enable on critical VNETs/Subnets: Flow Logs should be enabled on all critical VNETs/subnets in your subscription as an auditability and security best practice.

Ativar o registo de fluxo NSG em todos os NSGs ligados a um recurso: A exploração de fluxo em Azure está configurada no recurso NSG.Enable NSG Flow Logging on all NSGs attached to a resource: Flow logging in Azure is configured on the NSG resource. Um fluxo só será associado a uma regra NSG.A flow will only be associated to one NSG Rule. Em cenários em que vários NSGs são utilizados, recomendamos que ative os registos de fluxos do NSG em todos os NSGs aplicados na sub-rede ou interface de rede do recurso para garantir que todo o tráfego é registado.In scenarios where multiple NSGs are utilized, we recommend enabling NSG flow logs on all NSGs applied at the resource's subnet or network interface to ensure that all traffic is recorded. Para mais informações, consulte como o tráfego é avaliado em Grupos de Segurança de Rede.For more information, see how traffic is evaluated in Network Security Groups.

Poucos cenários comuns:Few common scenarios:

  1. Múltiplos NICs num VM: No caso de vários NICs estarem ligados a uma máquina virtual, a exploração de fluxo deve ser ativada em todos elesMultiple NICs at a VM: In case multiple NICs are attached to a virtual machine, flow logging must be enabled on all of them
  2. Ter NSG tanto no NÍVEL NIC como no Nível de Sub-rede: No caso de o NSG estar configurado no NIC, bem como no nível de sub-rede, deve então ser ativado o registo de fluxo em ambos os NSGs.Having NSG at both NIC and Subnet Level: In case NSG is configured at the NIC as well as the Subnet level, then flow logging must be enabled at both the NSGs.

Fornecimento de armazenamento: O armazenamento deve ser a provisionado em sintonia com o volume esperado do Registo de Fluxo.Storage provisioning: Storage should be provisioned in tune with expected Flow Log volume.

Nomeação: O nome NSG deve ser até 80 chars e as regras NSG devem ser até 65 chars.Naming: The NSG name must be upto 80 chars and the NSG rule names upto 65 chars. Se os nomes excederem o seu limite de caracteres, pode ser truncado durante a exploração madeireira.If the names exceed their character limit, it may get truncated while logging.

Resolução de problemas comunsTroubleshooting common issues

Não conseguir ativar Registos do Fluxo do NSGI could not enable NSG Flow Logs

  • O fornecedor de recursos Microsoft.Insights não está registadoMicrosoft.Insights resource provider is not registered

Se recebeu um erro AuthorizationFailed ou GatewayAuthenticationFailed, talvez não tenha ativado o fornecedor de recursos do Microsoft Insights na sua subscrição.If you received an AuthorizationFailed or a GatewayAuthenticationFailed error, you might have not enabled the Microsoft Insights resource provider on your subscription. Siga as instruções para ativar o fornecedor Microsoft Insights.Follow the instructions to enable the Microsoft Insights provider.

Ativei os Registos do Fluxo do NSG, mas não vejo dados na minha conta de armazenamentoI have enabled NSG Flow Logs but do not see data in my storage account

  • Tempo de configuraçãoSetup time

Os Registos do Fluxo do NSG podem demorar até 5 minutos a aparecer na conta de armazenamento (se configurado corretamente).NSG Flow Logs may take up to 5 minutes to appear in your storage account (if configured correctly). Será apresentado um ficheiro PT1H.json, que poderá aceder conforme descrito aqui.A PT1H.json will appear which can be accessed as described here.

  • Nenhum Tráfego nos NSGsNo Traffic on your NSGs

Por vezes, poderá não ver os registos porque as VMs não estão ativas ou porque existem filtros de origem num Gateway de Aplicação ou noutros dispositivos que estão a bloquear o tráfego para os NSGs.Sometimes you will not see logs because your VMs are not active or there are upstream filters at an App Gateway or other devices that are blocking traffic to your NSGs.

Quero automatizar os Registos de Fluxo do NSGI want to automate NSG Flow Logs

O suporte para a automatização através de modelos ARM não está disponível atualmente para os Registos de Fluxo do NSG.Support for automation via ARM templates is currently not available for NSG Flow Logs. Leia o anúncio de funcionalidades para obter mais informações.Read the feature announcement for more information.

FAQFAQ

O que faz os Registos de Fluxo NSG?What does NSG Flow Logs do?

Os recursos da rede Azure podem ser combinados e geridos através de Grupos de Segurança de Rede (NSGs).Azure network resources can be combined and managed through Network Security Groups (NSGs). Os Registos de Fluxo NSG permitem registar informações de fluxo de 5 tuple sobre todo o tráfego através dos seus NSGs.NSG Flow Logs enable you to log 5-tuple flow information about all traffic through your NSGs. Os registos de fluxo bruto são escritos numa conta de Armazenamento Azure de onde podem ser processados, analisados, consultados ou exportados conforme necessário.The raw flow logs are written to an Azure Storage account from where they can be further processed, analyzed, queried, or exported as needed.

A utilização de Registos de Fluxo afeta a minha latência ou desempenho na rede?Does using Flow Logs impact my network latency or performance?

Os dados de registos de fluxo são recolhidos fora da trajetória do tráfego da sua rede, pelo que não afetam a produção ou latência da rede.Flow logs data is collected outside of the path of your network traffic, and therefore does not affect network throughput or latency. Pode criar ou eliminar registos de fluxo sem qualquer risco de impacto no desempenho da rede.You can create or delete flow logs without any risk of impact to network performance.

Como uso registos de fluxo NSG com uma conta de armazenamento atrás de uma firewall?How do I use NSG Flow Logs with a Storage account behind a firewall?

Para utilizar uma conta de Armazenamento por trás de uma firewall, tem de providenciar uma exceção para que os Serviços De Confiança da Microsoft acedam à sua conta de armazenamento:To use a Storage account behind a firewall, you have to provide an exception for Trusted Microsoft Services to access your storage account:

  • Navegue para a conta de armazenamento digitando o nome da conta de armazenamento na pesquisa global no portal ou na página contas de armazenamentoNavigate to the storage account by typing the storage account's name in the global search on the portal or from the Storage Accounts page
  • Na secção DEFINIÇÕES, selecione Firewalls e redes virtuaisUnder the SETTINGS section, select Firewalls and virtual networks
  • Em Permitir o acesso a partir de redes selecionadas.In Allow access from, select Selected networks. Em seguida, em exceções, marque a caixa ao lado de ****Permitir que serviços fidedignos da Microsoft acedam a esta conta de armazenamento****Then under Exceptions, tick the box next to ****Allow trusted Microsoft services to access this storage account****
  • Se já estiver selecionada, não é preciso alterar nada.If it is already selected, no change is needed.
  • Localize o seu NSG alvo na página de visão geral dos Registos de Fluxo NSG e ative os Registos de Fluxo NSG com a conta de armazenamento acima selecionada.Locate your target NSG on the NSG Flow Logs overview page and enable NSG Flow Logs with the above storage account selected.

Pode verificar os registos de armazenamento após alguns minutos; deve ver um carimbo de data/hora atualizado ou um novo ficheiro JSON criado.You can check the storage logs after a few minutes, you should see an updated TimeStamp or a new JSON file created.

Como uso registos de fluxo NSG com uma conta de armazenamento atrás de um ponto de serviço?How do I use NSG Flow Logs with a Storage account behind a Service Endpoint?

Os Registos de Fluxo NSG são compatíveis com os pontos finais de serviço sem necessitar de qualquer configuração extra.NSG Flow Logs are compatible with Service Endpoints without requiring any extra configuration. Consulte o tutorial sobre como ativar os pontos finais de serviço na sua rede virtual.See the tutorial on enabling Service Endpoints in your virtual network.

Qual é a diferença entre as versões de registos de fluxo 1 & 2?What is the difference between flow logs versions 1 & 2?

A versão 2 do Flow Logs introduz o conceito de Flow State & armazena informações sobre bytes e pacotes transmitidos.Flow Logs version 2 introduces the concept of Flow State & stores information about bytes and packets transmitted. Saiba maisRead more

PreçosPricing

Os Registos de Fluxo NSG são cobrados por GB de registos recolhidos e vêm com um nível gratuito de 5 GB/mês por subscrição.NSG Flow Logs are charged per GB of logs collected and come with a free tier of 5 GB/month per subscription. Para obter os preços atuais na sua região, consulte a página de preços do Observador de Rede.For the current pricing in your region, see the Network Watcher pricing page.

O armazenamento de registos é cobrado separadamente, consulte a página de preços do bloco de armazenamento Azure para preços relevantes.Storage of logs is charged separately, see Azure Storage Block blob pricing page for relevant prices.