Visualizar logs de fluxo do Grupo de Segurança de Rede com o Power BI

  • Artigo

Os logs de fluxo do Grupo de Segurança de Rede permitem exibir informações sobre o tráfego IP de entrada e saída nos Grupos de Segurança de Rede. Esses logs de fluxo mostram os fluxos de entrada e saída por regra, a NIC à qual o fluxo se aplica, informações de 5 tuplas sobre o fluxo (IP de origem/destino, porta de origem/destino, protocolo) e se o tráfego foi permitido ou negado.

Pode ser difícil obter informações sobre os dados de log de fluxo pesquisando manualmente os arquivos de log. Neste artigo, fornecemos uma solução para visualizar seus logs de fluxo mais recentes e saber mais sobre o tráfego em sua rede.

Aviso

As etapas a seguir funcionam com logs de fluxo versão 1. Para obter detalhes, consulte Introdução ao log de fluxo para grupos de segurança de rede. As instruções a seguir não funcionarão com a versão 2 dos arquivos de log, sem modificação.

Cenário

No cenário a seguir, conectamos a área de trabalho do Power BI à conta de armazenamento que configuramos como o coletor para nossos dados de Log de Fluxo NSG. Depois de nos conectarmos à nossa conta de armazenamento, o Power BI baixa e analisa os logs para fornecer uma representação visual do tráfego registrado pelos grupos de Segurança de Rede.

Usando os elementos visuais fornecidos no modelo, você pode examinar:

  • Top Talkers
  • Dados de fluxo de séries temporais por direção e decisão de regra
  • Fluxos por endereço MAC da interface de rede
  • Fluxos por NSG e Regra
  • Fluxos por porto de destino

O modelo fornecido é editável para que você possa modificá-lo para adicionar novos dados, visuais ou editar consultas para atender às suas necessidades.

Configurar

Antes de começar, tem de ter o Registo de Fluxo do Grupo de Segurança de Rede ativado num ou vários Grupos de Segurança de Rede na sua conta. Para obter instruções sobre como habilitar logs de fluxo de Segurança de Rede, consulte o seguinte artigo: Introdução ao log de fluxo para Grupos de Segurança de Rede.

Você também deve ter o cliente do Power BI Desktop instalado em sua máquina e espaço livre suficiente em sua máquina para baixar e carregar os dados de log existentes em sua conta de armazenamento.

Diagrama do Visio

Passos

  1. Transfira e abra o seguinte modelo do Power BI no Modelo de Registos de Fluxo do Power BI Desktop Application Network Watcher:

  2. Insira os parâmetros de consulta necessários

    1. StorageAccountName – Especifica o nome da conta de armazenamento que contém os logs de fluxo do NSG que você deseja carregar e visualizar.

    2. NumberOfLogFiles – Especifica o número de arquivos de log que você gostaria de baixar e visualizar no Power BI. Por exemplo, se 50 for especificado, os 50 arquivos de log mais recentes. Se tivermos 2 NSGs habilitados e configurados para enviar logs de fluxo NSG para essa conta, as últimas 25 horas de logs poderão ser visualizadas.

      Power BI principal

  3. Introduza a chave de acesso da sua conta de armazenamento. Você pode encontrar chaves de acesso válidas navegando até sua conta de armazenamento no portal do Azure e selecionando Chaves de Acesso no menu Configurações . Clique em Conectar e aplique as alterações.

    chaves de acesso

    Chave de Acesso 2

  4. Seus logs são baixados e analisados e agora você pode utilizar os visuais pré-criados.

Compreender os elementos visuais

No modelo é fornecido um conjunto de elementos visuais que ajudam a entender os dados do NSG Flow Log. As imagens a seguir mostram uma amostra da aparência do painel quando preenchido com dados. Abaixo, examinamos cada visual com mais detalhes.

powerbi

O visual Top Talkers mostra os IPs que iniciaram mais conexões durante o período especificado. O tamanho das caixas corresponde ao número relativo de conexões.

Toptalkers

Os gráficos de séries temporais a seguir mostram o número de fluxos ao longo do período. O gráfico superior é segmentado pela direção do fluxo, e o inferior é segmentado pela decisão tomada (permitir ou negar). Com este visual, pode examinar as suas tendências de tráfego ao longo do tempo e detetar quaisquer picos ou declínios anormais no tráfego ou na segmentação do tráfego.

fluxosperíodo excedentário

Os gráficos a seguir mostram os fluxos por interface de rede, com o superior segmentado pela direção do fluxo e o inferior segmentado pela decisão tomada. Com essas informações, você pode obter informações sobre quais de suas VMs se comunicaram mais em relação a outras e se o tráfego para uma VM específica está sendo permitido ou negado.

Flowspernic

O gráfico de roda de rosca a seguir mostra um detalhamento de Fluxos por Porta de Destino. Com essas informações, você pode visualizar as portas de destino mais usadas dentro do período especificado.

donut

O gráfico de barras a seguir mostra o fluxo por NSG e regra. Com essas informações, você pode ver os NSGs responsáveis pela maior parte do tráfego e a divisão do tráfego em um NSG por regra.

Gráfico de barras

Os gráficos informativos a seguir exibem informações sobre os NSGs presentes nos logs, o número de fluxos capturados durante o período e a data do primeiro log capturado. Essas informações dão uma ideia de quais NSGs estão sendo registrados e o intervalo de datas dos fluxos.

infografia1

Infográfico2

Este modelo inclui as seguintes segmentações de dados para permitir que você visualize apenas os dados em que está mais interessado. Você pode filtrar seus grupos de recursos, NSGs e regras. Você também pode filtrar informações de 5 tuplas, decisões e a hora em que o log foi gravado.

segmentação de dados

Conclusão

Mostramos neste cenário que, usando os logs de Fluxo do Grupo de Segurança de Rede fornecidos pelo Inspetor de Rede e pelo Power BI, somos capazes de visualizar e entender o tráfego. Usando o modelo fornecido, o Power BI baixa os logs diretamente do armazenamento e os processa localmente. O tempo necessário para carregar o modelo varia dependendo do número de arquivos solicitados e do tamanho total dos arquivos baixados.

Sinta-se à vontade para personalizar este modelo de acordo com as suas necessidades. Há várias maneiras de usar o Power BI com os Logs de Fluxo do Grupo de Segurança de Rede.

Notas

  • Por padrão, os logs são armazenados em https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Se existirem outros dados em outro diretório, as consultas para extrair e processar os dados devem ser modificadas.

  • O modelo fornecido não é recomendado para uso com mais de 1 GB de logs.

  • Se você tiver uma grande quantidade de logs, recomendamos que investigue uma solução usando outro armazenamento de dados, como o Data Lake ou o SQL Server.

Passos Seguintes

Saiba como visualizar seus logs de fluxo NSG com o Elastic Stack visitando Visualizar logs de fluxo NSG do Azure Network Watcher usando ferramentas de código aberto