Registo de fluxos para grupos de segurança de rede
O registo de fluxo do grupo de segurança de rede (NSG) é uma funcionalidade do Azure Network Watcher que lhe permite registar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Os dados de fluxo são enviados para o Armazenamento do Azure, de onde você pode acessá-los e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS) de sua escolha.
Por que usar logs de fluxo?
É vital monitorar, gerenciar e conhecer sua própria rede para que você possa protegê-la e otimizá-la. Você precisa saber o estado atual da rede, quem está se conectando e de onde os usuários estão se conectando. Você também precisa saber quais portas estão abertas para a internet, qual comportamento de rede é esperado, qual comportamento de rede é irregular e quando aumentos repentinos no tráfego acontecem.
Os registos de fluxos são a fonte fidedigna para a toda a atividade da rede no ambiente da cloud. Quer esteja numa startup que está a tentar otimizar recursos ou numa grande empresa que está a tentar detetar intrusões, os registos de fluxo podem ajudar. Você pode usá-los para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.
Casos comuns de utilização
Monitorização de rede
- Identifique tráfego desconhecido ou indesejado.
- Monitore os níveis de tráfego e o consumo de largura de banda.
- Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
- Exporte logs de fluxo para ferramentas de análise e visualização de sua escolha para configurar painéis de monitoramento.
Monitorização e otimização da utilização
- Identifique os principais locutores na sua rede.
- Combine com dados GeoIP para identificar tráfego entre regiões.
- Entenda o crescimento do tráfego para previsão de capacidade.
- Use dados para remover regras de trânsito excessivamente restritivas.
Conformidade
- Use dados de fluxo para verificar o isolamento da rede e a conformidade com as regras de acesso corporativo.
Perícia forense de rede e análise de segurança
- Analise fluxos de rede a partir de IPs comprometidos e interfaces de rede.
- Exporte logs de fluxo para qualquer ferramenta SIEM ou IDS de sua escolha.
Como funcionam os logs de fluxo NSG
As principais propriedades dos logs de fluxo NSG incluem:
- Os logs de fluxo operam na Camada 4 do modelo OSI (Open Systems Interconnection) e registram todos os fluxos IP que entram e saem de um grupo de segurança de rede.
- Os logs são coletados em intervalos de 1 minuto por meio da plataforma Azure. Eles não afetam seus recursos do Azure ou o desempenho da rede de forma alguma.
- Os logs são gravados no formato JSON e mostram fluxos de entrada e saída por regra de grupo de segurança de rede.
- Cada registro de log contém a interface de rede (NIC) à qual o fluxo se aplica, informações de 5 tuplas, a decisão de tráfego e (somente para a versão 2) informações de taxa de transferência.
- Os logs de fluxo NSG têm um recurso de retenção que permite excluir os logs automaticamente até um ano após sua criação.
Nota
A retenção só estará disponível se você usar contas de armazenamento v2 de uso geral.
Os principais conceitos para logs de fluxo incluem:
- As redes definidas por software são organizadas em torno de redes virtuais e sub-redes. Você pode gerenciar a segurança dessas redes virtuais e sub-redes usando grupos de segurança de rede.
- Um grupo de segurança de rede contém regras de segurança que permitem ou negam tráfego de rede de ou para os recursos do Azure aos quais o grupo de segurança de rede está conectado. Um grupo de segurança de rede pode ser associado a uma sub-rede ou a uma interface de rede de uma máquina virtual (VM). Para obter mais informações, consulte Visão geral do grupo de segurança de rede.
- Todos os fluxos de tráfego na sua rede são avaliados através das regras do grupo de segurança de rede aplicável. O resultado dessas avaliações são os logs de fluxo do NSG.
- Os logs de fluxo NSG são coletados por meio da plataforma Azure e não exigem nenhuma alteração em seus recursos do Azure.
- Existem dois tipos de regras de grupo de segurança de rede: terminação e não terminação. Cada um tem comportamentos de registro diferentes:
- As regras de negação estão terminando. O grupo de segurança de rede que está negando o tráfego o registra nos logs de fluxo. O processamento, neste caso, para depois que qualquer NSG nega o tráfego.
- As regras de permissão não terminam. Se o grupo de segurança de rede permitir o tráfego, o processamento continuará para o próximo grupo de segurança de rede. O último grupo de segurança de rede que permite o tráfego registra o tráfego para os logs de fluxo.
- Os logs de fluxo do NSG são gravados em contas de armazenamento. Você pode exportar, processar, analisar e visualizar logs de fluxo NSG usando ferramentas como análise de tráfego do Network Watcher, Splunk, Grafana e Stealthwatch.
Formato de registo
Os logs de fluxo NSG incluem as seguintes propriedades:
time: Hora em UTC em que o evento foi registado.systemId: ID do sistema do grupo de segurança de rede.category: Categoria do evento. A categoria é sempreNetworkSecurityGroupFlowEvent.resourceid: ID do recurso do grupo de segurança de rede.operationName: SempreNetworkSecurityGroupFlowEvents.properties: Coleção de propriedades do fluxo:Version: Número da versão do esquema de eventos do log de fluxo.flows: Recolha de fluxos. Esta propriedade tem várias entradas para regras diferentes.rule: Regra para a qual os fluxos estão listados.flows: Recolha de fluxos.mac: Endereço MAC da NIC para a VM onde o fluxo foi coletado.flowTuples: String que contém várias propriedades para a tupla de fluxo em um formato separado por vírgula:Time stamp: Carimbo de data/hora de quando o fluxo ocorreu no formato de época UNIX.Source IP: Endereço IP de origem.Destination IP: Endereço IP de destino.Source port: Porta de origem.Destination port: Porto de destino.Protocol: Protocolo do fluxo. Os valores válidos sãoTpara TCP eUUDP.Traffic flow: Direção do fluxo de tráfego. Os valores válidos sãoIpara entrada eOsaída.Traffic decision: Se o tráfego foi permitido ou negado. Os valores válidos sãoApara permitido eDpara negado.Flow State - Version 2 Only: Estado do fluxo. Os estados possíveis são:B: Comece, quando um fluxo é criado. As estatísticas não são fornecidas.C: Continuar para um fluxo contínuo. As estatísticas são fornecidas em intervalos de 5 minutos.E: Fim, quando um fluxo é encerrado. São fornecidas estatísticas.
Packets sent - Version 2 Only: Número total de pacotes TCP enviados da origem para o destino desde a última atualização.Bytes sent - Version 2 Only: Número total de bytes de pacotes TCP enviados da origem para o destino desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.Packets received - Version 2 Only: Número total de pacotes TCP enviados do destino para a origem desde a última atualização.Bytes received - Version 2 Only: Número total de bytes de pacotes TCP enviados do destino para a origem desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.
A versão 2 dos logs de fluxo do NSG introduz o conceito de estado de fluxo. Você pode configurar qual versão dos logs de fluxo você recebe.
O estado B do fluxo é registado quando um fluxo é iniciado. Estado de fluxo C e estado E de fluxo são estados que marcam a continuação de um fluxo e terminação de fluxo, respectivamente. Ambos os C estados contêm E informações de largura de banda de tráfego.
Registros de log de exemplo
Nos exemplos a seguir do log de fluxo NSG, vários registros seguem a lista de propriedades descrita anteriormente.
Nota
Os valores na flowTuples propriedade são uma lista separada por vírgula.
Versão 1
Aqui está um exemplo de formato de um log de fluxo NSG versão 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
Versão 2
Aqui está um formato de exemplo de um log de fluxo NSG versão 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Cálculo de tupla de log e largura de banda
Aqui está um exemplo de cálculo de largura de banda para tuplas de fluxo de uma conversa TCP entre 185.170.185.105:35370 e 10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
Para os estados de fluxo de continuação (C) e final (E), as contagens de bytes e pacotes são contagens agregadas do momento do registro de tupla do fluxo anterior. Na conversa de exemplo, o número total de pacotes transferidos é 1021+52+8005+47 = 9125. O número total de bytes transferidos é 588096+29952+4610880+27072 = 5256000.
Gerenciando logs de fluxo NSG
Para saber como criar, alterar, desativar ou excluir logs de fluxo NSG, consulte um dos seguintes guias:
Trabalhando com logs de fluxo
Ler e exportar logs de fluxo
Para saber como ler e exportar logs de fluxo NSG, consulte um dos seguintes guias:
- Baixar e visualizar logs de fluxo do portal
- Ler logs de fluxo usando funções do PowerShell
- Exportar logs de fluxo NSG para o Splunk
Os arquivos de log de fluxo NSG são armazenados em uma conta de armazenamento no seguinte caminho:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualizar logs de fluxo
Para saber como visualizar logs de fluxo NSG, consulte um dos seguintes guias:
- Visualize os logs de fluxo do NSG usando a análise de tráfego do Network Watcher
- Visualizar logs de fluxo do NSG usando o Power BI
- Visualize logs de fluxo NSG usando o Elastic Stack
- Gerencie e analise logs de fluxo NSG usando o Grafana
- Gerencie e analise logs de fluxo NSG usando o Graylog
Considerações para logs de fluxo NSG
Conta de armazenamento
- Local: A conta de armazenamento deve estar na mesma região que o grupo de segurança de rede.
- Assinatura: A conta de armazenamento deve estar na mesma assinatura do grupo de segurança de rede ou em uma assinatura associada ao mesmo locatário do Microsoft Entra da assinatura do grupo de segurança de rede.
- Nível de desempenho: a conta de armazenamento deve ser padrão. As contas de armazenamento Premium não são suportadas
- Rotação de chaves autogerenciada: se você alterar ou girar as chaves de acesso à sua conta de armazenamento, os logs de fluxo NSG pararão de funcionar. Para corrigir esse problema, você deve desabilitar e reativar os logs de fluxo NSG.
Custo
O registro de fluxo NSG é cobrado sobre o volume de logs produzidos. O alto volume de tráfego pode resultar em um grande volume de fluxo-log, o que aumenta os custos associados.
Os preços do log de fluxo NSG não incluem os custos subjacentes de armazenamento. Reter os dados dos logs de fluxo do NSG para sempre ou usar o recurso de política de retenção significa incorrer em custos de armazenamento por longos períodos de tempo.
Regras TCP de entrada não padrão
Os grupos de segurança de rede são implementados como um firewall com monitoração de estado. Mas, devido às limitações atuais da plataforma, as regras de segurança não padrão do grupo de segurança de rede que afetam os fluxos TCP de entrada são implementadas de forma sem monitoração de estado.
Os fluxos afetados por regras de entrada não padrão tornam-se não terminativos. Além disso, as contagens de bytes e pacotes não são registradas para esses fluxos. Devido a esses fatores, o número de bytes e pacotes relatados nos logs de fluxo do NSG (e na análise de tráfego do Network Watcher) pode ser diferente dos números reais.
Você pode resolver essa diferença definindo a FlowTimeoutInMinutes propriedade nas redes virtuais associadas como um valor não nulo. Você pode obter o comportamento stateful padrão definindo FlowTimeoutInMinutes como 4 minutos. Para conexões de longa duração em que você não deseja que os fluxos se desconectem de um serviço ou destino, você pode definir FlowTimeoutInMinutes um valor de até 30 minutos. Use Set-AzVirtualNetwork para definir FlowTimeoutInMinutes a propriedade:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Fluxos de entrada registrados de IPs da Internet para VMs sem IPs públicos
As máquinas virtuais (VMs) que não têm um endereço IP público associado à NIC como um IP público no nível da instância ou que fazem parte de um pool de back-end de balanceador de carga básico, usam SNAT padrão. O Azure atribui um endereço IP a essas VMs para facilitar a conectividade de saída. Como resultado, você pode ver entradas de log de fluxo para fluxos de endereços IP da Internet, se o fluxo for destinado a uma porta no intervalo de portas atribuídas para SNAT.
Embora o Azure não permita esses fluxos para a VM, a tentativa é registrada e aparece no log de fluxo NSG do Inspetor de Rede por design. Recomendamos que bloqueie explicitamente o tráfego de entrada indesejado da Internet com um grupo de segurança de rede.
Grupo de segurança de rede em uma sub-rede de gateway de Rota Expressa
Não recomendamos que você registre fluxos em uma sub-rede de gateway do Azure ExpressRoute porque o tráfego pode ignorar esse tipo de gateway (por exemplo, FastPath). Se um NSG estiver vinculado a uma sub-rede de gateway de Rota Expressa e os logs de fluxo do NSG estiverem habilitados, os fluxos de saída para máquinas virtuais poderão não ser capturados. Esses fluxos devem ser capturados na sub-rede ou NIC da VM.
Tráfego para um ponto de extremidade privado
O tráfego para pontos de extremidade privados só pode ser capturado na VM de origem. O tráfego é registrado com o endereço IP de origem da VM e o endereço IP de destino do ponto de extremidade privado. O tráfego não pode ser gravado no próprio endpoint privado devido a limitações da plataforma.
Suporte para grupos de segurança de rede associados à sub-rede do Application Gateway v2
Atualmente, não há suporte para logs de fluxo NSG para grupos de segurança de rede associados à sub-rede do Azure Application Gateway V2. Há suporte para logs de fluxo NSG para grupos de segurança de rede associados à sub-rede do Application Gateway V1.
Serviços incompatíveis
Atualmente, esses serviços do Azure não oferecem suporte a logs de fluxo NSG:
- Azure Container Instances
- Azure Logic Apps
- Funções do Azure
- Azure DNS Private Resolver
- Serviço de Aplicações
- Azure Database for MariaDB
- Base de Dados do Azure para MySQL
- Base de Dados do Azure para PostgreSQL
Nota
Os serviços de aplicativo implantados sob um plano do Serviço de Aplicativo do Azure não oferecem suporte a logs de fluxo NSG. Para saber mais, consulte Como funciona a integração de rede virtual.
Melhores práticas
Habilitar logs de fluxo NSG em sub-redes críticas: os logs de fluxo devem ser habilitados em todas as sub-redes críticas em sua assinatura como uma prática recomendada de auditoria e segurança.
Habilitar logs de fluxo NSG em todos os grupos de segurança de rede anexados a um recurso: os logs de fluxo NSG são configurados em grupos de segurança de rede. Um fluxo está associado a apenas uma regra de grupo de segurança de rede. Em cenários em que você usa vários grupos de segurança de rede, recomendamos habilitar os logs de fluxo NSG em todos os grupos de segurança de rede aplicados na sub-rede e na interface de rede (NIC) do recurso para garantir que todo o tráfego seja registrado. Para obter mais informações, consulte Como os grupos de segurança de rede filtram o tráfego de rede.
Veja a seguir alguns cenários comuns:
- Várias NICs em uma máquina virtual: se várias NICs estiverem conectadas a uma máquina virtual, você deverá habilitar os logs de fluxo em todas elas.
- Grupo de segurança de rede nos níveis NIC e sub-rede: Se um grupo de segurança de rede estiver configurado no nível da NIC e no nível da sub-rede, você deverá habilitar os logs de fluxo em ambos os grupos de segurança de rede. A sequência exata de processamento de regras por grupos de segurança de rede nos níveis de NIC e sub-rede depende da plataforma e varia de caso para caso. Os fluxos de tráfego são registrados no grupo de segurança de rede processado por último. O estado da plataforma altera a ordem de processamento. Você tem que verificar ambos os logs de fluxo.
- Sub-rede de cluster do Serviço Kubernetes do Azure (AKS): o AKS adiciona um grupo de segurança de rede padrão na sub-rede do cluster. Você deve habilitar os logs de fluxo NSG neste grupo de segurança de rede.
Provisionamento de armazenamento: provisione o armazenamento em sintonia com o volume esperado de logs de fluxo.
Nomenclatura: O nome do grupo de segurança de rede deve ter até 80 caracteres e um nome de regra de grupo de segurança de rede deve ter até 65 caracteres. Se os nomes excederem seus limites de caracteres, eles poderão ser truncados durante o registro.
Solução de problemas comuns
Não consigo ativar os logs de fluxo do NSG
Você pode receber um erro AuthorizationFailed ou GatewayAuthenticationFailed se não tiver habilitado o provedor de recursos Microsoft.Insights em sua assinatura antes de tentar habilitar os logs de fluxo NSG. Para obter mais informações, consulte Registrar provedor do Insights.
Ativei os logs de fluxo do NSG, mas não vejo dados na minha conta de armazenamento
Esse problema pode estar relacionado a:
Tempo de configuração: os logs de fluxo NSG podem levar até 5 minutos para aparecer na sua conta de armazenamento (se estiverem configurados corretamente). É apresentado um ficheiro PT1H.json . Para obter mais informações, consulte Download flow log.
Falta de tráfego em seus grupos de segurança de rede: às vezes você não vê logs porque suas máquinas virtuais não estão ativas ou porque os filtros upstream no Application Gateway ou em outros dispositivos estão bloqueando o tráfego para seus grupos de segurança de rede.
Preços
Os logs de fluxo NSG são cobrados por gigabyte de logs de fluxo de rede coletados e vêm com um nível gratuito de 5 GB/mês por assinatura.
Se a análise de tráfego estiver habilitada com logs de fluxo NSG, os preços da análise de tráfego serão aplicados a taxas de processamento por gigabyte. A análise de tráfego não é oferecida com um nível gratuito de preços. Para obter mais informações, consulte Preços do Inspetor de Rede.
O armazenamento de logs é cobrado separadamente. Para obter mais informações, consulte Preços do Armazenamento de Blob do Azure.
Conteúdos relacionados
- Para saber como gerenciar logs de fluxo NSG, consulte Criar, alterar, desabilitar ou excluir logs de fluxo NSG usando o portal do Azure.
- Para encontrar respostas para algumas das perguntas mais frequentes sobre logs de fluxo NSG, consulte Perguntas frequentes sobre logs de fluxo.
- Para saber mais sobre a análise de tráfego, consulte Visão geral da análise de tráfego.