Gerenciar logs de fluxo do NSG usando o portal do Azure

O log de fluxo do grupo de segurança de rede é um recurso do Observador de Rede do Azure que permite registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Para obter mais informações sobre o log de fluxo do grupo de segurança de rede, consulte Visão geral dos logs de fluxo do NSG.

Neste artigo, você aprenderá a criar, alterar, desabilitar ou excluir um log de fluxo do NSG usando o portal do Azure. Você pode aprender a gerenciar um log de fluxo NSG usando PowerShell, CLI do Azure, API REST ou modelo ARM.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Um grupo de segurança de rede. Se você precisar criar um grupo de segurança de rede, consulte Criar, alterar ou excluir um grupo de segurança de rede.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando o PowerShell.

Registar o fornecedor do Insights

O provedor Microsoft.Insights deve ser registrado para registrar com êxito o tráfego que flui através de um grupo de segurança de rede. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, verifique seu status:

1. Na caixa de pesquisa na parte superior do portal, introduza subscrições. Selecione Subscrições nos resultados da pesquisa.

2. Selecione a assinatura do Azure para a qual você deseja habilitar o provedor em Assinaturas.

3. Em Definições, selecione Fornecedores de recursos.

4. Insira informações na caixa de filtro.

5. Confirme se o status do provedor exibido é Registrado. Se o status for NotRegistered, selecione o provedor Microsoft.Insights e selecione Registrar.

   

Criar um log de fluxo

Crie um log de fluxo para seu grupo de segurança de rede. Esse log de fluxo do NSG é salvo em uma conta de armazenamento do Azure.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione + Criar botão azul Criar ou Criar log de fluxo.

   

4. Insira ou selecione os seguintes valores em Criar um log de fluxo:

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a assinatura do Azure do seu grupo de segurança de rede que você deseja registrar.
   Grupo de segurança de rede	Selecione + Selecionar recurso. Em Selecionar grupo de segurança de rede, selecione myNSG. Em seguida, selecione Confirmar seleção.
   Nome do log de fluxo	Insira um nome para o log de fluxo ou deixe o nome padrão. myNSG-myResourceGroup-flowlog é o nome padrão para este exemplo.
   Detalhes da instância
   Subscrição	Selecione a assinatura do Azure da sua conta de armazenamento.
   Contas de Armazenamento	Selecione a conta de armazenamento na qual deseja salvar os logs de fluxo. Se quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Insira um tempo de retenção para os logs. Digite 0 se quiser manter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluí-los da conta de armazenamento). Para obter informações sobre preços, consulte Preços do Armazenamento do Azure.

   

   Nota

   Se a conta de armazenamento estiver em uma assinatura diferente, o grupo de segurança de rede e a conta de armazenamento deverão estar associados ao mesmo locatário do Azure Ative Directory. A conta que você usa para cada assinatura deve ter as permissões necessárias.

5. Selecione Rever + criar.

6. Reveja as definições e, em seguida, selecione Criar.

Criar um log de fluxo e um espaço de trabalho de análise de tráfego

Crie um log de fluxo para seu grupo de segurança de rede e habilite a análise de tráfego. O log de fluxo do NSG é salvo em uma conta de armazenamento do Azure.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione + Criar botão azul Criar ou Criar log de fluxo.

   

4. Insira ou selecione os seguintes valores em Criar um log de fluxo:

   Definição	Value
   Detalhes do projeto
   Subscrição	Selecione a assinatura do Azure do seu grupo de segurança de rede que você deseja registrar.
   Grupo de segurança de rede	Selecione + Selecionar recurso. Em Selecionar grupo de segurança de rede, selecione myNSG. Em seguida, selecione Confirmar seleção.
   Nome do log de fluxo	Insira um nome para o log de fluxo ou deixe o nome padrão. Por padrão, o portal do Azure cria o log de fluxo {network-security-group}-{resource-group}-flowlog no grupo de recursos NetworkWatcherRG .
   Detalhes da instância
   Subscrição	Selecione a assinatura do Azure da sua conta de armazenamento.
   Contas de Armazenamento	Selecione a conta de armazenamento na qual deseja salvar os logs de fluxo. Se quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Insira um tempo de retenção para os logs. Digite 0 se quiser manter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluí-los da conta de armazenamento). Para obter informações sobre preços, consulte Preços do Armazenamento do Azure.

   

   Nota

   Se a conta de armazenamento estiver em uma assinatura diferente, o grupo de segurança de rede e a conta de armazenamento deverão estar associados ao mesmo locatário do Azure Ative Directory. A conta que você usa para cada assinatura deve ter as permissões necessárias.

5. Selecione Next: botão Analytics (Avançar: botão Analytics ) ou selecione a guia Analytics . Em seguida, insira ou selecione os seguintes valores:

   Definição	Value
   Versão dos Logs de Fluxo	Selecione a versão do log de fluxo. A versão 2 é selecionada por padrão quando você cria um log de fluxo usando o portal do Azure. Para obter mais informações sobre versões de logs de fluxo, consulte Formato de log de logs de fluxo NSG.
   Análise de Tráfego
   Ativar análise de tráfego	Marque a caixa de seleção para habilitar a análise de tráfego para seu registro de fluxo.
   Intervalo de processamento do Traffic Analytics	Selecione o intervalo de processamento que preferir, as opções disponíveis são: A cada 1 hora e a cada 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.
   Subscrição	Selecione a assinatura do Azure do seu espaço de trabalho do Log Analytics.
   Área de trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, o portal do Azure cria e seleciona o espaço de trabalho DefaultWorkspace-{subscription-id}-{region} Log Analytics no grupo de recursos defaultresourcegroup-{Region} .

   

6. Selecione Rever + criar.

7. Reveja as definições e, em seguida, selecione Criar.

Alterar um log de fluxo

Você pode alterar as propriedades de um log de fluxo depois de criá-lo. Por exemplo, você pode alterar a versão do log de fluxo ou desabilitar a análise de tráfego.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o log de fluxo que você deseja alterar.

4. Nas configurações de Logs de fluxo, você pode alterar qualquer uma das seguintes configurações:

   • Versão dos logs de fluxo: altere a versão do log de fluxo. As versões disponíveis são: versão 1 e versão 2. A versão 2 é selecionada por padrão quando você cria um log de fluxo usando o portal do Azure. Para obter mais informações sobre versões de logs de fluxo, consulte Formato de log de logs de fluxo NSG.
   • Conta de armazenamento: altere a conta de armazenamento na qual você deseja salvar os logs de fluxo. Se quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   • Retenção (dias): altere o tempo de retenção na conta de armazenamento. Digite 0 se quiser manter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluir manualmente os dados da conta de armazenamento).
   • Análise de tráfego: habilite ou desabilite a análise de tráfego para seu registro de fluxo. Para obter mais informações, consulte Análise de tráfego.
   • Intervalo de processamento da Análise de Tráfego: altere o intervalo de processamento da análise de tráfego (se a análise de tráfego estiver ativada). As opções disponíveis são: uma hora e 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.
   • Espaço de trabalho do Log Analytics: altere o espaço de trabalho do Log Analytics no qual você deseja salvar os logs de fluxo (se a análise de tráfego estiver habilitada).

   

Listar todos os logs de fluxo

Você pode listar todos os logs de fluxo em uma assinatura ou em um grupo de assinaturas. Você também pode listar todos os logs de fluxo em uma região.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Selecione Subscrição igual a filtro para escolher uma ou mais das suas subscrições. Você pode aplicar outros filtros, como Location equals, para listar todos os logs de fluxo em uma região.

   

Exibir detalhes de um recurso de log de fluxo

Você pode exibir os detalhes de um log de fluxo em uma assinatura ou em um grupo de assinaturas. Você também pode listar todos os logs de fluxo em uma região.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o log de fluxo que você deseja ver.

4. Em Configurações de logs de fluxo, você pode exibir as configurações do recurso de log de fluxo.

   

Baixar um registro de fluxo

O local de armazenamento de um log de fluxo é definido na criação. Para acessar e baixar logs de fluxo de sua conta de armazenamento, você pode usar o Gerenciador de Armazenamento do Azure. Para obter mais informações, consulte Introdução ao Gerenciador de Armazenamento.

Os arquivos de log de fluxo NSG salvos em uma conta de armazenamento seguem este caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Para obter informações sobre a estrutura de um log de fluxo, consulte Formato de log de logs de fluxo NSG.

Desativar um registo de fluxo

Você pode desativar temporariamente um log de fluxo NSG sem excluí-lo. A desativação de um log de fluxo interrompe o log de fluxo para o grupo de segurança de rede associado. No entanto, o recurso de log de fluxo permanece com todas as suas configurações e associações. Você pode reativá-lo a qualquer momento para retomar o log de fluxo para o grupo de segurança de rede configurado.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja desabilitar.

4. Selecione Desativar.

   

Nota

Se a análise de tráfego estiver habilitada para um log de fluxo, ela deverá ser desabilitada antes que você possa desabilitar o log de fluxo. Para desativar a análise de tráfego, consulte Alterar um log de fluxo.

Excluir um log de fluxo

Você pode excluir permanentemente um log de fluxo NSG. A exclusão de um log de fluxo exclui todas as suas configurações e associações. Para iniciar o log de fluxo novamente para o mesmo grupo de segurança de rede, você deve criar um novo log de fluxo para ele.

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja excluir.

4. Selecione Eliminar.

   

Nota

A exclusão de um log de fluxo não exclui os dados do log de fluxo da conta de armazenamento. Os logs de fluxo de dados armazenados na conta de armazenamento seguem a política de retenção configurada ou permanecem armazenados na conta de armazenamento até serem excluídos manualmente (caso nenhuma política de retenção seja configurada).

Próximos passos

• Para saber como usar as políticas internas do Azure para auditar ou implantar logs de fluxo do NSG, consulte Gerenciar logs de fluxo do NSG usando a Política do Azure.
• Para saber mais sobre a análise de tráfego, consulte Análise de tráfego.