Registo de recursos para um grupo de segurança de rede

Um grupo de segurança de rede (NSG) inclui regras que permitem ou negam o tráfego a uma sub-rede de rede virtual, interface de rede ou ambas.

Quando ativa a sessão de registo de um NSG, pode recolher os seguintes tipos de informações de registo de recursos:

  • Evento: As entradas são registadas para as quais as regras NSG são aplicadas a VMs, com base no endereço MAC.
  • Contador de regras: Contém entradas para quantas vezes cada regra NSG é aplicada para negar ou permitir o tráfego. O estatuto destas regras é recolhido a cada 300 segundos.

Os registos de recursos só estão disponíveis para os NSGs implementados através do modelo de implementação do Gestor de Recursos Azure. Não é possível ativar a registo de recursos para NSGs implementadas através do modelo clássico de implementação. Para uma melhor compreensão dos dois modelos, consulte os modelos de implementação Understanding Azure.

A sessão de registo de recursos é ativada separadamente para cada NSG para a qual pretende recolher dados de diagnóstico. Se estiver interessado em registos de atividade (operacionais), consulte o registo de atividadesdo Azure . Se estiver interessado em tráfego IP fluindo através de NSGs veja registos de fluxo NSG do Observador de Rede Azure

Ativar registo

Pode utilizar o Portal Azure, o PowerShellou o Azure CLI para permitir a registo de recursos.

Portal do Azure

  1. Inscreva-se no portal.

  2. Selecione Todos os serviços e, em seguida, escreva grupos de segurança de rede. Quando os grupos de segurança da Rede aparecerem nos resultados da pesquisa, selecione-os.

  3. Selecione o NSG que pretende ativar a sessão.

  4. Em MONITORIZAÇÃO, selecione registos de diagnósticos e, em seguida, selecione Ligue os diagnósticos, como mostra a seguinte imagem:

    Ativar os diagnósticos

  5. Nas definições de Diagnóstico, introduza ou selecione as seguintes informações e, em seguida, selecione Guardar:

    Definição Valor
    Nome Um nome à sua escolha. Por exemplo: myNsgDiagnostics
    Arquivar para uma conta de armazenamento, transmitir para um centro de eventos, e enviar para registar analytics Pode selecionar quantos destinos escolher. Para saber mais sobre cada um, consulte os destinos Log.
    LOG Selecione ambas as categorias de registo. Para saber mais sobre os dados registados para cada categoria, consulte as categorias 'Registar'.
  6. Ver e analisar registos. Para obter mais informações, consulte Ver e analisar registos.

PowerShell

Nota

Este artigo foi atualizado para utilizar o módulo Azure Az PowerShell. O módulo Az PowerShell é o módulo do PowerShell recomendado para interagir com o Azure. Para começar a utilizar o módulo Azure PowerShell, veja Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Pode executar os comandos que seguem na Azure Cloud Shell,ou executando o PowerShell a partir do seu computador. O Azure Cloud Shell é uma concha interativa gratuita. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta. Se executar o PowerShell a partir do computador, precisa do módulo Azure PowerShell, versão 1.0.0 ou posterior. Corra Get-Module -ListAvailable Az no seu computador, para encontrar a versão instalada. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se estiver a executar o PowerShell localmente, também tem de correr Connect-AzAccount para iniciar seduca no Azure com uma conta que tenha as permissões necessárias.

Para ativar a extração de recursos, precisa do ID de um NSG existente. Se não tiver um NSG existente, pode criar um com o New-AzNetworkSecurityGroup.

Recupere o grupo de segurança de rede para o que pretende ativar a sessão de registo de recursos com o Get-AzNetworkSecurityGroup. Por exemplo, para recuperar um NSG chamado myNsg que existe num grupo de recursos chamado myResourceGroup, insira o seguinte comando:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Pode escrever registos de recursos em três tipos de destino. Para mais informações, consulte os destinos Log. Neste artigo, os registos são enviados para o destino Log Analytics, como exemplo. Recupere um espaço de trabalho log analytics existente com o Get-AzOperationalInsightsWorkspace. Por exemplo, para recuperar um espaço de trabalho existente chamado myWorkspace num grupo de recursos chamado myWorkspaces, insira o seguinte comando:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Se não tiver um espaço de trabalho existente, pode criar um com o New-AzOperationalInsightsWorkspace.

Existem duas categorias de registos para os quais pode ativar os registos. Para obter mais informações, consulte as categorias de Registo. Ativar a sessão de registo de recursos para o NSG com Set-AzDiagnosticSetting. O exemplo a seguir regista dados de eventos e categorias de contador para o espaço de trabalho para um NSG, utilizando os IDs para o NSG e espaço de trabalho que recuperou anteriormente:

Set-AzDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

Se pretender registar apenas dados para uma categoria ou outra, em vez de ambos, adicione a -Categories opção ao comando anterior, seguido do NetworkSecurityGroupEvent ou do NetworkSecurityGroupRuleCounter. Se pretender registar-se num destino diferente de um espaço de trabalho Log Analytics, utilize os parâmetros apropriados para uma conta de Armazenamento Azure ou Para o Centro de Eventos.

Ver e analisar registos. Para obter mais informações, consulte Ver e analisar registos.

CLI do Azure

Pode executar os comandos que seguem na Azure Cloud Shell,ou executando o CLI Azure a partir do seu computador. O Azure Cloud Shell é uma concha interativa gratuita. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta. Se executar o CLI a partir do computador, precisa da versão 2.0.38 ou posterior. Corra az --version no seu computador, para encontrar a versão instalada. Se precisar de atualizar, consulte instalar o Azure CLI. Se estiver a executar o CLI localmente, também tem de correr az login para entrar no Azure com uma conta que tenha as permissões necessárias.

Para ativar a extração de recursos, precisa do ID de um NSG existente. Se não tiver um NSG existente, pode criar um com a az network nsg criar.

Recupere o grupo de segurança da rede para o que pretende permitir a registo de recursos com o programa nsg da rede Az. Por exemplo, para recuperar um NSG chamado myNsg que existe num grupo de recursos chamado myResourceGroup, insira o seguinte comando:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Pode escrever registos de recursos em três tipos de destino. Para mais informações, consulte os destinos Log. Neste artigo, os registos são enviados para o destino Log Analytics, como exemplo. Para obter mais informações, consulte as categorias de Registo.

Ativar a marcação de recursos para o NSG com as definições de diagnóstico do monitor Az criar. O exemplo a seguir regista dados de eventos e categorias de contador para um espaço de trabalho existente chamado myWorkspace, que existe num grupo de recursos chamado myWorkspaces, e o ID do NSG que recuperou anteriormente:

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Se não tiver um espaço de trabalho existente, pode criar um utilizando o portal Azure ou o PowerShell. Existem duas categorias de registos para os quais pode ativar os registos.

Se pretender registar apenas dados para uma categoria ou outra, remova a categoria para a qual não pretende registar dados no comando anterior. Se pretender registar-se num destino diferente de um espaço de trabalho Log Analytics, utilize os parâmetros apropriados para uma conta de Armazenamento Azure ou Para o Centro de Eventos.

Ver e analisar registos. Para obter mais informações, consulte Ver e analisar registos.

Destinos de registo

Os dados de diagnóstico podem ser:

Categorias de registo

Os dados formatados pelo JSON são escritos para as seguintes categorias de registo:

Evento

O registo do evento contém informações sobre as regras NSG aplicadas aos VMs, com base no endereço MAC. Os seguintes dados são registados para cada evento. No exemplo seguinte, os dados são registados para uma máquina virtual com o endereço IP 192.168.1.4 e um endereço MAC de 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

Contador de regras

O registo de contador de regras contém informações sobre cada regra aplicada aos recursos. Os dados de exemplo a seguir são registados sempre que uma regra é aplicada. No exemplo seguinte, os dados são registados para uma máquina virtual com o endereço IP 192.168.1.4 e um endereço MAC de 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

Nota

O endereço IP de origem para a comunicação não está registado. No entanto, pode ativar a registo de fluxos NSG para um NSG, que regista todas as informações de contador de regras, bem como o endereço IP de origem que iniciou a comunicação. Os dados de registo de fluxo do NSG são escritos numa conta de Armazenamento do Microsoft Azure. Pode analisar os dados com a capacidade de análise de tráfego do Azure Network Watcher.

Ver e analisar registos

Para saber como ver os dados do registo de recursos, consulte a visão geral dos registos da plataforma Azure. Se enviar dados de diagnóstico para:

  • Registos do Monitor Azure: Pode utilizar a solução de análise do grupo de segurança da rede para obter informações melhoradas. A solução fornece visualizações para regras NSG que permitem ou negam o tráfego, por endereço MAC, da interface de rede numa máquina virtual.
  • Conta de Armazenamento Azure: Os dados são escritos para um PT1H.jsficheiro. Pode encontrar o:
    • Registo de eventos no seguinte caminho: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • Registo de contador de regras no seguinte caminho: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Passos seguintes

  • Saiba mais sobre o registo de atividades. O registo de atividade é ativado por padrão para NSGs criados através de um modelo de implementação Azure. Para determinar quais as operações que foram concluídas em NSGs no registo de atividade, procure entradas que contenham os seguintes tipos de recursos:
    • Microsoft.ClassicNetwork/networkSecurityGroups
    • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft.Network/networkSecurityGroups
    • Microsoft.Network/networkSecurityGroups/securityRules
  • Para aprender a registar informações de diagnóstico, para incluir o endereço IP de origem para cada fluxo, consulte a registo de fluxo de NSG.