Управление журналами потоков NSG с помощью Azure CLI
Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журнала потоков группы безопасности сети см. в обзоре журналов потоков NSG.
Из этой статьи вы узнаете, как создать, изменить, отключить или удалить журнал потоков NSG с помощью Azure CLI. Вы можете узнать, как управлять журналом потоков NSG с помощью портал Azure, PowerShell, REST API или шаблона ARM.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
поставщик Аналитика. Дополнительные сведения см. в разделе "Регистрация поставщика Аналитика".
Группа безопасности сети. Если необходимо создать группу безопасности сети, см. статью "Создание, изменение" или удаление группы безопасности сети.
Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см . статью о создании учетной записи хранения с помощью PowerShell.
Azure Cloud Shell или Azure CLI, установленные локально.
Действия, описанные в этой статье, выполняют команды Azure CLI интерактивно в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.
Вы также можете установить Azure CLI локально для выполнения команд. При локальном запуске Azure CLI войдите в Azure с помощью команды az login .
Регистрация поставщика Microsoft Insights
Microsoft. Аналитика поставщик должен быть зарегистрирован для успешного прохождения трафика журнала через группу безопасности сети. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Аналитика, используйте az provider register для регистрации.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Создание журнала потока
Создайте журнал потока с помощью az network watcher flow-log create. Журнал потоков создается в группе ресурсов по умолчанию NetworkWatcherRG Наблюдатель за сетями.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Примечание.
- Если учетная запись хранения находится в другой подписке, группа безопасности сети и учетная запись хранения должны быть связаны с тем же клиентом Azure Active Directory. Используемая учетная запись для каждой подписки должна иметь необходимые разрешения.
- Если учетная запись хранения находится в другой группе ресурсов или подписке, необходимо указать полный идентификатор учетной записи хранения вместо его имени. Например, если учетная запись хранения my служба хранилища Account находится в группе ресурсов с именем служба хранилища RG, а группа безопасности сети находится в группе ресурсов myResourceGroup, вместо параметра
myStorageAccountследует использовать/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-account.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Создание рабочей области журнала потоков и аналитики трафика
Создайте рабочую область Log Analytics с помощью az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'Создайте журнал потока с помощью az network watcher flow-log create. Журнал потоков создается в группе ресурсов по умолчанию NetworkWatcherRG Наблюдатель за сетями.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Примечание.
- У учетной записи хранения не могут быть правила сети, ограничивающие доступ к сети только службы Майкрософт или определенным виртуальным сетям.
- Если учетная запись хранения находится в другой подписке, группа безопасности сети и учетная запись хранения должны быть связаны с тем же клиентом Azure Active Directory. Используемая учетная запись для каждой подписки должна иметь необходимые разрешения.
- Если учетная запись хранения находится в другой группе ресурсов или подписке, необходимо использовать полный идентификатор учетной записи хранения. Например, если учетная запись хранения my служба хранилища Account находится в группе ресурсов с именем служба хранилища RG, а группа безопасности сети находится в группе ресурсов myResourceGroup, вместо параметра
myStorageAccountследует использовать/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-account.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Изменение журнала потока
Вы можете использовать az network watcher flow-log update для изменения свойств журнала потока. Например, можно изменить версию журнала потоков или отключить аналитику трафика.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Вывод списка всех журналов потоков в регионе
Используйте az network watcher flow-log list для перечисления всех ресурсов журнала потоков NSG в определенном регионе в вашей подписке.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Просмотр сведений о ресурсе журнала потоков
Используйте az network watcher flow-log show , чтобы просмотреть сведения о ресурсе журнала потоков.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Скачивание журнала потоков
Место хранения журнала потоков определяется при его создании. Чтобы получить доступ к журналам потоков и скачать их из учетной записи хранения, можно использовать служба хранилища Azure Обозреватель. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
Файлы журнала потоков NSG, сохраненные в учетной записи хранения, соответствуют этому пути:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Сведения о структуре журнала потоков см . в формате журнала потоков NSG.
Отключение журнала потока
Чтобы временно отключить журнал потоков без удаления, используйте команду az network watcher flow-log update . Отключение журнала потока останавливает ведение журнала потоков для связанной группы безопасности сети. Однако ресурс журнала потоков остается со всеми параметрами и связями. Вы можете повторно включить его в любое время, чтобы возобновить ведение журнала потоков для настроенной группы безопасности сети.
Примечание.
Если аналитика трафика включена для журнала потоков, она должна быть отключена, прежде чем отключить журнал потоков.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Удаление журнала потока
Чтобы окончательно удалить журнал потока, используйте команду az network watcher flow-log delete . При удалении журнала потоков удаляются все его параметры и связи. Чтобы начать ведение журнала потоков для той же группы безопасности сети, необходимо создать для него новый журнал потоков.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Примечание.
Удаление журнала потока не удаляет данные журнала потоков из учетной записи хранения. Журналы потоков, хранящиеся в учетной записи хранения, соответствуют настроенной политике хранения.
Следующие шаги
- Сведения об использовании встроенных политик Azure для аудита или развертывания журналов потоков NSG см. в статье "Управление журналами потоков NSG с помощью Политика Azure".
- Дополнительные сведения об аналитике трафика см. в статье "Аналитика трафика".