Självstudie: Logga nätverkstrafik till och från en virtuell dator via Azure-portalen

Flödesloggning för nätverkssäkerhetsgrupp är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Mer information om flödesloggning för nätverkssäkerhetsgrupper finns i Översikt över NSG-flödesloggar.

Den här självstudien hjälper dig att använda NSG-flödesloggar för att logga en virtuell dators nätverkstrafik som flödar genom nätverkssäkerhetsgruppen som är associerad med dess nätverksgränssnitt.

I den här självstudien lär du dig att:

• Skapa ett virtuellt nätverk
• Skapa en virtuell dator med en nätverkssäkerhetsgrupp som är associerad med dess nätverksgränssnitt
• Registrera Microsoft.insights-provider
• Aktivera flödesloggning för en nätverkssäkerhetsgrupp med hjälp av Network Watcher-flödesloggar
• Ladda ned loggdata
• Visa loggdata

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa ett virtuellt nätverk

I det här avsnittet skapar du ett virtuellt myVNet-nätverk med ett undernät för den virtuella datorn.

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du virtuella nätverk. Välj Virtuella nätverk i sökresultaten.

   

3. Välj + Skapa. I Skapa virtuellt nätverk anger eller väljer du följande värden på fliken Grundläggande :

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din Azure-prenumerationen.
   Resursgrupp	Välj Skapa ny. Ange myResourceGroup i Namn. Välj OK.
   Instansinformation
   Name	Ange myVNet.
   Region	Välj (USA) USA, östra.

4. Välj Granska + skapa.

5. Granska inställningarna och välj sedan Skapa.

Skapa en virtuell dator

I det här avsnittet skapar du den virtuella datorn myVM .

1. I sökrutan överst i portalen anger du virtuella datorer. Välj Virtuella datorer i sökresultaten.

2. Välj + Skapa och välj sedan den virtuella Azure-datorn.

3. I Skapa en virtuell dator anger eller väljer du följande värden på fliken Grundläggande :

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din Azure-prenumerationen.
   Resursgrupp	Välj myResourceGroup.
   Instansinformation
   Virtual machine name	Ange myVM.
   Region	Välj (USA) USA, östra.
   Tillgänglighetsalternativ	Välj Ingen infrastrukturredundans krävs.
   Säkerhetstyp	Välj Standard.
   Bild	Välj Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
   Storlek	Välj en storlek eller lämna standardinställningen.
   Administratörskonto
   Username	Ange ett användarnamn.
   Lösenord	Ange ett lösenord.
   Bekräfta lösenord	Ange lösenordet igen.

4. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.

5. På fliken Nätverk väljer du följande värden:

   Inställning	Värde
   Nätverksgränssnitt
   Virtuellt nätverk	Välj myVNet.
   Undernät	Välj mySubnet.
   Offentlig IP-adress	Välj (ny) myVM-ip.
   Nätverkssäkerhetsgrupp för nätverkskort	Välj Grundläggande. Den här inställningen skapar en nätverkssäkerhetsgrupp med namnet myVM-nsg och associerar den med nätverksgränssnittet för den virtuella datorn myVM .
   Offentliga inkommande portar	Välj Tillåt valda portar.
   Välj inkommande portar	Välj RDP (3389).

   Varning

   Att lämna RDP-porten öppen för Internet rekommenderas endast för testning. För produktionsmiljöer rekommenderar vi att du begränsar åtkomsten till RDP-porten till en specifik IP-adress eller ett visst IP-adressintervall. Du kan också blockera Internetåtkomst till RDP-porten och använda Azure Bastion för att ansluta på ett säkert sätt till den virtuella datorn från Azure-portalen.

6. Välj Granska + skapa.

7. Granska inställningarna och välj sedan Skapa.

8. När distributionen är klar väljer du Gå till resurs för att gå till översiktssidan för myVM.

9. Välj Anslut och sedan RDP.

10. Välj Ladda ned RDP-fil och öppna den nedladdade filen.

11. Välj Anslut och ange sedan användarnamnet och lösenordet som du skapade i föregående steg. Acceptera certifikatet om du uppmanas att göra det.

Registrera Insights-providern

Providern Microsoft.Insights krävs för NSG-flödesloggning. Följ dessa steg för att kontrollera dess status:

1. I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultatet.

2. Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.

3. Välj Resursprovidrar under Inställningar för din prenumeration.

4. Ange insikt i filterrutan.

5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.

   

Skapa ett lagringskonto

I det här avsnittet skapar du ett lagringskonto för att använda det för att lagra flödesloggarna.

1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj + Skapa. I Skapa ett lagringskonto anger eller väljer du följande värden på fliken Grundläggande:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din Azure-prenumerationen.
   Resursgrupp	Välj myResourceGroup.
   Instansinformation
   Lagringskontonamn	Ange ett unikt namn. I den här självstudien används mynwstorageaccount.
   Region	Välj (USA) USA, östra. Lagringskontot måste finnas i samma region som den virtuella datorn och dess nätverkssäkerhetsgrupp.
   Prestanda	Välj Standard. NSG-flödesloggar stöder endast lagringskonton på standardnivå.
   Redundans	Välj Lokalt redundant lagring (LRS) eller en annan replikeringsstrategi som matchar dina hållbarhetskrav.

3. Välj fliken Granska eller välj knappen Granska längst ned.

4. Granska inställningarna och välj sedan Skapa.

Skapa en NSG-flödeslogg

I det här avsnittet skapar du en NSG-flödeslogg som sparas i lagringskontot som skapades tidigare i självstudien.

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

   

4. Ange eller välj följande värden i Skapa en flödeslogg:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga.
   Nätverkssäkerhetsgrupp	Välj + Välj resurs. I Välj nätverkssäkerhetsgrupp väljer du myVM-nsg. Välj sedan Bekräfta markering.
   Flödesloggnamn	Lämna standardvärdet myVM-nsg-myResourceGroup-flowlog.
   Instansinformation
   Prenumeration	Välj Azure-prenumerationen för ditt lagringskonto.
   Lagringskonton	Välj det lagringskonto som du skapade i föregående steg. I den här självstudien används mynwstorageaccount.
   Kvarhållning (dagar)	Ange 0 för att behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Om du vill tillämpa en kvarhållningsprincip anger du kvarhållningstiden i dagar. Information om lagringspriser finns i Priser för Azure Storage.

   

   Kommentar

   Azure-portalen skapar NSG-flödesloggar i resursgruppen NetworkWatcherRG .

5. Välj Granska + skapa.

6. Granska inställningarna och välj sedan Skapa.

7. När distributionen är klar väljer du Gå till resurs för att bekräfta flödesloggen som skapats och listats på sidan Flödesloggar .

   

8. Gå tillbaka till RDP-sessionen med den virtuella datorn myVM .

9. Öppna Microsoft Edge och gå till www.bing.com.

Ladda ned flödesloggen

I det här avsnittet går du till det lagringskonto som du tidigare valde och laddar ned NSG-flödesloggen som skapades i föregående avsnitt.

1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultatet.

2. Välj mynwstorageaccount eller det lagringskonto som du skapade tidigare och välj för att lagra loggarna.

3. Under Datalagring väljer du Containrar.

4. Välj containern insights-logs-networksecuritygroupflowevent .

5. I containern navigerar du i mapphierarkin tills du kommer till PT1H.json filen. NSG-loggfiler skrivs till en mapphierarki som följer följande namngivningskonvention:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
   

6. Välj ellipsen ... till höger om PT1H.json-filen och välj sedan Ladda ned.

   

Kommentar

Du kan använda Azure Storage Explorer för att komma åt och ladda ned flödesloggar från ditt lagringskonto. Mer information finns i Komma igång med Storage Explorer.

Visa flödesloggen

Öppna den nedladdade PT1H.json filen med valfri textredigerare. Följande exempel är ett avsnitt som hämtats från den nedladdade PT1H.json filen, som visar ett flöde som bearbetas av regeln DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Kommaavgränsad information för flowTuples är följande:

Exempeldata	Vad data representerar	Förklaring
1677455097	Tidstämpel	Tidsstämpeln för när flödet inträffade i UNIX EPOCH-format. I föregående exempel konverteras datumet till 26 februari 2023 23:44:57 UTC/GMT.
10.0.0.4	Källans IP-adress	Käll-IP-adressen som flödet kom från. 10.0.0.4 är den privata IP-adressen för den virtuella dator som du skapade tidigare.
13.107.21.200	Mål-IP-adress	Mål-IP-adressen som flödet var avsett för. 13.107.21.200 är IP-adressen www.bing.comför . Eftersom trafiken är avsedd utanför Azure DefaultRule_AllowInternetOutBound säkerhetsregeln bearbetat flödet.
49982	Källport	Källporten som flödet kom från.
443	Målport	Målporten som flödet skickades till.
T	Protokoll	Protokollet för flödet. T: TCP.
O	Riktning	Flödets riktning. O: Utgående.
A	Beslut	Det beslut som fattas av säkerhetsregeln. S: Tillåts.
C	Endast flödestillstånd version 2	Flödets tillstånd. C: Fortsätter (Continuing) för en pågående flöde.
7	Endast paket som skickats version 2	Det totala antalet TCP-paket som skickats till målet sedan den senaste uppdateringen.
1158	Endast byte som skickats version 2	Det totala antalet TCP-paketbyte som skickats från källa till mål sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.
12	Endast paket som tagits emot version 2	Det totala antalet TCP-paket som tagits emot från målet sedan den senaste uppdateringen.
8143	Endast byte mottagna version 2	Det totala antalet TCP-paketbyte som tagits emot från målet sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.

Rensa resurser

Ta bort resursgruppen myResourceGroup och alla resurser som den innehåller när den inte längre behövs:

1. Skriv myResourceGroup i sökrutan högst upp i portalen. Välj myResourceGroup i sökresultaten.

2. Välj Ta bort resursgrupp.

3. I Ta bort en resursgrupp anger du myResourceGroup och väljer sedan Ta bort.

4. Välj Ta bort för att bekräfta borttagningen av resursgruppen och alla dess resurser.

Kommentar

Flödesloggen myVM-nsg-myResourceGroup-flowlog finns i resursgruppen NetworkWatcherRG, men den tas bort när du har tagit bort nätverkssäkerhetsgruppen myVM-nsg (genom att ta bort resursgruppen myResourceGroup).

Relaterat innehåll

• Mer information om NSG-flödesloggar finns i Flödesloggning för nätverkssäkerhetsgrupper.
• Information om hur du skapar, ändrar, aktiverar, inaktiverar eller tar bort NSG-flödesloggar finns i Hantera NSG-flödesloggar.
• Mer information om trafikanalys finns i Översikt över trafikanalys.