Hantera NSG-flödesloggar med hjälp av Azure-portalen

  • Artikel

Flödesloggning för nätverkssäkerhetsgrupp är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Mer information om flödesloggning för nätverkssäkerhetsgrupper finns i Översikt över NSG-flödesloggar.

I den här artikeln får du lära dig hur du skapar, ändrar, inaktiverar eller tar bort en NSG-flödeslogg med hjälp av Azure-portalen. Du kan lära dig hur du hanterar en NSG-flödeslogg med hjälp av PowerShell, Azure CLI, REST API eller ARM-mall.

Förutsättningar

Registrera Insights-providern

Microsoft.Insights-providern måste vara registrerad för att kunna logga trafik som flödar via en nätverkssäkerhetsgrupp. Om du inte är säker på om Microsoft.Insights-providern är registrerad kontrollerar du dess status:

  1. I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultatet.

  2. Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.

  3. Under Inställningar väljer du Resursprovidrar.

  4. Ange insikt i filterrutan.

  5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.

    Skärmbild av registrering av Microsoft Insights-providern i Azure-portalen.

Skapa en flödeslogg

Skapa en flödeslogg för nätverkssäkerhetsgruppen. Den här NSG-flödesloggen sparas i ett Azure-lagringskonto.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

    Skärmbild av sidan Flödesloggar i Azure-portalen.

  4. Ange eller välj följande värden i Skapa en flödeslogg:

    Inställning Värde
    Projektinformation
    Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga.
    Nätverkssäkerhetsgrupp Välj + Välj resurs.
    I Välj nätverkssäkerhetsgrupp väljer du myNSG. Välj sedan Bekräfta markering.
    Flödesloggnamn Ange ett namn för flödesloggen eller lämna standardnamnet. myNSG-myResourceGroup-flowlog är standardnamnet för det här exemplet.
    Instansinformation
    Prenumeration Välj Azure-prenumerationen för ditt lagringskonto.
    Lagringskonton Välj det lagringskonto som du vill spara flödesloggarna på. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto.
    Kvarhållning (dagar) Ange en kvarhållningstid för loggarna. Ange 0 om du vill behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Information om priser finns i Priser för Azure Storage.

    Skärmbild av hur du skapar en NSG-flödeslogg i Azure-portalen.

    Kommentar

    Om lagringskontot finns i en annan prenumeration måste nätverkssäkerhetsgruppen och lagringskontot associeras med samma Azure Active Directory-klientorganisation. Det konto som du använder för varje prenumeration måste ha nödvändiga behörigheter.

  5. Välj Granska + skapa.

  6. Granska inställningarna och välj sedan Skapa.

Skapa en arbetsyta för flödesloggar och trafikanalyser

Skapa en flödeslogg för nätverkssäkerhetsgruppen och aktivera trafikanalys. NSG-flödesloggen sparas i ett Azure-lagringskonto.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

    Skärmbild av sidan Flödesloggar i Azure-portalen.

  4. Ange eller välj följande värden i Skapa en flödeslogg:

    Inställning Värde
    Projektinformation
    Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga.
    Nätverkssäkerhetsgrupp Välj + Välj resurs.
    I Välj nätverkssäkerhetsgrupp väljer du myNSG. Välj sedan Bekräfta markering.
    Flödesloggnamn Ange ett namn för flödesloggen eller lämna standardnamnet. Som standard skapar Azure-portalen {network-security-group}-{resource-group}-flowlog flow log i NetworkWatcherRG-resursgruppen .
    Instansinformation
    Prenumeration Välj Azure-prenumerationen för ditt lagringskonto.
    Lagringskonton Välj det lagringskonto som du vill spara flödesloggarna på. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto.
    Kvarhållning (dagar) Ange en kvarhållningstid för loggarna. Ange 0 om du vill behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Information om priser finns i Priser för Azure Storage.

    Skärmbild av fliken Grundläggande i Skapa en flödeslogg i Azure-portalen.

    Kommentar

    Om lagringskontot finns i en annan prenumeration måste nätverkssäkerhetsgruppen och lagringskontot associeras med samma Azure Active Directory-klientorganisation. Det konto som du använder för varje prenumeration måste ha nödvändiga behörigheter.

  5. Välj Knappen Nästa: Analys eller välj fliken Analys . Ange eller välj sedan följande värden:

    Inställning Värde
    Version av flödesloggar Välj flödesloggversionen. Version 2 väljs som standard när du skapar en flödeslogg med hjälp av Azure-portalen. Mer information om flödesloggversioner finns i Loggformat för NSG-flödesloggar.
    Trafikanalys
    Aktivera trafikanalys Markera kryssrutan för att aktivera trafikanalys för flödesloggen.
    Bearbetningsintervall för Trafikanalys Välj det bearbetningsintervall som du föredrar, tillgängliga alternativ är: Var 1 timme och var 10:e minut. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys.
    Prenumeration Välj Azure-prenumerationen för din Log Analytics-arbetsyta.
    Log Analytics-arbetsyta Välj din Log Analytics-arbetsyta. Som standard skapar och väljer Azure-portalen DefaultWorkspace-{subscription-id}-{region} Log Analytics-arbetsyta i resursgruppen defaultresourcegroup-{Region} .

    Skärmbild av aktivering av trafikanalys för en flödeslogg i Azure-portalen.

  6. Välj Granska + skapa.

  7. Granska inställningarna och välj sedan Skapa.

Ändra en flödeslogg

Du kan ändra egenskaperna för en flödeslogg när du har skapat den. Du kan till exempel ändra flödesloggversionen eller inaktivera trafikanalys.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill ändra.

  4. I inställningarna för Flow-loggar kan du ändra någon av följande inställningar:

    • Flödesloggversion: Ändra flödesloggversionen. Tillgängliga versioner är: version 1 och version 2. Version 2 väljs som standard när du skapar en flödeslogg med hjälp av Azure-portalen. Mer information om flödesloggversioner finns i Loggformat för NSG-flödesloggar.
    • Lagringskonto: Ändra det lagringskonto som du vill spara flödesloggarna till. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto.
    • Kvarhållning (dagar): Ändra kvarhållningstiden för lagringskontot. Ange 0 om du vill behålla flödesloggdata på lagringskontot för alltid (tills du manuellt tar bort data från lagringskontot).
    • Trafikanalys: Aktivera eller inaktivera trafikanalys för flödesloggen. Mer information finns i Trafikanalys.
    • Bearbetningsintervall för trafikanalys: Ändra bearbetningsintervallet för trafikanalys (om trafikanalys är aktiverat). Tillgängliga alternativ är: en timme och 10 minuter. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys.
    • Log Analytics-arbetsyta: Ändra den Log Analytics-arbetsyta som du vill spara flödesloggarna till (om trafikanalys är aktiverat).

    Skärmbild av sidan Inställningar för Flödesloggar i Azure-portalen där du kan ändra vissa inställningar.

Visa en lista över alla flödesloggar

Du kan visa alla flödesloggar i en prenumeration eller en grupp med prenumerationer. Du kan också lista alla flödesloggar i en region.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. Välj Prenumeration är lika med filter för att välja en eller flera av dina prenumerationer. Du kan använda andra filter som Plats är lika med för att visa alla flödesloggar i en region.

    Skärmbild som visar hur du använder filter för att lista alla befintliga flödesloggar i en prenumeration med hjälp av Azure-portalen.

Visa information om en flödesloggresurs

Du kan visa information om en flödeslogg i en prenumeration eller en grupp med prenumerationer. Du kan också lista alla flödesloggar i en region.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill se.

  4. I inställningarna för Flödesloggar kan du visa inställningarna för flödesloggresursen.

    Skärmbild av sidan Inställningar för Flödesloggar i Azure-portalen.

Ladda ned en flödeslogg

Lagringsplatsen för en flödeslogg definieras när den skapas. Om du vill komma åt och ladda ned flödesloggar från ditt lagringskonto kan du använda Azure Storage Explorer. Mer information finns i Komma igång med Storage Explorer.

NSG-flödesloggfiler som sparats på ett lagringskonto följer den här sökvägen:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Information om strukturen för en flödeslogg finns i Loggformat för NSG-flödesloggar.

Inaktivera en flödeslogg

Du kan tillfälligt inaktivera en NSG-flödeslogg utan att ta bort den. Om du inaktiverar en flödeslogg stoppas flödesloggningen för den associerade nätverkssäkerhetsgruppen. Flödesloggresursen finns dock kvar med alla inställningar och associationer. Du kan återaktivera den när som helst för att återuppta flödesloggningen för den konfigurerade nätverkssäkerhetsgruppen.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill inaktivera.

  4. Välj Inaktivera.

    Skärmbild som visar hur du inaktiverar en flödeslogg i Azure-portalen.

Kommentar

Om trafikanalys är aktiverat för en flödeslogg måste den inaktiveras innan du kan inaktivera flödesloggen. Information om hur du inaktiverar trafikanalys finns i Ändra en flödeslogg.

Ta bort en flödeslogg

Du kan ta bort en NSG-flödeslogg permanent. Om du tar bort en flödeslogg tas alla inställningar och associationer bort. Om du vill börja flödesloggningen igen för samma nätverkssäkerhetsgrupp måste du skapa en ny flödeslogg för den.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill ta bort.

  4. Välj Ta bort.

    Skärmbild som visar hur du tar bort en flödeslogg i Azure-portalen.

Kommentar

Om du tar bort en flödeslogg tas inte flödesloggdata bort från lagringskontot. Flow loggar data som lagras i lagringskontot följer den konfigurerade kvarhållningsprincipen eller förblir lagrade i lagringskontot tills de tas bort manuellt (om ingen kvarhållningsprincip har konfigurerats).

Nästa steg