Hantera NSG-flödesloggar med hjälp av Azure-portalen
Flödesloggning för nätverkssäkerhetsgrupp är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Mer information om flödesloggning för nätverkssäkerhetsgrupper finns i Översikt över NSG-flödesloggar.
I den här artikeln får du lära dig hur du skapar, ändrar, inaktiverar eller tar bort en NSG-flödeslogg med hjälp av Azure-portalen. Du kan lära dig hur du hanterar en NSG-flödeslogg med hjälp av PowerShell, Azure CLI, REST API eller ARM-mall.
Förutsättningar
Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
Insights-provider. Mer information finns i Register Insights-providern.
En nätverkssäkerhetsgrupp. Om du behöver skapa en nätverkssäkerhetsgrupp kan du läsa Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp.
Ett Azure-lagringskonto. Om du behöver skapa ett lagringskonto kan du läsa Skapa ett lagringskonto med PowerShell.
Registrera Insights-providern
Microsoft.Insights-providern måste vara registrerad för att kunna logga trafik som flödar via en nätverkssäkerhetsgrupp. Om du inte är säker på om Microsoft.Insights-providern är registrerad kontrollerar du dess status:
I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultatet.
Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.
Under Inställningar väljer du Resursprovidrar.
Ange insikt i filterrutan.
Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.
Skapa en flödeslogg
Skapa en flödeslogg för nätverkssäkerhetsgruppen. Den här NSG-flödesloggen sparas i ett Azure-lagringskonto.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.
Ange eller välj följande värden i Skapa en flödeslogg:
Inställning Värde Projektinformation Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga. Nätverkssäkerhetsgrupp Välj + Välj resurs.
I Välj nätverkssäkerhetsgrupp väljer du myNSG. Välj sedan Bekräfta markering.Flödesloggnamn Ange ett namn för flödesloggen eller lämna standardnamnet. myNSG-myResourceGroup-flowlog är standardnamnet för det här exemplet. Instansinformation Prenumeration Välj Azure-prenumerationen för ditt lagringskonto. Lagringskonton Välj det lagringskonto som du vill spara flödesloggarna på. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto. Kvarhållning (dagar) Ange en kvarhållningstid för loggarna. Ange 0 om du vill behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Information om priser finns i Priser för Azure Storage. Kommentar
Om lagringskontot finns i en annan prenumeration måste nätverkssäkerhetsgruppen och lagringskontot associeras med samma Azure Active Directory-klientorganisation. Det konto som du använder för varje prenumeration måste ha nödvändiga behörigheter.
Välj Granska + skapa.
Granska inställningarna och välj sedan Skapa.
Skapa en arbetsyta för flödesloggar och trafikanalyser
Skapa en flödeslogg för nätverkssäkerhetsgruppen och aktivera trafikanalys. NSG-flödesloggen sparas i ett Azure-lagringskonto.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.
Ange eller välj följande värden i Skapa en flödeslogg:
Inställning Värde Projektinformation Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga. Nätverkssäkerhetsgrupp Välj + Välj resurs.
I Välj nätverkssäkerhetsgrupp väljer du myNSG. Välj sedan Bekräfta markering.Flödesloggnamn Ange ett namn för flödesloggen eller lämna standardnamnet. Som standard skapar Azure-portalen {network-security-group}-{resource-group}-flowlog flow log i NetworkWatcherRG-resursgruppen . Instansinformation Prenumeration Välj Azure-prenumerationen för ditt lagringskonto. Lagringskonton Välj det lagringskonto som du vill spara flödesloggarna på. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto. Kvarhållning (dagar) Ange en kvarhållningstid för loggarna. Ange 0 om du vill behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Information om priser finns i Priser för Azure Storage. Kommentar
Om lagringskontot finns i en annan prenumeration måste nätverkssäkerhetsgruppen och lagringskontot associeras med samma Azure Active Directory-klientorganisation. Det konto som du använder för varje prenumeration måste ha nödvändiga behörigheter.
Välj Knappen Nästa: Analys eller välj fliken Analys . Ange eller välj sedan följande värden:
Inställning Värde Version av flödesloggar Välj flödesloggversionen. Version 2 väljs som standard när du skapar en flödeslogg med hjälp av Azure-portalen. Mer information om flödesloggversioner finns i Loggformat för NSG-flödesloggar. Trafikanalys Aktivera trafikanalys Markera kryssrutan för att aktivera trafikanalys för flödesloggen. Bearbetningsintervall för Trafikanalys Välj det bearbetningsintervall som du föredrar, tillgängliga alternativ är: Var 1 timme och var 10:e minut. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys. Prenumeration Välj Azure-prenumerationen för din Log Analytics-arbetsyta. Log Analytics-arbetsyta Välj din Log Analytics-arbetsyta. Som standard skapar och väljer Azure-portalen DefaultWorkspace-{subscription-id}-{region} Log Analytics-arbetsyta i resursgruppen defaultresourcegroup-{Region} . Välj Granska + skapa.
Granska inställningarna och välj sedan Skapa.
Ändra en flödeslogg
Du kan ändra egenskaperna för en flödeslogg när du har skapat den. Du kan till exempel ändra flödesloggversionen eller inaktivera trafikanalys.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill ändra.
I inställningarna för Flow-loggar kan du ändra någon av följande inställningar:
- Flödesloggversion: Ändra flödesloggversionen. Tillgängliga versioner är: version 1 och version 2. Version 2 väljs som standard när du skapar en flödeslogg med hjälp av Azure-portalen. Mer information om flödesloggversioner finns i Loggformat för NSG-flödesloggar.
- Lagringskonto: Ändra det lagringskonto som du vill spara flödesloggarna till. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto.
- Kvarhållning (dagar): Ändra kvarhållningstiden för lagringskontot. Ange 0 om du vill behålla flödesloggdata på lagringskontot för alltid (tills du manuellt tar bort data från lagringskontot).
- Trafikanalys: Aktivera eller inaktivera trafikanalys för flödesloggen. Mer information finns i Trafikanalys.
- Bearbetningsintervall för trafikanalys: Ändra bearbetningsintervallet för trafikanalys (om trafikanalys är aktiverat). Tillgängliga alternativ är: en timme och 10 minuter. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys.
- Log Analytics-arbetsyta: Ändra den Log Analytics-arbetsyta som du vill spara flödesloggarna till (om trafikanalys är aktiverat).
Visa en lista över alla flödesloggar
Du kan visa alla flödesloggar i en prenumeration eller en grupp med prenumerationer. Du kan också lista alla flödesloggar i en region.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
Välj Prenumeration är lika med filter för att välja en eller flera av dina prenumerationer. Du kan använda andra filter som Plats är lika med för att visa alla flödesloggar i en region.
Visa information om en flödesloggresurs
Du kan visa information om en flödeslogg i en prenumeration eller en grupp med prenumerationer. Du kan också lista alla flödesloggar i en region.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill se.
I inställningarna för Flödesloggar kan du visa inställningarna för flödesloggresursen.
Ladda ned en flödeslogg
Lagringsplatsen för en flödeslogg definieras när den skapas. Om du vill komma åt och ladda ned flödesloggar från ditt lagringskonto kan du använda Azure Storage Explorer. Mer information finns i Komma igång med Storage Explorer.
NSG-flödesloggfiler som sparats på ett lagringskonto följer den här sökvägen:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Information om strukturen för en flödeslogg finns i Loggformat för NSG-flödesloggar.
Inaktivera en flödeslogg
Du kan tillfälligt inaktivera en NSG-flödeslogg utan att ta bort den. Om du inaktiverar en flödeslogg stoppas flödesloggningen för den associerade nätverkssäkerhetsgruppen. Flödesloggresursen finns dock kvar med alla inställningar och associationer. Du kan återaktivera den när som helst för att återuppta flödesloggningen för den konfigurerade nätverkssäkerhetsgruppen.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill inaktivera.
Välj Inaktivera.
Kommentar
Om trafikanalys är aktiverat för en flödeslogg måste den inaktiveras innan du kan inaktivera flödesloggen. Information om hur du inaktiverar trafikanalys finns i Ändra en flödeslogg.
Ta bort en flödeslogg
Du kan ta bort en NSG-flödeslogg permanent. Om du tar bort en flödeslogg tas alla inställningar och associationer bort. Om du vill börja flödesloggningen igen för samma nätverkssäkerhetsgrupp måste du skapa en ny flödeslogg för den.
I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.
Under Loggar väljer du Flödesloggar.
I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill ta bort.
Välj Ta bort.
Kommentar
Om du tar bort en flödeslogg tas inte flödesloggdata bort från lagringskontot. Flow loggar data som lagras i lagringskontot följer den konfigurerade kvarhållningsprincipen eller förblir lagrade i lagringskontot tills de tas bort manuellt (om ingen kvarhållningsprincip har konfigurerats).
Nästa steg
- Information om hur du använder inbyggda Azure-principer för att granska eller distribuera NSG-flödesloggar finns i Hantera NSG-flödesloggar med Azure Policy.
- Mer information om trafikanalys finns i Trafikanalys.