Introduktion till flödesloggning för nätverkssäkerhetsgrupper
Introduktion
Flödesloggar för nätverkssäkerhetsgrupp (NSG) är en funktion i Azure Network Watcher där du kan logga information om IP-trafik som flödar genom en NSG. Flow data skickas till Azure Storage-konton där du kan komma åt dem samt exportera dem till valbara visualiseringsverktyg, SIEM eller ID:n.
Varför ska jag använda Flow loggar?
Det är viktigt att övervaka, hantera och känna till ditt eget nätverk för okompatierad säkerhet, efterlevnad och prestanda. Att känna till din egen miljö är avgörande för att skydda och optimera den. Du behöver ofta känna till nätverkets aktuella tillstånd, vem som ansluter, var de ansluter från, vilka portar som är öppna för Internet, förväntat nätverksbeteende, oregelbundet nätverksbeteende och plötsliga trafikökningar.
Flow loggar är sanningskällan för all nätverksaktivitet i din molnmiljö. Oavsett om du är en kommande startup som försöker optimera resurser eller stora företag som försöker identifiera intrång, är Flow loggar ditt bästa alternativ. Du kan använda den för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera.
Vanliga användarsituationer
Nätverksövervakning: Identifiera okänd eller oönskad trafik. Övervaka trafiknivåer och bandbreddsförbrukning. Filtrera flödesloggar efter IP och port för att förstå programmets beteende. Exportera Flow-loggar till valfria analys- och visualiseringsverktyg för att konfigurera instrumentpaneler för övervakning.
Övervakning och optimering av användning: Identifiera de främsta talarna i nätverket. Kombinera med GeoIP-data för att identifiera trafik mellan regioner. Förstå trafiktillväxt för kapacitetsprognoser. Använd data för att ta bort alltför restriktiva trafikregler.
Efterlevnad: Använd flödesdata för att verifiera nätverksisolering och efterlevnad med åtkomstregler för företag
Nätverkssäkerhetsanalyser & säkerhetsanalys: Analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. Exportera flödesloggar till valbara SIEM- eller IDS-verktyg.
Så här fungerar loggning
Nyckelegenskaper
- Flow loggar fungerar på Layer 4 och registrerar alla IP-flöden som går in och ut från en NSG
- Loggar samlas in med ett intervall på 1 minut via Azure-plattformen och påverkar inte kundresurser eller nätverksprestanda på något sätt.
- Loggar skrivs i JSON-format och visar utgående och inkommande flöden per NSG-regel.
- Varje loggpost innehåller nätverksgränssnittet (NIC) som flödet gäller för, 5-tuppelinformation, dataflödesinformation för trafikbeslut & (endast version 2). Fullständig information finns i Loggformat nedan.
- Flow Logs har en kvarhållningsfunktion som gör att loggarna kan tas bort automatiskt upp till ett år efter att de har skapats.
Anteckning
Kvarhållning är bara tillgängligt om du använder GPv2 -Storage (Generell användning v2).
Huvudkoncept
- Programvarudefinierade nätverk organiseras runt virtuella nätverk (VNET) och undernät. Säkerheten för dessa virtuella nätverk och undernät kan hanteras med hjälp av en NSG.
- En nätverkssäkerhetsgrupp (NSG) innehåller en lista över säkerhetsregler som tillåter eller nekar nätverkstrafik i resurser som den är ansluten till. NSG:er kan associeras med varje undernät och nätverksgränssnitt för virtuella nätverk på en virtuell dator. Mer information finns i Översikt över nätverkssäkerhetsgrupp.
- Alla trafikflöden i nätverket utvärderas med hjälp av reglerna i tillämplig NSG.
- Resultatet av dessa utvärderingar är NSG Flow Logs. Flow loggar samlas in via Azure-plattformen och kräver inte några ändringar i kundresurserna.
- Obs! Regler är av två typer – avslutande av & icke-avslutande, var och en med olika loggningsbeteenden.
-
- NSG-neka-regler avslutas. Den NSG som nekar trafiken loggar in den Flow loggar och bearbetningen i det här fallet stoppas när en NSG nekar trafik.
-
- NSG Tillåt-regler är icke-avslutande, vilket innebär att även om en NSG tillåter det, fortsätter bearbetningen till nästa NSG. Den senaste NSG:n som tillåter trafik loggar trafiken till Flow loggar.
- NSG Flow loggar skrivs till lagringskonton där de kan nås.
- Du kan exportera, bearbeta, analysera och visualisera Flow loggar med verktyg som Trafikanalys, Splunk, Grafana, Stealthwatch osv.
Loggformat
Flow innehåller följande egenskaper:
- tid – Tid då händelsen loggades
- systemId – System-ID för nätverkssäkerhetsgrupp.
- category – Händelsens kategori. Kategorin är alltid NetworkSecurityGroupFlowEvent
- resourceid – NSG:ns resurs-ID
- operationName – Always NetworkSecurityGroupFlowEvents
- egenskaper – en samling egenskaper för flödet
- Version – Versionsnumret för händelseschemat Flow logg
- flows – En samling flöden. Den här egenskapen har flera poster för olika regler
- regel – Regel som flödena listas för
- flows – en samling flöden
- mac – MAC-adressen för nätverkskortet för den virtuella dator där flödet samlades in
- flowTuples – En sträng som innehåller flera egenskaper för flödestuppeln i kommaavgränsat format
- Tidsstämpel – det här värdet är tidsstämpeln för när flödet inträffade i UNIX epokformat
- Käll-IP – käll-IP
- Mål-IP – mål-IP
- Källport – källporten
- Målport – målporten
- Protokoll – protokollet för flödet. Giltiga värden är T för TCP och U för UDP
- Trafik Flow – Trafikflödets riktning. Giltiga värden är I för inkommande och O för utgående.
- Trafikbeslut – Huruvida trafik tilläts eller nekades. Giltiga värden är A för tillåten och D för nekad.
- Flow tillstånd – endast version 2 – Avbildar flödets tillstånd. Möjliga tillstånd är B: Börja, när ett flöde skapas. Statistik tillhandahålls inte. C: Fortsätter (Continuing) för en pågående flöde. Statistik tillhandahålls med 5 minuters mellanrum. E: Slutet (End), när ett flöde avslutas. Statistik tillhandahålls.
- Paket – Källa till mål – endast version 2 Det totala antalet TCP-paket som skickats från källa till mål sedan den senaste uppdateringen.
- Skickade byte – källa till mål – endast version 2 Det totala antalet TCP-paketbyte som skickats från källa till mål sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.
- Paket – mål till källa – endast version 2 Det totala antalet TCP-paket som skickats från mål till källa sedan den senaste uppdateringen.
- Skickade byte – mål till källa – endast version 2 Det totala antalet TCP-paketbyte som skickats från mål till källa sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.
- flows – en samling flöden
- regel – Regel som flödena listas för
NSG-flödesloggar, version 2 (jämfört med version 1)
Version 2 av loggarna introducerar begreppet flödestillstånd. Du kan konfigurera vilken version av flödesloggar som du får.
Flow B registreras när ett flöde initieras. Flow tillstånd C och flödestillstånd E är tillstånd som markerar fortsättningen av ett flöde respektive flödesavslut. Både C- och E-tillstånd innehåller information om trafikbandbredd.
Exempelloggposter
Följande text är ett exempel på en flödeslogg. Som du ser finns det flera poster som följer egenskapslistan som beskrivs i föregående avsnitt.
Anteckning
Värden i egenskapen flowTuples är en kommaavgränsad lista.
Exempel på NSG-flödesloggformat för version 1
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
"records":
[
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
}
Exempel på NSG-flödesloggformat för version 2
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
Förklaring av loggtuppeln
Exempel på bandbreddsberäkning
Flow tupplar från en TCP-konversation mellan 185.170.185.105:35370 och 10.2.0.4:23:
"1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,," "1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880" "1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072"
För fortsättnings-C- och E-slutflödes tillstånd är byte- och paketantal aggregerade från tiden för den tidigare flödestuppeln. När vi refererar till föregående exempelkonversation är det totala antalet överförda paket 1021+52+8005+47 = 9125. Det totala antalet överförda byte är 588096+29952+4610880+27072 = 5256000.
Aktivera NSG-flödesloggar
Använd relevant länk nedan för guider om hur du aktiverar flödesloggar.
Uppdatera parametrar
Azure Portal
På sidan Azure Portal du till avsnittet NSG Flow Logs i Network Watcher. Klicka sedan på namnet på NSG:n. Då visas inställningsfönstret för Flow loggen. Ändra de parametrar som du vill använda och tryck på Spara för att distribuera ändringarna.
PS/CLI/REST/ARM
Om du vill uppdatera parametrar via kommandoradsverktyg använder du samma kommando som används för att aktivera Flow loggar (från ovan) men med uppdaterade parametrar som du vill ändra.
Arbeta med Flow loggar
Läsa och exportera flödesloggar
- Ladda & ned Flow loggar från portalen
- Läsa Flow loggar med Hjälp av PowerShell-funktioner
- Exportera NSG Flow loggar till Splunk
Flödesloggar är mål för NSG:er, men de visas inte på samma sätt som de andra loggarna. Flow endast lagras i ett lagringskonto och följer loggningssökvägen som visas i följande exempel:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualisera flödesloggar
- Azure Traffic Analytics är en inbyggd Azure-tjänst för att bearbeta flödesloggar, extrahera insikter och visualisera flödesloggar.
- [Självstudie] Visualisera NSG Flow loggar med Power BI
- [Självstudie] Visualisera NSG Flow loggar med Elastic Stack
- [Självstudie] Hantera och analysera NSG Flow loggar med Grafana
- [Självstudie] Hantera och analysera NSG Flow loggar med Graylog
Inaktivera flödesloggar
När flödesloggen är inaktiverad stoppas flödesloggningen för associerad NSG. Men flödesloggen som en resurs finns kvar med alla dess inställningar och associationer. Den kan aktiveras när som helst för att påbörja flödesloggning på den konfigurerade NSG:n. Anvisningar för att inaktivera/aktivera flödesloggar finns i den här guiden.
Ta bort flödesloggar
När flödesloggen tas bort stoppas inte bara flödesloggningen för den associerade NSG:n, utan även flödesloggresursen tas bort med dess inställningar och associationer. Om du vill börja flödesloggningen igen måste en ny flödesloggresurs skapas för den NSG:n. En flödeslogg kan tas bort med PowerShell, CLI eller REST API. Stödet för att ta bort flödesloggar från Azure Portal är i pipeline.
När en NSG tas bort tas dessutom den associerade flödesloggresursen bort som standard.
Anteckning
Om du vill flytta en NSG till en annan resursgrupp eller prenumeration måste de associerade flödesloggarna tas bort, men det går inte att inaktivera flödesloggarna. Efter migreringen av NSG måste flödesloggarna återskapas för att aktivera flödesloggning på den.
Överväganden för NSG-flödesloggning
Storage att tänka på:
- Plats: Det lagringskonto som används måste finnas i samma region som NSG.
- Prestandanivå: För närvarande stöds endast lagringskonton på standardnivå.
- Rotering av självhantering av nycklar: Om du ändrar/roterar åtkomstnycklarna till ditt lagringskonto slutar NSG Flow loggar att fungera. För att åtgärda det här problemet måste du inaktivera och sedan återaktivera NSG-Flow Loggar.
Flow Loggningskostnader: NSG-flödesloggning debiteras på den volym loggar som skapas. Hög trafikvolym kan resultera i stora flödesloggvolymer och tillhörande kostnader. Priserna för NSG Flow loggar inkluderar inte de underliggande kostnaderna för lagring. Om du använder funktionen för bevarandeprincip med NSG Flow Logging innebär det att det uppstår separata lagringskostnader under längre tidsperioder. Om du vill behålla data för alltid och inte vill tillämpa någon kvarhållningsprincip anger du kvarhållning (dagar) till 0. Mer information finns i Network Watcher och Azure Storage priser.
Problem med användardefinierade inkommande TCP-regler: Nätverkssäkerhetsgrupper (NSG:er) implementeras som en tillståndsful brandvägg. På grund av aktuella plattformsbegränsningar implementeras dock användardefinierade regler som påverkar inkommande TCP-flöden på ett tillståndslöst sätt. På grund av detta blir flöden som påverkas av användardefinierade regler för inkommande trafik icke-avslutande. Dessutom registreras inte byte- och paketantal för dessa flöden. Det innebär att antalet byte och paket som rapporteras i NSG Flow loggar (och Trafikanalys) kan vara annorlunda än de faktiska talen. Detta kan lösas genom att ange egenskapen FlowTimeoutInMinutes i de associerade virtuella nätverken till ett värde som inte är null.
Inkommande flöden som loggas från Internet-IP-adresser till virtuella datorer utan offentliga IP-adresser: Virtuella datorer som inte har en offentlig IP-adress tilldelad via en offentlig IP-adress som är associerad med nätverkskortet som en offentlig IP-adress på instansnivå eller som ingår i en grundläggande lastbalanseringsdelspool, använder standard-SNAT och har en IP-adress tilldelad av Azure för att underlätta utgående anslutningar. Därför kan du se flödesloggposter för flöden från Internet-IP-adresser, om flödet är avsett för en port i intervallet med portar som tilldelats för SNAT. Azure tillåter inte dessa flöden till den virtuella datorn, men försöket loggas och visas i Network Watcher NSG-flödesloggen. Vi rekommenderar att oönskad inkommande Internettrafik uttryckligen blockeras med NSG.
NSG på ExpressRoute-gatewayundernät – Det rekommenderas inte att logga flöden i ExpressRoute-gatewayundernätet eftersom trafiken kan kringgå ExpressRoute-gatewayen (exempel: FastPath). Om en NSG är länkad till ett ExpressRoute Gateway-undernät och NSG-flödesloggar är aktiverade kan det därför hända att utgående flöden till virtuella datorer inte avbildas. Sådana flöden måste avbildas i undernätet eller nätverkskortet för den virtuella datorn.
Trafik över privat länk – Om du vill logga trafik vid åtkomst till PaaS-resurser via privat länk aktiverar du NSG-flödesloggar på ett undernäts NSG som innehåller den privata länken. På grund av plattformsbegränsningar kan trafiken på alla virtuella källdatorer endast avbildas, medan den på PaaS-målresursen inte kan avbildas.
Problem med Application Gateway NSG för V2-undernät: Flow loggning på Application Gateway V2-undernätets NSG stöds inte för närvarande. Det här problemet påverkar inte Application Gateway V1.
Incompatible Services(Inkompatibla tjänster): På grund av aktuella plattformsbegränsningar stöds inte en liten uppsättning Azure-tjänster av NSG Flow loggar. Den aktuella listan över inkompatibla tjänster är
Bästa praxis
Aktivera på kritiska virtuella nätverk/undernät: Flow-loggar ska aktiveras på alla kritiska virtuella nätverk/undernät i din prenumeration som en metod för granskning och säkerhet.
Aktivera NSG Flow loggning på alla NSG:er som är kopplade till en resurs: Flow loggning i Azure har konfigurerats på NSG-resursen. Ett flöde associeras bara med en NSG-regel. I scenarier där kunden använder flera NSG:er rekommenderar vi att du aktiverar NSG-flödesloggar för alla NSG:er som används i resursens undernät eller nätverksgränssnitt för att säkerställa att all trafik registreras. Mer information finns i hur trafik utvärderas i nätverkssäkerhetsgrupper.
Några vanliga scenarier:
- Flera nätverkskort på en virtuell dator: Om flera nätverkskort är anslutna till en virtuell dator måste flödesloggning vara aktiverat på alla
- Ha NSG på både NIC- och undernätsnivå: Om NSG har konfigurerats på nätverkskortet och undernätsnivå måste flödesloggning vara aktiverat på båda NSG:erna.
- AKS-klusterundernät: AKS lägger till en standard-NSG i klustrets undernät. Enligt förklaringen ovan måste flödesloggning vara aktiverat på den här standard-NSG:n.
Storage etablering: Storage ska etableras i enlighet med den förväntade Flow loggvolymen.
Namngivning: NSG-namnet måste vara upp till 80 tecken och NSG-regelnamnen upp till 65 tecken. Om namnen överskrider teckengränsen kan det trunkeras under loggning.
Felsöka vanliga problem
Jag kunde inte aktivera NSG-flödesloggar
- Microsoft. Insights resursprovidern är inte registrerad
Om du fick felet AuthorizationFailed eller GatewayAuthenticationFailed har du kanske inte aktiverat resursprovidern Microsoft Insights i din prenumeration. Följ instruktionerna för att aktivera Microsoft Insights providern.
Jag har aktiverat NSG-flödesloggar men ser inte data i mitt lagringskonto
- Installationstid
Det kan ta upp till 5 minuter innan du ser NSG-flödesloggar på ditt lagringskonto (om det är konfigurerat på rätt sätt). Du ser filen PT1H.json, och här beskrivs hur du öppnar den.
- Ingen trafik på din NSG:er
Ibland visas inte loggar om dina virtuella datorer inte är aktiva eller om det finns överordnade filter på en App Gateway eller andra enheter som blockerar trafiken till dina NSG:er.
Jag vill automatisera NSG-flödesloggar
Stöd för automatisering via ARM-mallar är nu tillgängligt för NSG-Flow loggar. Mer information finns i & i Snabbstart ARM-malldokument.
Vanliga frågor
Vad gör NSG Flow loggar?
Azure-nätverksresurser kan kombineras och hanteras via nätverkssäkerhetsgrupper (NSG:er). Med NSG Flow loggar kan du logga 5-tuppelflödesinformation om all trafik via dina NSG:er. Råflödesloggarna skrivs till ett Azure Storage-konto där de kan bearbetas ytterligare, analyseras, efterfrågas eller exporteras efter behov.
Påverkar Flow nätverksloggar svarstiden eller prestandan?
Flow data samlas in utanför sökvägen för nätverkstrafiken och påverkar därför inte nätverkets dataflöde eller svarstid. Du kan skapa eller ta bort flödesloggar utan att påverka nätverkets prestanda.
Hur gör jag för att använda NSG Flow loggar med ett Storage konto bakom en brandvägg?
Om du vill Storage ett konto bakom en brandvägg måste du ange ett undantag för betrodda Microsoft-tjänster för att få åtkomst till ditt lagringskonto:
- Gå till lagringskontot genom att skriva lagringskontots namn i global sökning på portalen eller från sidan Storage konton
- Under avsnittet INSTÄLLNINGAR väljer du Brandväggar och virtuella nätverk
- I Tillåt åtkomst från väljer du Valda nätverk. Under Undantag markerar du sedan rutan bredvid Tillåt betrodda Microsoft-tjänster åtkomst till det här lagringskontot
- Om det redan är valt behövs ingen ändring.
- Leta upp din mål-NSG på översiktssidan för NSG Flow loggar och aktivera NSG-Flow loggar med ovanstående lagringskonto valt.
Du kan kontrollera lagringsloggarna efter några minuter och bör se en uppdaterad tidsstämpel eller en ny JSON-fil som skapats.
Hur gör jag för att använda NSG Flow loggar med ett Storage konto bakom en tjänstslutpunkt?
NSG Flow loggar är kompatibla med tjänstslutpunkter utan att det krävs någon extra konfiguration. Se självstudien om hur du aktiverar tjänstslutpunkter i ditt virtuella nätverk.
Vad är skillnaden mellan flödesloggversion 1 & 2?
Flow Logs version 2 introducerar begreppet Flow State & lagrar information om byte och paket som överförs. Läs mer
Prissättning
NSG Flow loggar debiteras per GB loggar som samlas in och har en kostnadsfri nivå på 5 GB/månad per prenumeration. Information om aktuella priser i din region finns på Network Watcher sidan med priser.
Storage av loggar debiteras separat kan du Azure Storage sidan med priser för blockblobar för relevanta priser.