Självstudier: Logga nätverkstrafik till och från en virtuell dator med hjälp av Azure Portal

  • Artikel
  • 5 minuter för att läsa

Med en nätverkssäkerhetsgrupp (NSG) kan du filtrera inkommande trafik till och utgående trafik från en virtuell dator (VM). Du kan logga nätverkstrafiken som skickas via en NSG med funktionen NSG-flödesloggar i Network Watcher.

I den här guiden får du lära dig att:

  • Skapa en virtuell dator med en nätverkssäkerhetsgrupp
  • Aktivera Network Watcher och registrera providern Microsoft.Insights
  • Aktivera en trafikflödeslogg för en nätverkssäkerhetsgrupp med hjälp av funktionen NSG-flödesloggar i Network Watcher
  • Ladda ned loggdata
  • Visa loggdata

Förutsättningar

Skapa en virtuell dator

  1. Logga in på Azure-portalen.

  2. I sökrutan högst upp i portalen anger du Virtuell dator. Välj Virtuella datorer.

  3. I Virtuella datorer väljer du + Skapa och sedan + Virtuell dator.

  4. Ange eller välj följande information i Skapa en virtuell dator.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj Skapa ny.
    Ange myResourceGroup i Namn.
    Välj OK.
    Instansinformation
    Namn på virtuell dator Ange myVM.
    Region Välj (USA) USA, östra.
    Alternativ för tillgänglighet Välj Ingen infrastrukturredundans krävs.
    Säkerhetstyp Låt standardvärdet Standard vara kvar.
    Bild Välj Windows Server 2022 Datacenter: Azure Edition – Gen2.
    Azure Spot-instans Låt standardvärdet vara kvar.
    Storlek Välj en storlek.
    Administratörskonto
    Autentiseringstyp Välj Offentlig SSH-nyckel.
    Användarnamn Ange ett användarnamn.
    Lösenord Ange ett lösenord.
    Bekräfta lösenordet Bekräfta lösenordet.
    Regler för inkommande portar
    Offentliga inkommande portar Låt standardvärdet Tillåt valda portar vara kvar.
    Välj inkommande portar Lämna standardvärdet RDP (3389).

  5. Välj Granska + skapa.

  6. Välj Skapa.

Det tar några minuter att skapa den virtuella datorn. Fortsätt inte med stegen förrän den virtuella datorn har skapats. När portalen skapar den virtuella datorn skapar den även en nätverkssäkerhetsgrupp med namnet myVM-nsg och kopplar den till nätverksgränssnittet för den virtuella datorn.

Aktivera Network Watcher

Om du redan har aktiverat en nätverksbevakare i USA, östra går du vidare till Registrera Insights-providern.

  1. I sökrutan högst upp i portalen anger du Network Watcher. Välj Network Watcher i sökresultatet.

  2. På sidan Översikt i Network Watcher väljer du + Lägg till.

    Skärmbild av att aktivera Network Watcher i portalen.

  3. Välj din prenumeration i Lägg till network watcher. Välj (USA) USA, östra i Region.

  4. Välj Lägg till.

Registrera Insights-providern

Providern Microsoft.Insights krävs för NSG-flödesloggning. Registrera providern genom att utföra följande steg:

  1. I sökrutan högst upp i portalen anger du Prenumerationer. Välj Prenumerationer i sökresultatet.

  2. Välj den prenumeration som du vill aktivera providern för i Prenumerationer.

  3. Välj Resursproviders Inställningar prenumerationen.

  4. Ange Microsoft.Insights i filterrutan.

  5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är Oregistrerad väljer du providern och sedan Registrera.

Aktivera NSG-flödesloggar

Loggdata från NSG-flödet skrivs till ett Azure Storage-konto. Utför följande steg för att skapa ett lagringskonto för loggdata.

  1. I sökrutan högst upp i portalen anger du Storage konto. Välj Storage-konton i sökresultatet.

  2. I Storage väljer du + Skapa.

  3. Ange eller välj följande information i Skapa ett lagringskonto.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Lagringskontonamn Ange ett namn för lagringskontot.
    Måste vara mellan 3 och 24 tecken långt, får bara innehålla gemener och siffror och måste vara unikt för alla Azure Storage.
    Region Välj (USA)USA, östra.
    Prestanda Låt standardvärdet Standard vara kvar.
    Redundans Lämna kvar standardvärdet geo-redundant lagring (GRS).

  4. Välj Granska + skapa.

  5. Välj Skapa.

Det tar ungefär en minut att skapa lagringskontot. Fortsätt inte med de återstående stegen förrän lagringskontot har skapats. I samtliga fall måste lagringskontot finnas i samma region som NSG:n.

  1. I sökrutan högst upp i portalen anger du Network Watcher. Välj Network Watcher i sökresultatet.

  2. Välj NSG-flödesloggar i Loggar.

  3. I Network Watcher | NSG-flödesloggar väljer du + Skapa.

    Skärmbild av flödesloggen skapa nätverkssäkerhetsgrupp.

  4. Ange eller välj följande information i Skapa en flödeslogg.

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Nätverkssäkerhetsgrupp Välj myVM-nsg.
    Flow loggnamn Låt standardvärdet myVM-nsg-myResourceGroup-flowlog vara kvar.
    Instansinformation
    Välj lagringskonto
    Prenumeration Välj din prenumeration.
    Lagringskonton Välj det lagringskonto som du skapade i föregående steg.
    Bevarande (dagar) Ange en kvarhållningstid för loggarna.

  5. Välj Granska + skapa.

  6. Välj Skapa.

Ladda ned flödeslogg

  1. I sökrutan högst upp i portalen anger du Storage konto. Välj Storage-konton i sökresultaten.

  2. Välj det lagringskonto som du skapade i föregående steg.

  3. I Datalagring väljer du Containrar.

  4. Välj containern insights-logs-networksecuritygroupflowevent.

  5. Navigera i mapphierarkin i containern tills du kommer till en PT1H.json-fil. Loggfiler skrivs till en mapphierarki som följer följande namngivningskonvention:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Välj ... till höger om filen PT1H.json och välj sedan Ladda ned.

    Skärmbild av nedladdning av flödesloggen för nätverkssäkerhetsgruppen.

Visa flödeslogg

I följande json-exempel visas data som du ser i PT1H.json-filen för varje flöde som loggas:

Flödesloggshändelse version 1

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Flödesloggshändelse version 2

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Värdet för mac i föregående utdata är nätverksgränssnittets MAC-adress som skapades när den virtuella datorn skapades. Den kommateckenavgränsade informationen för flowTuples är som följer:

Exempeldata Vad data representerar Förklaring
1542110377 Tidsstämpel Tidsstämpeln för när flödet uppstod, i UNIX EPOK-format. I föregående exempel konverterades datumet till 1 maj 2018 kl. 14:59:05 GMT.
10.0.0.4 Källans IP-adress Käll-IP-adressen som flödet kom från. 10.0.0.4 är den privata IP-adressen för den virtuella dator som du skapade i Skapa en virtuell dator.
13.67.143.118 Mål-IP-adress Mål-IP-adressen som flödet skickades till.
44931 Källport Källporten som flödet kom från.
443 Målport Målporten som flödet skickades till. Eftersom trafiken skulle till port 443 bearbetades flödet av regeln med namnet UserRule_default-allow-rdp i loggfilen.
T Protokoll Anger om protokollet för flödet var TCP (T) eller UDP (U).
O Riktning Anger om trafiken var inkommande (I) eller utgående (O).
A Åtgärd Anger om trafiken tilläts (A) eller nekades (D).
C Flödestillstånd endast version 2 Registrerad flödets tillstånd. Möjliga tillstånd är B: Börja, när ett flöde skapas. Statistik tillhandahålls inte. C: Fortsätter (Continuing) för en pågående flöde. Statistik tillhandahålls med 5 minuters mellanrum. E: Avsluta när ett flöde avslutas. Statistik tillhandahålls.
30 Skickade paket – källa till mål endast version 2 Det totala antalet TCP- eller UDP-paket som skickats från källa till mål sedan den senaste uppdateringen.
16978 Skickade byte – källa till mål endast version 2 Det totala antalet TCP- eller UDP-paketbyte som skickats från källa till mål sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.
24 Skickade paket – mål till källa endast version 2 Det totala antalet TCP- eller UDP-paket som skickats från mål till källa sedan den senaste uppdateringen.
14008 Skickade byte – mål till källa endast version 2 Det totala antalet TCP- och UDP-paketbyte som skickats från mål till källa sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Aktivera NSG-flödesloggning för en NSG
  • Ladda ned och visa data som loggats i en fil.

Rådata i JSON-filen kan vara svåra att tolka. Om du Flow data från loggar kan du använda Azure Trafikanalys och Microsoft Power BI.

Alternativa metoder för att aktivera NSG Flow-loggar finns i PowerShell, Azure CLI, REST APIoch Resource Manager mallar.

Gå vidare till nästa artikel om du vill lära dig hur du övervakar nätverkskommunikation mellan två virtuella datorer:

Övervaka nätverkskommunikationen mellan två virtuella datorer i Azure-portalen