Ağ güvenlik grupları için akış günlük kaydına giriş
Giriş
Ağ güvenlik grubu (NSG) akış günlükleri, bir NSG üzerinden akan IP trafiğiyle ilgili bilgileri günlüğe kaydeden bir Azure Ağ İzleme özelliğidir. Flow, Azure Depolama hesaplarına gönderilir. Buradan verilere erişebilirsiniz ve bu verileri herhangi bir görselleştirme aracına, SIEM'e veya tercih edilen kimliklere aktarabilirsiniz.
Neden Flow kullanacaksınız?
Güvenliğin, uyumluluğun ve performansın güvenliğini sağlamak için kendi ağlarınızı izlemek, yönetmek ve bilmek çok önemlidir. Kendi ortamınızı bilmek, ortamı korumak ve iyileştirmek için son derece önemlidir. Genellikle ağın geçerli durumunu, kimlerin bağlanıyor, nereden bağlanıyor, hangi bağlantı noktalarının İnternet'e açık olduğunu, beklenen ağ davranışını, düzensiz ağ davranışını ve trafikte ani artışları bilmek gerekir.
Flow günlükleri, bulut ortamınız için tüm ağ etkinlikleri için doğru kaynaktır. Kaynakları iyileştirmeye çalışan yaklaşan bir başlangıç veya izinsiz giriş algılamaya çalışan büyük bir kuruluş Flow günlükler sizin için en iyi tercihtir. Bunu ağ akışlarını iyileştirme, aktarım hızını izleme, uyumluluğu doğrulama, izinsiz girişleri algılama ve daha fazlası için kullanabilirsiniz.
Genel kullanım örnekleri
Ağ İzleme: Bilinmeyen veya hedefsiz trafiği belirleme. Trafik düzeylerini ve bant genişliği tüketimini izleme. Uygulama davranışını anlamak için akış günlüklerini IP'ye ve bağlantı noktasına göre filtreleyebilirsiniz. İzleme Flow ayarlamak için Günlükler'i kendi tercihi olan analiz ve görselleştirme araçlarına dışarı aktarın.
Kullanım izleme ve iyileştirme: Ağınız içinde en çok iletişimde olanları belirleme. Coğrafi bölge trafiğini belirlemek için GeoIP verileriyle birleştirin. Kapasite tahmini için trafik artışlarını anlama. Aşırı kısıtlayıcı trafik kurallarını kaldırmak için verileri kullanın.
Uyumluluk: Ağ yalıtımı ve kurumsal erişim kurallarıyla uyumluluğu doğrulamak için akış verilerini kullanma
Ağ adli & güvenlik analizi: Güvenliği tehlikeye atılmış IP'lerden ve ağ arabirimlerinden ağ akışlarını analiz etme. Akış günlüklerini herhangi bir SIEM veya IDS aracına dışarı aktarın.
Günlük nasıl çalışır?
Anahtar Özellikler
- Flow, Katman 4'te çalışır ve NSG'ye gelen ve NSG'den gelen tüm IP akışlarını kaydeder
- Günlükler Azure platformu aracılığıyla 1 dakikalık aralıklarla toplanır ve müşteri kaynaklarını veya ağ performansını hiçbir şekilde etkilemez.
- Günlükler JSON biçiminde yazılır ve NSG başına kural temelinde giden ve gelen akışları gösterir.
- Her günlük kaydı akışın geçerli olduğu ağ arabirimini (NIC), 5 kayıtlı bilgileri, trafik kararı & (yalnızca Sürüm 2) aktarım hızı bilgilerini içerir. Tüm ayrıntılar için aşağıdaki Günlük Biçimi'ne bakın.
- Flow günlükler, günlüklerin oluşturulmasının ardından bir yıla kadar otomatik olarak silinmesine olanak sağlayan bir bekletme özelliğine sahiptir.
Not
Saklama, yalnızca Genel amaçlı v2 veya Depolama (GPv2) kullanıyorsanız kullanılabilir.
Temel kavramlar
- Yazılım tanımlı ağlar, Sanal Ağlar (VNET) ve alt ağlar çevresinde düzenlenmiştir. Bu sanal ağların ve alt ağların güvenliği bir NSG kullanılarak yönetilebilir.
- Ağ güvenlik grubu (NSG), bağlı olduğu kaynaklarda ağ trafiğine izin verecek veya trafiği reddedecek güvenlik kurallarının bir listesini içerir. NSG'ler bir sanal makinede her sanal ağ alt ağı ve ağ arabirimiyle ilişkilendirilebilirsiniz. Daha fazla bilgi için bkz. Ağ güvenlik grubuna genel bakış.
- Ağ ağınıza gelen tüm trafik akışları, geçerli NSG'de kurallar kullanılarak değerlendirilir.
- Bu değerlendirmelerin sonucu NSG Flow olur. Flow günlükleri Azure platformu üzerinden toplanır ve müşteri kaynaklarında değişiklik gerektirmez.
- Not: Kurallar iki türdedir; her biri & davranışları olan sonlandırıcı olmayan kurallar sonlandırıcıdır.
-
- NSG Reddetme kuralları sonlandırıcı. Trafiği reddeden NSG, trafiği Flow günlüğe kaydeder ve bu durumda işlem NSG trafiği reddeder.
-
- NSG İzin Verme kuralları sonlandırıcı değil, yani bir NSG izin verse bile işleme sonraki NSG'ye devam eder. Trafiğe izin veren son NSG, trafiği günlüklere Flow kaydeder.
- NSG Flow Günlükleri, erişilemedikleri depolama hesaplarına yazılır.
- Trafik Analizi, Splunk, Grafana, Gizli Saat gibi araçları kullanarak Flow günlüklerini dışarı aktarabilirsiniz, işleyebilirsiniz, çözümleyebilirsiniz ve görselleştirebilirsiniz.
Günlük biçimi
Flow günlükler aşağıdaki özellikleri içerir:
- time - Olayın günlüğe kaydedile zamanı
- systemId - Ağ Güvenlik Grubu sistem kimliği.
- category - Olayın kategorisi. Kategori her zaman NetworkSecurityGroupFlowEvent olur
- resourceid - NSG'nin kaynak kimliği
- operationName - Always NetworkSecurityGroupFlowEvents
- özellikler - Akışın özellik koleksiyonu
- Sürüm - Flow Günlüğü olay şemasının sürüm numarası
- akışlar - Akış koleksiyonu. Bu özelliğin farklı kurallar için birden çok girdisi vardır
- kural - Akışların listelenmiş olduğu kural
- akışlar - akış koleksiyonu
- mac - Akışın toplanmış olduğu VM için NIC'nin MAC adresi
- flowTuples - Akış tuple'ı için virgülle ayrılmış biçimde birden çok özellik içeren bir dize
- Zaman Damgası - Bu değer, akışın dönem biçiminde UNIX damgasıdır
- Kaynak IP - Kaynak IP
- Hedef IP - Hedef IP
- Kaynak Bağlantı Noktası - Kaynak bağlantı noktası
- Hedef Bağlantı Noktası - Hedef Bağlantı Noktası
- Protokol - Akışın protokolü. GEÇERLI değerler TCP için T ve UDP için U değerleridir
- Trafik Flow: Trafik akışının yönü. Geçerli değerler gelen için I ve giden için O değerleridir.
- Trafik Kararı - Trafiğe izin mi verildi yoksa trafiğin redded mi olduğu. İzin verilenler için geçerli değerler A ve reddedilenler için D değerleridir.
- Flow Durumu - Yalnızca Sürüm 2 - Akışın durumunu yakalar. Olası eyaletler B: Akış oluşturulduğunda başlar. İstatistikler sağlanamıyor. C: Devam eden bir akış için devam ediyor. İstatistikler 5 dakikalık aralıklarla sağlanır. E: Bir akış sonlandırılma zaman sona erer. İstatistikler sağlanır.
- Paketler - Kaynaktan hedefe - Yalnızca Sürüm 2 Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen toplam TCP paketi sayısı.
- Gönderilen bayt sayısı - Kaynaktan hedefe - Yalnızca Sürüm 2 Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen toplam TCP paket bayt sayısı. Paket baytları paket üst bilgilerini ve yükünü içerir.
- Paketler - Kaynaktan hedefe - Yalnızca Sürüm 2 Son güncelleştirmeden bu yana hedeften hedefe gönderilen toplam TCP paketi sayısı.
- Gönderilen bayt sayısı - Hedefe hedef - Yalnızca Sürüm 2 Son güncelleştirmeden bu yana hedeften hedefe gönderilen toplam TCP paket bayt sayısı. Paket baytları paket üst bilgisi ve yükü içerir.
- akışlar - akış koleksiyonu
- kural - Akışların listelenmiş olduğu kural
NSG akış günlükleri Sürüm 2 (sürüm 1'e karşı)
Günlüklerin 2. sürümü, akış durumu kavramını tanıtıyor. Akış günlüklerinin hangi sürümünü alasınız yapılandıracaksınız.
Flow bir akış başlatıldığı zaman B durumu kaydedilir. Flow C ve akış durumu E, sırasıyla bir akışın ve akış sonlandırmanın devamlılık durumunu işaret eden eyaletlerdir. Hem C hem de E durumları trafik bant genişliği bilgilerini içerir.
Örnek günlük kayıtları
Aşağıdaki metin bir akış günlüğü örneğidir. Gördüğünüz gibi, önceki bölümde açıklanan özellik listesini takip edecek birden çok kayıt vardır.
Not
Flowdiziler özelliğindeki değerler, virgülle ayrılmış bir liste.
Sürüm 1 NSG akış günlüğü biçim örneği
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
"records":
[
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A","1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A","1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A","1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A","1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A","1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"]}]}]}
}
,
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {"Version":1,"flows":[{"rule":"DefaultRule_DenyAllInBound","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D","1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"]}]},{"rule":"UserRule_default-allow-rdp","flows":[{"mac":"000D3AF8801A","flowTuples":["1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"]}]}]}
}
Sürüm 2 NSG akış günlüğü biçim örneği
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
Açıklanan günlük kayıt düzeni
Örnek bant genişliği hesaplaması
185.170.185.105:35370 ve 10.2.0.4:23 arasında bir TCP görüşmesinde Flow tanımlama grupları:
"1493763938, 185.170.185.105, 10.2.0.4, 35370, 23, T, I, A, B,,,," "1493695838, 185.170.185.105, 10.2.0.4, 35370, 23, T, I, A, C, 1021, 588096, 8005, 4610880" "1493696138, 185.170.185.105, 10.2.0.4, 35370, 23, T, ı, A, E, 52, 29952, 47, 27072"
Devamlılık C ve bitiş E akışı durumları için bayt ve paket sayıları, önceki akış kayıt kümesi kaydı zamanından itibaren toplam sayılardır. Önceki örnek konuşmaya başvurarak, aktarılan toplam paket sayısı 1021 + 52 + 8005 + 47 = 9125 olur. Aktarılan toplam bayt sayısı 588096 + 29952 + 4610880 + 27072 = 5256000.
NSG Akış Günlüklerini etkinleştirme
Akış günlüklerini etkinleştirme yönergeleri için aşağıda yer alan ilgili bağlantıyı kullanın.
Parametreleri güncelleştirme
Azure portalındaki
Azure portal, ağ izleyicisi 'nde nsg Flow günlükler bölümüne gidin. Sonra NSG adına tıklayın. bu, Flow günlük için ayarlar bölmesini getirir. İstediğiniz parametreleri değiştirin ve değişiklikleri dağıtmak için Kaydet 'e basın.
PS/CLı/REST/ARM
komut satırı araçları aracılığıyla parametreleri güncelleştirmek için, Flow günlüklerini etkinleştirmek için kullanılan komutu kullanın, ancak değiştirmek istediğiniz güncelleştirilmiş parametreleri kullanın.
Flow günlükleriyle çalışma
Akış günlüklerini okuma ve dışarı aktarma
- &portaldan görünüm Flow günlüklerini indirme
- PowerShell işlevlerini kullanarak Flow günlüklerini okuma
- nsg Flow günlüklerini splunk 'a dışarı aktarma
Akış günlükleri NSG 'leri hedeflerse, diğer Günlükler ile aynı görüntülenmez. Flow günlükler yalnızca bir depolama hesabı içinde depolanır ve aşağıdaki örnekte gösterilen günlük yolunu izler:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Akış günlüklerini görselleştirme
- Azure Trafik Analizi , akış günlüklerini Işlemek için Azure yerel bir hizmettir, öngörüleri ayıklar ve akış günlüklerini görselleştirin.
- Öğreticide nsg Flow günlüklerini Power BI ile görselleştirin
- Öğreticide elastik Stack ile nsg Flow günlüklerini görselleştirin
- Öğreticide Grafana kullanarak nsg Flow günlüklerini yönetme ve çözümleme
- Öğreticide gg Flow günlüklerini grig günlüğünü kullanarak yönetme ve çözümleme
Akış günlüklerini devre dışı bırak
Akış günlüğü devre dışı bırakıldığında, ilişkili NSG için akış günlüğü durdurulur. Ancak, bir kaynak olarak akış günlüğü, tüm ayarları ve ilişkilendirmeleriyle birlikte var olmaya devam eder. Yapılandırılan NSG 'de akış günlüğü oluşturmaya başlamak için dilediğiniz zaman etkinleştirilebilir. Akış günlüklerini devre dışı bırakma/etkinleştirme adımları, Bu nasıl yapılır kılavuzundabulunabilir.
Akış günlüklerini silme
Akış günlüğü silindiğinde, yalnızca ilişkili NSG için akış günlüğü durdurulur, ancak akış günlüğü kaynağı da ayarları ve ilişkilendirmeleriyle silinir. Akış günlüğüne kaydetmeyi yeniden başlatmak için, bu NSG için yeni bir akış günlüğü kaynağı oluşturulması gerekir. Akış günlüğü, PowerShell, CLI veya REST APIkullanılarak silinebilir. Azure portal akış günlüklerini silme desteği ardışık düzen.
Ayrıca, bir NSG silindiğinde, varsayılan olarak ilişkili akış günlüğü kaynağı silinir.
Not
Bir NSG 'yi farklı bir kaynak grubuna veya aboneliğe taşımak için, ilişkili akış günlüklerinin silinmesi gerekir, yalnızca akış günlüklerinin devre dışı bırakılması çalışmaz. NSG geçişinden sonra, akış günlüğü kaydının etkinleştirilmesi için akış günlüklerinin yeniden oluşturulması gerekir.
NSG akış günlüğü konuları
Depolama hesabı konuları:
- Konum: kullanılan depolama hesabı NSG ile aynı bölgede olmalıdır.
- Performans katmanı: Şu anda yalnızca Standart katman depolama hesapları desteklenmektedir.
- kendi kendine yönetim anahtar döndürme: erişim anahtarlarını depolama hesabınıza değiştirirseniz/döndürdüğünüzde nsg Flow günlükleri çalışmayı durdurur. bu sorunu onarmak için nsg Flow günlüklerini devre dışı bırakıp yeniden etkinleştirmeniz gerekir.
Flow günlük maliyetleri: nsg akış günlüğü, üretilen günlüklerin hacminde faturalandırılır. Yüksek trafik hacmi, büyük akış günlüğü hacmine ve ilişkili maliyetlere yol açabilir. nsg Flow günlük fiyatlandırması, depolamanın temel maliyetlerini içermez. nsg Flow günlüğü ile bekletme ilkesi özelliğinin kullanılması, uzun süre boyunca ayrı depolama maliyetlerinin elde ediliyor anlamına gelir. Verileri süresiz olarak saklamak ve herhangi bir bekletme ilkesi uygulamak istemiyorsanız, bekletme (gün) seçeneğini 0 olarak ayarlayın. daha fazla bilgi için bkz. ek ayrıntılar için ağ izleyicisi fiyatlandırması ve Azure Depolama fiyatlandırması .
Kullanıcı tanımlı gelen TCP kuralları Ile Ilgili sorunlar: ağ güvenlik grupları (NSG 'Ler) durum bilgisi içeren bir güvenlik duvarıolarak uygulanır. Ancak, geçerli platform sınırlamaları nedeniyle, gelen TCP akışlarını etkileyen Kullanıcı tanımlı kurallar durum bilgisiz bir biçimde uygulanır. Bu nedenle, Kullanıcı tanımlı gelen kuralların etkilediği akışlar Sonlandırılmamış hale gelir. Ayrıca, bu akışlar için bayt ve paket sayıları kaydedilmez. sonuç olarak, nsg Flow günlüklerinde (ve Trafik Analizi) bildirilen bayt ve paketlerin sayısı gerçek numaralardan farklı olabilir. Bu, ilişkili sanal ağlardaki Flowtimeoutınminutes özelliğinin null olmayan bir değere ayarlanarak çözülebilir.
Internet IP 'lerinden ortak IP Içermeyen VM 'lere kaydedilen gelen akışlar: bir genel IP adresi, örnek DÜZEYI genel IP olarak NIC ile ilişkili bir genel IP adresi aracılığıyla atanmamış veya temel bir yük dengeleyici arka uç havuzunun parçası olan VM 'ler, varsayılan SNAT 'yi kullanın ve giden bağlantıyı kolaylaştırmak için Azure tarafından atanmış bir IP adresine sahip olmalıdır. Sonuç olarak, akış, SNAT için atanan bağlantı noktası aralığındaki bir bağlantı noktasına gidiyor ise internet IP adreslerinden akışlar için akış günlüğü girişleri görebilirsiniz. Azure bu akışlara sanal makineye izin vermediğinden, deneme günlüğe kaydedilir ve tasarıma göre ağ Izleyicisi 'nin NSG akış günlüğünde görüntülenir. İstenmeyen gelen internet trafiğinin NSG ile açıkça engellenmesini öneririz.
ExpressRoute ağ geçidi alt ağında NSG : trafik hızlı rota ağ geçidini atlayabileceğinden ExpressRoute ağ geçidi alt ağındaki akışların günlüğe yazılır olması önerilmez (örnek: FastPath). Bu nedenle, bir NSG bir ExpressRoute ağ geçidi alt ağına bağlanmışsa ve NSG akış günlükleri etkinse, sanal makinelere giden akışlar yakalanmayabilir. Bu tür akışlar VM 'nin alt ağında veya NIC 'inde yakalanmalıdır.
Özel bağlantı üzerinden trafiği , özel bağlantı aracılığıyla PaaS kaynaklarına erişirken, özel bağlantıyı içeren bir alt ağ NSG 'sinde, NSG akış günlüklerini etkinleştirin. Platform sınırlamaları nedeniyle, tüm kaynak VM 'lerdeki trafik yalnızca hedef PaaS kaynağında yakalanamaz.
Application Gateway V2 alt ağ nsg ile sorun: Application Gateway V2 alt ağ nsg 'de Flow günlüğe kaydetme şu anda desteklenmiyor . Bu sorun Application Gateway v1 'yi etkilemez.
uyumsuz hizmetler: geçerli platform sınırlamaları nedeniyle, nsg Flow günlükleri tarafından desteklenmeyen küçük bir Azure hizmetleri kümesi desteklenmez. Uyumsuz hizmetlerin geçerli listesi
En iyi uygulamalar
kritik vnet 'lerde/alt ağlarda etkinleştir: Flow günlükler, aboneliğinizdeki tüm kritik vnet 'lerde/alt ağlarda bir denetlenebilirlik ve security en iyi uygulaması olarak etkinleştirilmelidir.
bir kaynağa bağlı olan tüm nsg 'ler Flow nsg 'yi etkinleştirin: nsg kaynağında Azure 'da Flow oturum açma işlemi yapılandırılır. Akış yalnızca bir NSG kuralıyla ilişkilendirilecektir. Birden çok NSG'nin kullanıldığı senaryolarda, tüm trafiğin kaydedildiğinden emin olmak için kaynağın alt ağında veya ağ arabiriminde uygulanmış tüm NSG'lerde NSG akış günlüklerini etkinleştirmenizi öneririz. Daha fazla bilgi için bkz. trafiğin ağ güvenlik gruplarında nasıl değerlendirildiği .
Birkaç yaygın senaryo:
- BIR VM 'de birden çok NIC: bir sanal makineye birden çok NIC bağlı olması durumunda, akış günlüğü 'nün tümünde etkinleştirilmesi gerekir
- Hem NIC hem de alt ağ düzeyinde NSG 'ye sahip olma: NSG 'nin NIC 'de ve alt ağ düzeyinde yapılandırılması durumunda, akış günlüğü 'nün her ikisinde de her iki durumda da etkin olması gerekir.
- Aks kümesi alt ağı: aks, küme alt ağına bir varsayılan NSG ekler. Yukarıdaki noktada açıklandığı gibi, bu varsayılan NSG 'de akış günlüğünün etkinleştirilmesi gerekir.
Depolama sağlama: Depolama beklenen Flow günlük hacimiyle birlikte sağlanmalıdır.
Adlandırma: NSG adı 80 karakter ve NSG kural adları ile 65 karakter arasında olmalıdır. Adlar karakter sınırlarını aşarsa günlüğe kaydetme sırasında kesilebilir.
Genel sorunları giderme
NSG Akış Günlüklerini etkinleştiremedim
- Microsoft. Analizler sağlayıcı kayıtlı değil
AuthorizationFailed veya GatewayAuthenticationFailed hatası aldıysanız aboneliğinizde Microsoft Insights kaynak sağlayıcısını etkinleştirmemiş olabilirsiniz. Microsoft Analizler sağlayıcısını etkinleştirmek için yönergeleri izleyin.
NSG Akış Günlüklerini etkinleştirdim ama depolama hesabımda verileri görmüyorum
- Hazırlık süresi
NSG Akış Günlüklerinin depolama hesabınızda görüntülenmesi 5 dakika kadar sürebilir (doğru yapılandırıldıysa). Burada açıklandığı gibi erişilebilen bir PT1H.json dosyası görüntülenir.
- NSG'lerinizde trafik yok
VM'leriniz etkin olmadığından veya NSG'lerinize giden trafiği engelleyen App Gateway yukarı akış filtreleri veya başka cihazlar olduğundan günlükleri göremezsiniz.
NSG Akış Günlüklerini otomatikleştirmek istiyorum
ARM şablonları aracılığıyla otomasyon desteği artık NSG Flow kullanılabilir. Daha fazla bilgi & ARM hızlı başlangıç belgesinde yer alan özellik duyurusu makalelerini okuyun.
SSS
NSG Flow ne yapar?
Azure ağ kaynakları, Ağ Güvenlik Grupları (NSG) aracılığıyla birleşerek yönetilebilir. NSG Flow Günlükleri, NSG'leriniz aracılığıyla tüm trafikle ilgili 5 kayıt kayıt akışı bilgilerini günlüğe kaydedebilirsiniz. Ham akış günlükleri, gerektiğinde daha fazla işlenebilecek, analiz Depolama veya dışarı aktarılana kadar bir Azure Depolama hesabına yazılır.
Günlükler Flow ağ gecikme süremi veya performansımı etkiliyor mu?
Flow günlük verileri ağ trafiğinizin yolunun dışında toplanır ve bu nedenle ağ aktarım hızını veya gecikme süresini etkilemez. Akış günlüklerini ağ performansını etkileme riski olmadan oluşturabilir veya silebilirsiniz.
Nasıl yaparım? duvarın arkasında bir Flow hesabıyla NSG Depolama Günlükler mi kullanacaksınız?
Güvenlik duvarının Depolama bir hesap kullanmak için, Güvenilen Microsoft Hizmetleri'nin depolama hesabınıza erişmesi için bir özel durum sağlamalısınız:
- Depolama hesabının adını portalda veya genel arama Hesapları sayfasından yazarak depolama Depolama gidin
- AYARLAR bölümünde Güvenlik duvarları ve sanal ağlar'ı seçin
- Üzerinden erişime izin ver'de Seçili ağlar'ı seçin. Ardından Özel Durumlar'ın altındaGüvenilen depolama hesaplarının bu depolama hesabına erişmesine izin Microsoft hizmetleri yanındaki kutuyu işaretleyin
- Zaten seçiliyse, hiçbir değişiklik yapmanız gerekmez.
- NSG günlüklerine genel bakış sayfasında hedef NSG'Flow bulun ve yukarıdaki depolama hesabı seçili Flow NSG Flow Günlükler'i etkinleştirin.
Birkaç dakika sonra depolama günlüklerini denetleyebilirsiniz; güncelleştirilmiş bir TimeStamp veya yeni oluşturulmuş bir JSON dosyası görmelisiniz.
Nasıl yaparım? Uç Noktası arkasında bir Flow hesabıyla NSG Depolama Günlüklerini mi kullanacaksınız?
NSG Flow Günlükleri, ek yapılandırma gerektirmeden Hizmet Uç Noktaları ile uyumludur. Sanal ağ üzerinde Hizmet Uç Noktalarını etkinleştirme öğreticisini okuyun.
Akış günlükleri sürüm 1 ve 2 arasındaki & nedir?
Flow Günlükleri sürüm 2' de Flow State & iletilen baytlar ve paketler hakkında bilgileri depolar. Daha fazla bilgi edinin
Fiyatlandırma
NSG Flow Günlükleri toplanan günlüklerin GB'sı başına ücret tahsil edilir ve abonelik başına aylık 5 GB ücretsiz katmanla gelir. Bölgenizin geçerli fiyatlandırması için Ağ İzleme fiyatlandırma sayfasına bakın.
Depolama ayrı ücretlendirilirken ilgili fiyatlar için Bkz. Azure Depolama Blok blobu fiyatlandırma sayfası.