Öğretici: Azure portalını kullanarak sanal makineye gelen ve sanal makineden giden ağ trafiğini günlüğe kaydetme

  • Makale
  • Okumak için 5 dakika

Ağ güvenlik grubu (NSG), bir sanal makineye gelen trafiği ve sanal makineden giden trafiği filtrelemenize olanak sağlar. Ağ İzleyicisinin NSG akış günlüğü özelliği ile NSG aracılığıyla akan trafiği günlüğe kaydedebilirsiniz.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Ağ güvenlik grubu ile sanal makine oluşturma
  • Ağ İzleyicisini etkinleştirme ve Microsoft.Insights sağlayıcısını kaydetme
  • Ağ İzleyicisinin NSG akış günlüğü özelliğini kullanarak NSG için bir trafik akışı günlüğünü etkinleştirme
  • Günlüğe kaydedilen verileri indirme
  • Günlüğe kaydedilen verileri görüntüleme

Önkoşullar

Sanal makine oluşturma

  1. Azure Portal oturum açın.

  2. Portalın üst kısmında yer alan arama kutusuna Sanal makine yazın. Sanal makineler'i seçin.

  3. Sanal makineler'de + Oluştur'a ve ardından + Sanal makine'ye seçin.

  4. Sanal makine oluşturma alanına aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    Ad alanına myResourceGroup girin.
    Tamam’ı seçin.
    Örnek ayrıntıları
    Sanal makine adı myVM girin.
    Bölge (ABD) seçeneğini Doğu ABD.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekmez'i seçin.
    Güvenlik türü Varsayılan Standart olarak bırakın.
    Görüntü Windows Server 2022 Datacenter: Azure Edition - 2. Nesil'i seçin.
    Azure Spot örneği Varsayılanı değiştirmeyin.
    Boyut Bir boyut seçin.
    Yönetici hesabı
    Kimlik doğrulaması türü SSH ortak anahtarı'ı seçin.
    Kullanıcı adı Kullanıcı adı girin.
    Parola Parola girin.
    Parolayı onayla Parolayı onaylayın.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Seçilen bağlantı noktalarına izin ver varsayılan olarak bırakın.
    Gelen bağlantı noktalarını seçin VARSAYıLAN RDP (3389) olarak bırakın.

  5. Gözden geçir ve oluştur’u seçin.

  6. Oluştur’u seçin.

Sanal makinenin oluşturulması birkaç dakika sürer. Sanal makinenin oluşturulması tamamlanmadan kalan adımlara devam etmeyin. Portal sanal makineyi oluştururken, myVM-nsg adıyla bir ağ güvenlik grubu da oluşturur ve sanal makinenin ağ arabirimiyle ilişkilendirin.

Ağ İzleyicisini etkinleştirme

Doğu ABD bölgesinde etkinleştirilmiş bir ağ izleyiciniz zaten varsa Insights sağlayıcısını kaydetme bölümüne atlayın.

  1. Portalın üst kısmında yer alan arama kutusuna Ağ İzleme girin. Arama sonuçlarında Ağ İzleyici'yi seçin.

  2. İzleyicisi'nin Genel Bakış sayfasında+ Ekle'yi seçin.

    Portalda ağ izlemeyi etkinleştirme ekran görüntüsü.

  3. Ağ izlemesi ekle'de aboneliğinizi seçin. Bölgesinde (ABD) Doğu ABD seçin.

  4. Add (Ekle) seçeneğini belirleyin.

Insights sağlayıcısını kaydetme

NSG akış günlüğü kaydı için Microsoft.Insights sağlayıcısı gerekir. Sağlayıcıyı kaydetmek için aşağıdaki adımları tamamlayın:

  1. Portalın üst kısmında yer alan arama kutusuna Abonelikler yazın. Arama sonuçlarında Abonelikler'i seçin.

  2. Abonelikler'de sağlayıcıyı etkinleştirmek istediğiniz aboneliği seçin.

  3. Aboneliğinizin bir Ayarlar sağlayıcılar'ı seçin.

  4. Filtre kutusuna Microsoft.Analizler yazın.

  5. Görüntülenen sağlayıcının durumunun Kayıtlı olduğunu onaylayın. Durum Kayıtsız ise sağlayıcıyı seçin ve ardından Kaydol'a tıklayın.

NSG akış günlüğünü etkinleştirme

NSG akış günlüğü verileri bir Azure Depolama hesabına yazılır. Günlük verileri için bir depolama hesabı oluşturmak üzere aşağıdaki adımları tamamlayın.

  1. Portalın üst kısmında yer alan arama kutusuna Depolama girin. Arama Depolama hesapları seçin.

  2. Hesap Depolama + Oluştur'a seçin.

  3. Depolama hesabı oluşturma alanına aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Depolama hesabı adı Depolama hesabınız için bir ad girin.
    3-24 karakter uzunluğunda olmalıdır, yalnızca küçük harf ve sayı içerebilir ve tüm Azure hizmetlarında benzersiz Depolama.
    Bölge (ABD) Doğu ABD.
    Performans Varsayılan Standart olarak bırakın.
    Yedeklilik Coğrafi olarak yedekli depolama (GRS) varsayılan olarak bırakın.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur’u seçin.

Depolama hesabının oluşturulması yaklaşık bir dakika sürebilir. Depolama hesabı oluşturulmadan kalan adımlara devam etmeyin. Her durumda depolama hesabının NSG ile aynı bölgede olması gerekir.

  1. Portalın üst kısmında yer alan arama kutusuna Ağ İzleme girin. Arama sonuçlarında Ağ İzleyici'yi seçin.

  2. Günlükler'de NSG akış günlüklerini seçin.

  3. İzleme | NSG akış günlükleri , + Oluştur'u seçin.

    Ağ Güvenlik Grubu oluştur akış günlüğünün ekran görüntüsü.

  4. Akış günlüğü oluşturma alanına aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Ağ Güvenliği Grubu myVM-nsg öğesini seçin.
    Flow Günlük Adı varsayılan myVM-nsg-myResourceGroup-flowlog olarak bırakın.
    Örnek ayrıntıları
    Depolama hesabı seçme
    Abonelik Aboneliğinizi seçin.
    Depolama Hesapları Önceki adımlarda oluşturduğunuz depolama hesabını seçin.
    Bekletme (gün) Günlükler için saklama süresi girin.

  5. Gözden geçir ve oluştur’u seçin.

  6. Oluştur’u seçin.

Akış günlüğünü indirme

  1. Portalın üst kısmında yer alan arama kutusuna Depolama girin. Arama Depolama hesapları seçin.

  2. Önceki adımlarda oluşturduğunuz depolama hesabını seçin.

  3. Veri depolama'da Kapsayıcılar'ı seçin.

  4. insights-logs-networksecuritygroupflowevent kapsayıcısı öğesini seçin.

  5. Bir PT1H.json dosyasına gelene kadar kapsayıcıda klasör hiyerarşisinde gezinin. Günlük dosyaları, aşağıdaki adlandırma kuralına uygun bir klasör hiyerarşisi ile yazılır:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. PT1H.json dosyasının sağ tarafından ... öğesini ve ardından İndir'i seçin.

    Ağ Güvenlik Grubu akış günlüğünü indirme ekran görüntüsü.

Akış günlüğünü görüntüleme

Aşağıdaki örnek json, günlüğe kaydedilen her akış için PT1H.json dosyasında göreceğiz verileri görüntüler:

Sürüm 1 akış günlüğü olayı

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Sürüm 2 akış günlüğü olayı

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Önceki çıktıda yer alan mac değeri, sanal makine oluşturulurken oluşturulan ağ arabiriminin MAC adresidir. flowTuples için virgülle ayrılmış bilgiler aşağıdaki gibidir:

Örnek veriler Verilerin temsil ettiği Açıklama
1542110377 Zaman damgası Akışın oluştuğu zamanın UNIX EPOCH biçiminde zaman damgası. Önceki örnekte tarih, 1 Mayıs 2018, 14:59:05 GMT olarak dönüştürülür.
10.0.0.4 Kaynak IP adresi Akışın geldiği kaynak IP adresi. 10.0.0.4, Sanal makine oluşturma içinde oluşturduğunuz VM'nin özel IP adresidir.
13.67.143.118 Hedef IP adresi Akışın hedeflendiği hedef IP adresi.
44931 Kaynak bağlantı noktası Akışın geldiği kaynak bağlantı noktası.
443 Hedef bağlantı noktası Akışın hedeflendiği hedef bağlantı noktası. Trafik 443 bağlantı noktasına doğru ilerlendiğinden günlük dosyasında UserRule_default-allow-rdp adlı kural akışı işledi.
T Protokol Akış protokolünün TCP (T) mi yoksa UDP (U) mi olduğu.
O Yön Trafiğin gelen (I) mi yoksa giden (O) mi olduğu.
A Eylem Trafiğe izin mi verildiği (A) yoksa trafiğin ret mi edildiği (D).
C Flow Durum Sürümü 2 Akışın durumunu yakalar. Olası eyaletler B: Akış oluşturulduğunda başlar. İstatistikler sağlanamıyor. C: Devam eden bir akış için devam ediyor. İstatistikler 5 dakikalık aralıklarla sağlanır. E: Bir akış sona erer. İstatistikler sağlanır.
30 Gönderilen paketler - Yalnızca hedef Sürüm 2'ye kaynak Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen toplam TCP veya UDP paketi sayısı.
16978 Gönderilen bayt-kaynak yalnızca hedef sürüm 2 Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen TCP veya UDP paket baytlarının toplam sayısıdır. Paket baytları paket üst bilgisini ve yükünü içerir.
24 Gönderilen paketler-hedef yalnızca kaynak sürüm 2 ' ye Son güncelleştirmeden bu yana hedefin kaynağına Gönderilen TCP veya UDP paketlerinin toplam sayısı.
14008 Gönderilen bayt-hedef yalnızca kaynak sürüm 2 ' ye Son güncelleştirmeden bu yana, hedefin kaynağına Gönderilen TCP ve UDP paket baytlarının toplam sayısıdır. Paket baytları paket üst bilgisini ve yükünü içerir.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • NSG için NSG akış günlüğünü etkinleştirme
  • Bir dosyaya kaydedilen verileri indirin ve görüntüleyin.

Json dosyasındaki işlenmemiş verilerin yorumlanması güç olabilir. Flow günlük verilerini görselleştirmek için Azure Trafik Analizi ve Microsoft Power BI' nı kullanabilirsiniz.

nsg Flow günlüklerini etkinleştirmeye yönelik alternatif yöntemler için bkz. PowerShell, Azure clı, REST APIve Kaynak Yöneticisi şablonları.

İki sanal makine arasındaki ağ iletişimini izlemeyi öğrenmek için sonraki makaleye ilerleyin:

Azure portal kullanarak iki sanal makine arasındaki ağ iletişimini izleme