Öğretici: Azure portalını kullanarak sanal makineye gelen ve sanal makineden giden ağ trafiğini günlüğe kaydetme

Ağ güvenlik grubu (NSG), bir sanal makineye gelen trafiği ve sanal makineden giden trafiği filtrelemenize olanak sağlar. Ağ İzleyicisinin NSG akış günlüğü özelliği ile NSG aracılığıyla akan trafiği günlüğe kaydedebilirsiniz.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Ağ güvenlik grubu ile sanal makine oluşturma
  • Ağ İzleyicisini etkinleştirme ve Microsoft.Insights sağlayıcısını kaydetme
  • Ağ İzleyicisinin NSG akış günlüğü özelliğini kullanarak NSG için bir trafik akışı günlüğünü etkinleştirme
  • Günlüğe kaydedilen verileri indirme
  • Günlüğe kaydedilen verileri görüntüleme

Önkoşullar

Sanal makine oluşturma

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna sanal makineyazın. Sanal makineler'i seçin.

  3. Sanal makinelerde+ Oluştur ve + sanal makine' yi seçin.

  4. Sanal makine oluşturmabölümünde aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin.
    Adalanına
    girin.

    seçin.
    Örnek ayrıntıları
    Sanal makine adı Myvm' i girin.
    Region Doğu ABD (ABD)seçin.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil' i seçin.
    Güvenlik türü Varsayılan değer olan Standart' i bırakın.
    Görüntü Windows Server 2022 Datacenter: Azure Edition-Gen2öğesini seçin.
    Azure Spot örneği Varsayılanı değiştirmeyin.
    Boyut Bir boyut seçin.
    Yönetici hesabı
    Kimlik doğrulaması türü SSH ortak anahtarınıseçin.
    Kullanıcı adı Bir Kullanıcı adı girin.
    Parola Bir parola girin.
    Parolayı onayla Parolayı onaylayın.
    Gelen bağlantı noktası kuralları
    Genel gelen bağlantı noktaları Varsayılan olarak Seçili bağlantı noktalarına Izin ver' i bırakın.
    Gelen bağlantı noktalarını seçin Varsayılan RDP (3389)olarak bırakın.
  5. Gözden geçir ve oluştur’u seçin.

  6. Oluştur’u seçin.

Sanal makinenin oluşturulması birkaç dakika sürer. Sanal makinenin oluşturulması tamamlanmadan kalan adımlara devam etmeyin. Portal sanal makineyi oluştururken, aynı zamanda myvm-NSGadlı bir ağ güvenlik grubu oluşturur ve VM için ağ arabirimiyle ilişkilendirir.

Ağ İzleyicisini etkinleştirme

Doğu ABD bölgesinde etkinleştirilmiş bir ağ izleyiciniz zaten varsa Insights sağlayıcısını kaydetme bölümüne atlayın.

  1. Portalın üst kısmındaki arama kutusuna Ağ İzleyicisi' ni girin. Arama sonuçlarında Ağ İzleyicisi ' ni seçin.

  2. Ağ İzleyicisi'Nin genel bakış sayfasında + Ekle' yi seçin.

    Screenshot of enable network watcher in portal.

  3. Ağ Izleyicisi Ekle' de aboneliğinizi seçin. Bölgede Doğu ABD (US) seçin .

  4. Add (Ekle) seçeneğini belirleyin.

Insights sağlayıcısını kaydetme

NSG akış günlüğü kaydı için Microsoft.Insights sağlayıcısı gerekir. Sağlayıcıyı kaydetmek için aşağıdaki adımları tamamlayın:

  1. Portalın üst kısmındaki arama kutusuna abonelikler' i girin. Arama sonuçlarında abonelikler ' i seçin.

  2. Aboneliklerdesağlayıcıyı etkinleştirmek istediğiniz aboneliği seçin.

  3. aboneliğinizin Ayarlarkaynak sağlayıcıları ' nı seçin.

  4. filtre kutusuna Microsoft. Analizler girin.

  5. Görünen sağlayıcının kayıtlıdurumunu onaylayın. Durum kaydı silindiise, sağlayıcıyı seçip Kaydet' i seçin.

NSG akış günlüğünü etkinleştirme

NSG akış günlüğü verileri bir Azure Depolama hesabına yazılır. Günlük verileri için bir depolama hesabı oluşturmak üzere aşağıdaki adımları izleyin.

  1. portalın üst kısmındaki arama kutusuna Depolama hesapgirin. arama sonuçlarında Depolama hesapları ' nı seçin.

  2. Depolama hesaplar' da + oluştur' u seçin.

  3. Depolama hesabı oluşturmabölümünde aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Depolama hesabı adı Depolama hesabınız için bir ad girin.
    3-24 karakter uzunluğunda olmalıdır, yalnızca küçük harf ve rakam içerebilir ve tüm Azure Depolama benzersiz olmalıdır.
    Region Doğu ABD (ABD)seçin.
    Performans Varsayılan değer olan Standart' i bırakın.
    Yedeklilik Coğrafi olarak yedekli depolama (GRS)varsayılanını varsayılan olarak bırakın.
  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur’u seçin.

Depolama hesabının oluşturulması yaklaşık bir dakika sürebilir. Depolama hesabı oluşturulmadan kalan adımlara devam etmeyin. Her durumda, depolama hesabının NSG ile aynı bölgede olması gerekir.

  1. Portalın üst kısmındaki arama kutusuna Ağ İzleyicisi' ni girin. Arama sonuçlarında Ağ İzleyicisi ' ni seçin.

  2. Günlüklerde NSG akış günlükleri ' ni seçin.

  3. Ağ İzleyicisi 'nde | NSG akış günlükleri, + Oluşturseçeneğini belirleyin.

    Screenshot of create Network Security Group flow log.

  4. Akış günlüğü oluşturmabölümünde aşağıdaki bilgileri girin veya seçin.

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Ağ Güvenliği Grubu Myvm-NSGöğesini seçin.
    Flow günlük adı Myvm-NSG-myResourceGroup-flowlogvarsayılan değerini bırakın.
    Örnek ayrıntıları
    Depolama hesabı seçme
    Abonelik Aboneliğinizi seçin.
    Depolama Hesapları Önceki adımlarda oluşturduğunuz depolama hesabını seçin.
    Bekletme (gün) Günlükler için bir bekletme süresi girin.
  5. Gözden geçir ve oluştur’u seçin.

  6. Oluştur’u seçin.

Akış günlüğünü indirme

  1. portalın üst kısmındaki arama kutusuna Depolama hesapgirin. arama sonuçlarında Depolama hesapları ' nı seçin.

  2. Önceki adımlarda oluşturduğunuz depolama hesabını seçin.

  3. Veri depolamaalanında kapsayıcılar' ı seçin.

  4. Öngörüler-logs-networksecuritygroupflowevent kapsayıcısını seçin.

  5. Kapsayıcıda, bir PT1H. JSON dosyasına ulaşana kadar klasör hiyerarşisine gidin. Günlük dosyaları, aşağıdaki adlandırma kuralını izleyen bir klasör hiyerarşisine yazılır:

    https://{storageAccountName}. blob. Core. Windows. net/Insights-logs-networksecuritygroupflowevent/RESOURCEID =/Subscriptions/{SubscriptionID}/ResourceGroups/{resourcegroupname}/Providers/Microsoft. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y = {Year}/m = {month}/d = {Day}/h = {saat}/m = 00/macAddress = {macAddress}/Pt1h.exe JSON

  6. PT1H. json dosyasının sağ tarafındaki .. . öğesini seçin ve ardından İndir' i seçin.

    Screenshot of download Network Security Group flow log.

Akış günlüğünü görüntüleme

Aşağıdaki örnek JSON, günlüğe kaydedilen her akış için PT1H. json dosyasında göreceğiniz verileri görüntüler:

Sürüm 1 akış günlüğü olayı

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Sürüm 2 akış günlüğü olayı

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Önceki çıktıda yer alan mac değeri, sanal makine oluşturulurken oluşturulan ağ arabiriminin MAC adresidir. flowTuples için virgülle ayrılmış bilgiler aşağıdaki gibidir:

Örnek veriler Verilerin temsil ettiği Açıklama
1542110377 Zaman damgası Akışın oluştuğu zamanın UNIX EPOCH biçiminde zaman damgası. Önceki örnekte tarih, 1 Mayıs 2018, 14:59:05 GMT olarak dönüştürülür.
10.0.0.4 Kaynak IP adresi Akışın geldiği kaynak IP adresi. 10.0.0.4, sanal makine oluşturmabölümünde oluşturduğunuz VM 'nın özel IP adresidir.
13.67.143.118 Hedef IP adresi Akışın hedeflendiği hedef IP adresi.
44931 Kaynak bağlantı noktası Akışın geldiği kaynak bağlantı noktası.
443 Hedef bağlantı noktası Akışın hedeflendiği hedef bağlantı noktası. Trafiğin bağlantı noktası 443 ' e gönderildiği için, günlük dosyasında UserRule_default-Allow-RDPadlı kural akışı işlenir.
T Protokol Akış protokolünün TCP (T) mi yoksa UDP (U) mi olduğu.
O Yön Trafiğin gelen (I) mi yoksa giden (O) mi olduğu.
A Eylem Trafiğe izin mi verildiği (A) yoksa trafiğin ret mi edildiği (D).
C yalnızca Flow durumu sürüm 2 Akışın durumunu yakalar. Olası durumlar B: bir akış oluşturulduğunda başlar. İstatistikler sağlanmamış. C: devam eden bir akış için devam ediliyor. İstatistikler 5 dakikalık aralıklarla sağlanır. E: bir akış bittiğinde sonlandırın. İstatistikler sağlanır.
30 Kaynak gönderilen paketler yalnızca hedef sürüm 2 ' ye Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen TCP veya UDP paketlerinin toplam sayısı.
16978 Gönderilen bayt-kaynak yalnızca hedef sürüm 2 Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen TCP veya UDP paket baytlarının toplam sayısıdır. Paket baytları paket üst bilgisini ve yükünü içerir.
24 Gönderilen paketler-hedef yalnızca kaynak sürüm 2 ' ye Son güncelleştirmeden bu yana hedefin kaynağına Gönderilen TCP veya UDP paketlerinin toplam sayısı.
14008 Gönderilen bayt-hedef yalnızca kaynak sürüm 2 ' ye Son güncelleştirmeden bu yana, hedefin kaynağına Gönderilen TCP ve UDP paket baytlarının toplam sayısıdır. Paket baytları paket üst bilgisini ve yükünü içerir.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • NSG için NSG akış günlüğünü etkinleştirme
  • Bir dosyaya kaydedilen verileri indirin ve görüntüleyin.

Json dosyasındaki işlenmemiş verilerin yorumlanması güç olabilir. Flow günlük verilerini görselleştirmek için Azure Trafik Analizi ve Microsoft Power BI' nı kullanabilirsiniz.

nsg Flow günlüklerini etkinleştirmeye yönelik alternatif yöntemler için bkz. PowerShell, Azure clı, REST APIve Kaynak Yöneticisi şablonları.

İki sanal makine arasındaki ağ iletişimini izlemeyi öğrenmek için sonraki makaleye ilerleyin: