Öğretici: Azure portalı kullanarak sanal makineye gelen ve sanal makineden giden ağ trafiğini günlüğe kaydetme

  • Makale

Ağ güvenlik grubu akış günlüğü, Azure Ağ İzleyicisi'nin bir ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgileri günlüğe kaydetmenize olanak tanıyan bir özelliğidir. Ağ güvenlik grubu akış günlüğü hakkında daha fazla bilgi için bkz . NSG akış günlüklerine genel bakış.

Bu öğretici, bir sanal makinenin ağ arabirimiyle ilişkili ağ güvenlik grubu üzerinden akan ağ trafiğini günlüğe kaydetmek için NSG akış günlüklerini kullanmanıza yardımcı olur.

Diyagram, öğretici sırasında oluşturulan kaynakları gösterir.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Sanal ağ oluşturma
  • Ağ arabirimiyle ilişkilendirilmiş bir ağ güvenlik grubuyla sanal makine oluşturma
  • Microsoft.insights sağlayıcısını kaydetme
  • Ağ İzleyicisi akış günlüklerini kullanarak ağ güvenlik grubu için akış günlüğünü etkinleştirme
  • Günlüğe kaydedilen verileri indirme
  • Günlüğe kaydedilen verileri görüntüleme

Önkoşullar

Sanal ağ oluşturma

Bu bölümde, sanal makine için bir alt ağ ile myVNet sanal ağı oluşturacaksınız.

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna sanal ağlar girin. Arama sonuçlarından Sanal ağlar'ı seçin.

    Azure portalında sanal ağ arama işlemini gösteren ekran görüntüsü.

  3. +Oluştur'u seçin. Sanal ağ oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Azure aboneliği seçin.
    Kaynak Grubu Yeni oluştur’u seçin.
    Ad alanına myResourceGroup girin.
    Tamam'ı seçin.
    Örnek ayrıntıları
    Veri Akışı Adı myVNet yazın.
    Bölge (ABD) Doğu ABD'yi seçin.

  4. Gözden geçir ve oluştur’u seçin.

  5. Ayarları gözden geçirin ve oluştur'u seçin.

Sanal makine oluşturun

Bu bölümde myVM sanal makinesi oluşturacaksınız.

  1. Portalın üst kısmındaki arama kutusuna sanal makineler girin. Arama sonuçlarından Sanal makineler'i seçin.

  2. + Oluştur'u ve ardından Azure sanal makinesi'ne tıklayın.

  3. Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Proje Ayrıntıları
    Abonelik Azure aboneliği seçin.
    Kaynak Grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Virtual machine name myVM girin.
    Bölge (ABD) Doğu ABD'yi seçin.
    Kullanılabilirlik Seçenekleri Altyapı yedekliliği gerekli değil'i seçin.
    Güvenlik türü Standart'ı seçin.
    Görsel Windows Server 2022 Datacenter: Azure Edition - x64 2. Nesil'i seçin.
    Size Bir boyut seçin veya varsayılan ayarı değiştirmeyin.
    Yönetici istrator hesabı
    Username Bir kullanıcı adı girin.
    Parola Bir parola girin.
    Parolayı onaylayın Parolayı yeniden girin.

  4. sekmesini veya İleri: Diskler'i ve ardından İleri: Ağ'ı seçin.

  5. Ağ sekmesinde aşağıdaki değerleri seçin:

    Ayar Value
    Ağ arabirimi
    Sanal ağ myVNet'i seçin.
    Alt ağ mySubnet öğesini seçin.
    Genel IP (yeni) myVM-ip'yi seçin.
    NIC ağ güvenlik grubu Temel'i seçin. Bu ayar, myVM-nsg adlı bir ağ güvenlik grubu oluşturur ve bunu myVM sanal makinesinin ağ arabirimiyle ilişkilendirir.
    Genel gelen bağlantı noktaları Seçili bağlantı noktalarına izin ver'i seçin.
    Gelen bağlantı noktalarını seçin RDP (3389) öğesini seçin.

    Dikkat

    RDP bağlantı noktasının İnternet'e açık bırakılması yalnızca test için önerilir. Üretim ortamlarında, RDP bağlantı noktasına erişimi belirli bir IP adresi veya IP adresi aralığıyla kısıtlamak önerilir. Ayrıca RDP bağlantı noktasına İnternet erişimini engelleyebilir ve Azure Bastion'ı kullanarak Azure portalından sanal makinenize güvenli bir şekilde bağlanabilirsiniz.

  6. Gözden geçir ve oluştur’u seçin.

  7. Ayarları gözden geçirin ve oluştur'u seçin.

  8. Dağıtım tamamlandıktan sonra kaynağa git'i seçerek myVM'nin Genel Bakış sayfasına gidin.

  9. Bağlan ve ardından RDP'yi seçin.

  10. RDP Dosyasını İndir'i seçin ve indirilen dosyayı açın.

  11. Bağlan'yi seçin ve önceki adımlarda oluşturduğunuz kullanıcı adını ve parolayı girin. İstenirse sertifikayı kabul edin.

Insights sağlayıcısını kaydetme

NSG akış günlüğü kaydı için Microsoft.Insights sağlayıcısı gerekir. Durumunu denetlemek için şu adımları izleyin:

  1. Portalın üst kısmındaki arama kutusuna abonelikler yazın. Arama sonuçlarında Abonelikler'i seçin.

  2. Abonelikler'de sağlayıcıyı etkinleştirmek istediğiniz Azure aboneliğini seçin.

  3. Aboneliğinizin Ayarlar altında Kaynak sağlayıcıları'ı seçin.

  4. Filtre kutusuna içgörü girin.

  5. Görüntülenen sağlayıcının durumunun Kayıtlı olduğunu onaylayın. Durum Kayıtlı Değil ise Microsoft.Analizler sağlayıcısını ve ardından Kaydet'i seçin.

    Microsoft Analizler sağlayıcısını Azure portalına kaydetme işleminin ekran görüntüsü.

Depolama hesabı oluşturma

Bu bölümde, akış günlüklerini depolamak için kullanmak üzere bir depolama hesabı oluşturacaksınız.

  1. Portalın üst kısmındaki arama kutusuna depolama hesapları girin. Arama sonuçlarında Depolama hesapları seçin.

  2. +Oluştur'u seçin. Depolama hesabı oluştur bölümünde Temel Bilgiler sekmesinde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Azure aboneliği seçin.
    Kaynak Grubu myResourceGroup öğesini seçin.
    Örnek ayrıntıları
    Depolama hesabı adı Benzersiz bir ad girin. Bu öğreticide mynwstorageaccount kullanılır.
    Bölge (ABD) Doğu ABD'yi seçin. Depolama hesabı, sanal makine ve ağ güvenlik grubuyla aynı bölgede olmalıdır.
    Performans Standart'ı seçin. NSG akış günlükleri yalnızca Standart katman depolama hesaplarını destekler.
    Yedeklilik Dayanıklılık gereksinimlerinize uyan Yerel olarak yedekli depolama (LRS) veya farklı çoğaltma stratejisi seçin.

  3. Gözden Geçir sekmesini seçin veya alttaki Gözden Geçir düğmesini seçin.

  4. Ayarları gözden geçirin ve oluştur'u seçin.

NSG akış günlüğü oluşturma

Bu bölümde, öğreticide daha önce oluşturulan depolama hesabına kaydedilmiş bir NSG akış günlüğü oluşturacaksınız.

  1. Portalın üst kısmındaki arama kutusuna ağ izleyicisi yazın. Arama sonuçlarında Ağ İzleyicisi seçin.

  2. Günlükler'in altında Akış günlükleri'ne tıklayın.

  3. Ağ İzleyicisi ' de | Akış günlükleri, + Oluştur veya Akış günlüğü oluştur mavi düğmesini seçin.

    Azure portalındaki Akış günlükleri sayfasının ekran görüntüsü.

  4. Akış günlüğü oluşturma bölümüne aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Proje ayrıntıları
    Abonelik Günlüğe kaydetmek istediğiniz ağ güvenlik grubunuzun Azure aboneliğini seçin.
    Ağ güvenlik grubu + Kaynak seç'i seçin.
    Ağ güvenlik grubunu seçin bölümünde myVM-nsg öğesini seçin. Ardından Seçimi onayla'yı seçin.
    Akış Günlüğü Adı varsayılan myVM-nsg-myResourceGroup-flowlog değerini değiştirmeyin.
    Örnek ayrıntıları
    Abonelik Depolama hesabınızın Azure aboneliğini seçin.
    Depolama Hesapları Önceki adımlarda oluşturduğunuz depolama hesabını seçin. Bu öğreticide mynwstorageaccount kullanılır.
    Bekletme (gün) Akış günlükleri verilerini depolama hesabında sonsuza kadar (depolama hesabından silene kadar) saklamak için 0 girin. Bekletme ilkesi uygulamak için bekletme süresini gün olarak girin. Depolama fiyatlandırması hakkında bilgi için bkz. Azure Depolama fiyatlandırması.

    Azure portalında NSG akış günlüğü oluşturma sayfasının ekran görüntüsü.

    Not

    Azure portalı, NetworkWatcherRG kaynak grubunda NSG akış günlükleri oluşturur.

  5. Gözden geçir ve oluştur’u seçin.

  6. Ayarları gözden geçirin ve oluştur'u seçin.

  7. Dağıtım tamamlandıktan sonra Akış günlükleri sayfasında oluşturulan ve listelenen akış günlüğünü onaylamak için Kaynağa git'i seçin.

    Azure portalında yeni oluşturulan akış günlüğünü gösteren Akış günlükleri sayfasının ekran görüntüsü.

  8. myVM sanal makinesiyle RDP oturumunuza geri dönün.

  9. Microsoft Edge'i açın ve adresine www.bing.comgidin.

Akış günlüğünü indirme

Bu bölümde, daha önce seçtiğiniz depolama hesabına gider ve önceki bölümde oluşturulan NSG akış günlüğünü indirirsiniz.

  1. Portalın üst kısmındaki arama kutusuna depolama hesapları girin. Arama sonuçlarında Depolama hesapları seçin.

  2. Günlükleri depolamak için daha önce oluşturduğunuz ve seçtiğiniz mynwstorageaccount veya depolama hesabını seçin.

  3. Veri depolama'nın altında Kapsayıcılar'ı seçin.

  4. insights-logs-networksecuritygroupflowevent kapsayıcısını seçin.

  5. Kapsayıcıda, dosyaya gelene kadar klasör hiyerarşisinde gezinin PT1H.json . NSG günlük dosyaları, aşağıdaki adlandırma kuralını izleyen bir klasör hiyerarşisine yazılır:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. PT1H.json dosyasının sağ tarafındaki üç noktayı seçin ve ardından İndir'i seçin.

    Azure portalındaki depolama hesabı kapsayıcısından nsg akış günlüğünü indirmeyi gösteren ekran görüntüsü.

Not

Depolama hesabınızdan akış günlüklerine erişmek ve bunları indirmek için Azure Depolama Gezgini kullanabilirsiniz. Daha fazla bilgi için bkz. Depolama Explorer'ı kullanmaya başlama.

Akış günlüğünü görüntüleme

İndirilen PT1H.json dosyayı istediğiniz bir metin düzenleyicisini kullanarak açın. Aşağıdaki örnek, indirilen PT1H.json dosyadan alınan ve kural DefaultRule_AllowInternetOutBound tarafından işlenen bir akışı gösteren bir bölümdür.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

flowTuples için virgülle ayrılmış bilgiler aşağıdaki gibidir:

Örnek veriler Verilerin temsil ettiği Açıklama
1677455097 Zaman damgası Akışın UNIX EPOCH biçiminde gerçekleştiği zaman damgası. Önceki örnekte tarih 26 Şubat 2023 11:44:57 UTC/GMT'ye dönüştürülür.
10.0.0.4 Kaynak IP adresi Akışın geldiği kaynak IP adresi. 10.0.0.4, daha önce oluşturduğunuz VM'nin özel IP adresidir.
13.107.21.200 Hedef IP adresi Akışın hedeflendiği hedef IP adresi. 13.107.21.200, IP adresidir www.bing.com. Trafik Azure dışında olduğundan, güvenlik kuralı akışı DefaultRule_AllowInternetOutBound işledi.
49982 Kaynak bağlantı noktası Akışın geldiği kaynak bağlantı noktası.
443 Hedef bağlantı noktası Akışın hedeflendiği hedef bağlantı noktası.
T Protokol Akışın protokolü. T: TCP.
O Yön Akışın yönü. O: Giden.
A Karar Güvenlik kuralı tarafından yapılan karar. Y: İzin verilir.
C Yalnızca Akış Durumu Sürüm 2 Akışın durumu. C: Devam eden bir akış için devam ediyor.
7 Yalnızca Sürüm 2'ye gönderilen paketler Son güncelleştirmeden bu yana hedefe gönderilen toplam TCP paketi sayısı.
1158 Yalnızca Sürüm 2'ye gönderilen bayt sayısı Son güncelleştirmeden bu yana kaynaktan hedefe gönderilen toplam TCP paket bayt sayısı. Paket baytları paket üst bilgisini ve yükünü içerir.
12 Alınan paketler yalnızca Sürüm 2 Son güncelleştirmeden bu yana hedeften alınan toplam TCP paketi sayısı.
8143 Alınan bayt sayısı yalnızca Sürüm 2 Son güncelleştirmeden bu yana hedeften alınan toplam TCP paket bayt sayısı. Paket baytları paket üst bilgisini ve yükü içerir.

Kaynakları temizleme

Artık gerekli olmadığında myResourceGroup kaynak grubunu ve içerdiği tüm kaynakları silin:

  1. Portalın üst kısmındaki arama kutusuna myResourceGroup değerini girin. Arama sonuçlarından myResourceGroup öğesini seçin.

  2. Kaynak grubunu sil'i seçin.

  3. Kaynak grubunu sil bölümüne myResourceGroup yazın ve Sil'i seçin.

  4. Kaynak grubunun ve tüm kaynaklarının silinmesini onaylamak için Sil'i seçin.

Not

myVM-nsg-myResourceGroup-flowlog akış günlüğü NetworkWatcherRG kaynak grubunda yer alır, ancak myVM-nsg ağ güvenlik grubu silindikten sonra silinir (myResourceGroup kaynak grubu silinerek).

İlgili içerik