مشاركة عبر

سجلات تدفق الشبكة الظاهرية

تعد سجلات تدفق الشبكة الظاهرية إحدى ميزات Azure Network Watcher. يمكنك استخدامها لتسجيل معلومات حول نسبة استخدام الشبكة IP المتدفقة عبر شبكة ظاهرية.

يتم إرسال بيانات التدفق من سجلات تدفق الشبكة الظاهرية إلى Azure Storage. من هناك، يمكنك الوصول إلى البيانات وتصديرها إلى أي أداة تصور أو معلومات الأمان وحل إدارة الأحداث (SIEM) أو نظام الكشف عن التسلل (IDS). تتغلب سجلات تدفق الشبكة الافتراضية على بعض قيود سجلات تدفق مجموعات أمن الشبكة وتكون أكثر كفاءة من حيث التكلفة.

لماذا يجب استخدام سجلات التدفق؟

من الضروري مراقبة شبكتك وإدارتها ومعرفتها حتى تتمكن من حمايتها وتحسينها. قد تحتاج إلى معرفة الحالة الحالية للشبكة، ومن يتصل بها، ومن أين يتصل المستخدمون. قد تحتاج أيضا إلى معرفة المنافذ المفتوحة للإنترنت ، وسلوك الشبكة المتوقع ، وما هو سلوك الشبكة غير المنتظم ، ومتى تحدث ارتفاعات مفاجئة في حركة المرور.

سجلات التدفق هي مصدر الحقيقة لجميع أنشطة الشبكة في بيئة السحابة الخاصة بك. سواء كنت في شركة ناشئة تحاول تحسين الموارد أو مؤسسة كبيرة تحاول اكتشاف التسلل، يمكن أن تساعدك سجلات التدفق. يمكنك استخدامها لتحسين تدفقات الشبكة ومراقبة الإنتاجية والتحقق من الامتثال واكتشاف عمليات الاختراقات والمزيد.

حالات الاستخدام الشائعة

مراقبة الشبكة

  • تحديد نسبة استخدام الشبكة غير المعروفة أو غير المرغوب فيها.
  • مراقبة مستويات حركة المرور واستهلاك النطاق الترددي.
  • تصفية سجلات التدفق بواسطة IP والمنفذ لفهم سلوك التطبيق.
  • تصدير سجلات التدفق إلى أدوات التحليلات والتصور التي تختارها لإعداد لوحات معلومات المراقبة.

مراقبة الاستخدام والتحسين

  • تحديد أفضل المتحدثين في شبكتك.
  • الدمج مع بيانات GeoIP لتحديد حركة المرور عبر المنطقة.
  • فهم نمو حركة المرور للتنبؤ بالقدرات.
  • استخدم البيانات لإزالة قواعد نسبة استخدام الشبكة المقيدة للغاية.

Compliance

  • استخدم بيانات التدفق للتحقق من عزل الشبكة والتوافق مع قواعد الوصول للمؤسسة.

الطب الشرعي للشبكة والتحليل الأمني

  • تحليل تدفقات الشبكة من برامج IPs وواجهات الشبكة المخترقة.
  • تصدير سجلات التدفق إلى أي إدارة معلومات الأمان والأحداث أو أداة IDS من اختيارك.

سجلات تدفق الشبكة الظاهرية مقارنة بسجلات تدفق مجموعة أمان الشبكة

تسجل كل من سجلات تدفق الشبكة الظاهرية وسجلات تدفق مجموعة أمان الشبكة نسبة استخدام الشبكة لبروتوكول IP، ولكنها تختلف في سلوكها وقدراتها.

تعمل سجلات تدفق الشبكة الظاهرية على تبسيط نطاق مراقبة نسبة استخدام الشبكة لأنه يمكنك تمكين التسجيل في الشبكات الظاهرية. يتم تسجيل نسبة استخدام الشبكة من خلال جميع أحمال العمل المدعومة داخل شبكة ظاهرية.

تتجنب سجلات تدفق الشبكة الظاهرية أيضا الحاجة إلى تمكين تسجيل التدفق متعدد المستويات، كما هو الحال في سجلات تدفق مجموعة أمان الشبكة. في سجلات تدفق مجموعة أمان الشبكة، يتم تكوين مجموعات أمان الشبكة في كل من الشبكة الفرعية وواجهة الشبكة (NIC).

بالإضافة إلى الدعم الحالي لتحديد نسبة استخدام الشبكة التي تسمح بها قواعد مجموعة أمان الشبكة أو ترفضها، تدعم سجلات تدفق الشبكة الظاهرية تحديد نسبة استخدام الشبكة التي تسمح بها قواعد مسؤول أمان Azure Virtual Network Manager أو ترفضها. تدعم سجلات تدفق الشبكة الظاهرية أيضا تقييم حالة تشفير نسبة استخدام الشبكة الخاصة بك في السيناريوهات التي تستخدم فيها تشفير الشبكة الظاهرية.

Important

نوصي بتعطيل سجلات تدفق مجموعة أمان الشبكة قبل تمكين سجلات تدفق الشبكة الظاهرية على نفس أحمال العمل الأساسية لتجنب تسجيل نسبة استخدام الشبكة المكررة والتكاليف الإضافية.

إذا قمت بتمكين سجلات تدفق مجموعة أمان الشبكة على مجموعة أمان الشبكة لشبكة فرعية، فقم بتمكين سجلات تدفق الشبكة الظاهرية على نفس الشبكة الفرعية أو الشبكة الظاهرية الأصلية، فقد تحصل على تسجيل مكرر أو سجلات تدفق الشبكة الظاهرية فقط.

كيفية عمل إنشاء السجلات

تتضمن الخصائص الرئيسية لسجلات تدفق الشبكة الظاهرية ما يلي:

  • تعمل سجلات التدفق في الطبقة 4 من نموذج الربط البيني للأنظمة المفتوحة (OSI) وتسجل جميع تدفقات IP التي تمر عبر شبكة ظاهرية.
  • يتم جمع السجلات على فترات دقيقة واحدة من خلال النظام الأساسي Azure. لا تؤثر على موارد Azure أو نسبة استخدام الشبكة الخاصة بك.
  • تتم كتابة السجلات بتنسيق JavaScript Object Notation (JSON).
  • يحتوي كل سجل سجل على واجهة الشبكة التي ينطبق عليها التدفق ومعلومات 5 مجموعات واتجاه حركة المرور وحالة التدفق وحالة التشفير ومعلومات معدل النقل.
  • يتم تقييم جميع تدفقات نسبة استخدام الشبكة في شبكتك من خلال قواعد مجموعة أمان الشبكة القابلة للتطبيق أو قواعد مسؤول أمان Azure Virtual Network Manager.

تنسيق السجل

تحتوي سجلات تدفق الشبكة الظاهرية على الخصائص التالية:

  • timeالوقت بالتوقيت العالمي المنسق عندما تم تسجيل الحدث.:
  • flowLogVersionإصدار سجل التدفق.:
  • flowLogGUIDالمعرف الفريد العمومي للمورد FlowLog .:
  • macAddressعنوان MAC لواجهة الشبكة حيث تم التقاط الحدث.:
  • categoryفئة الحدث.: الفئة هي دائما FlowLogFlowEvent.
  • flowLogResourceIDمعرف المورد للمورد FlowLog .:
  • targetResourceIDمعرف المورد للمورد الهدف المقترن بالمورد FlowLog .:
  • operationNameدائما FlowLogFlowEvent.:
  • flowRecordsجمع سجلات التدفق.:
    • flowsمجموعة التدفقات.: تحتوي هذه الخاصية على إدخالات متعددة لقوائم التحكم في الوصول (ACLs):
      • aclIDمعرف المورد الذي يقيم نسبة استخدام الشبكة، إما مجموعة أمان الشبكة أو مدير الشبكة الظاهرية.: بالنسبة لحركة المرور التي تم رفضها بسبب التشفير، تكون هذه القيمة .unspecified
      • flowGroupsتجميع سجلات التدفق على مستوى القاعدة:
        • ruleاسم القاعدة التي سمحت بحركة المرور أو رفضتها.: بالنسبة لحركة المرور التي تم رفضها بسبب التشفير، تكون هذه القيمة .unspecified
        • flowTuplesسلسلة تحتوي على خصائص متعددة لمجموعة التدفق بتنسيق مفصول بفواصل:
          • Time Stampالطابع الزمني لوقت حدوث التدفق، بنسق حقبة UNIX.:
          • Source IPعنوان IP المصدر.:
          • Destination IPعنوان IP للوجهة.:
          • Source portمنفذ المصدر.:
          • Destination portميناء الوجهة.:
          • Protocolبروتوكول الطبقة 4 من التدفق، معبرا عنه بالقيم المعينة ل IANA.:
          • Flow directionاتجاه تدفق حركة المرور.: القيم الصالحة هي I للوارد والصادر O .
          • Flow stateحالة التدفق.: الحالات المحتملة هي:
            • Bابدأ، عند إنشاء تدفق.: لم يتم تقديم أي إحصائيات.
            • Cالاستمرار في التدفق المستمر.: يتم توفير الإحصائيات كل خمس دقائق.
            • Eنهاية، عند إنهاء التدفق.: يتم توفير الإحصائيات.
            • Dرفض ، عندما يتم رفض التدفق.:
          • Flow encryptionحالة تشفير التدفق.: يصف الجدول بعد هذه القائمة القيم المحتملة.
          • Packets sentإجمالي عدد الحزم المرسلة من المصدر إلى الوجهة منذ آخر تحديث.:
          • Bytes sentإجمالي عدد بايت الحزم المرسلة من المصدر إلى الوجهة منذ آخر تحديث.: تتضمن بايتات الحزمة رأس الحزمة والحمولة.
          • Packets receivedإجمالي عدد الحزم المرسلة من الوجهة إلى المصدر منذ آخر تحديث.:
          • Bytes receivedإجمالي عدد بايت الحزم المرسلة من الوجهة إلى المصدر منذ آخر تحديث.: تتضمن بايتات الحزمة رأس الحزمة والحمولة.

Flow encryption لديه حالات التشفير المحتملة التالية:

حالة التشفير Description
X الاتصال مشفر. تم تكوين التشفير ، وقام النظام الأساسي بتشفير الاتصال.
NX الاتصال غير مشفر. يتم تسجيل هذا الحدث في سيناريوهين:
- عندما لا يتم ضبط التشفير.
- عندما يتصل جهاز ظاهري مشفر بنقطة نهاية تفتقر إلى التشفير (مثل نقطة نهاية الإنترنت).
NX_HW_NOT_SUPPORTED الأجهزة غير مدعومة. يتم تكوين التشفير، ولكن الجهاز الظاهري يعمل على مضيف لا يدعم التشفير. تحدث هذه المشكلة عادة لأن مصفوفة البوابة القابلة للبرمجة الميدانية (FPGA) غير متصلة بالمضيف أو أنها معيبة. أبلغ Microsoft عن هذه المشكلة للتحقيق فيها.
NX_SW_NOT_READY البرنامج غير جاهز. يتم تكوين التشفير، ولكن مكون البرنامج (GFT) في مكدس الشبكة المضيف غير جاهز لمعالجة الاتصالات المشفرة. يمكن أن تحدث هذه المشكلة عند بدء تشغيل الجهاز الظاهري لأول مرة أو إعادة التشغيل أو إعادة نشره. يمكن أن يحدث ذلك أيضا عند وجود تحديث لمكونات الشبكة على المضيف حيث يتم تشغيل الجهاز الظاهري. في كل هذه السيناريوهات، يتم إسقاط الحزمة. يجب أن تكون المشكلة مؤقتة. يجب أن يبدأ التشفير في العمل بعد تشغيل الجهاز الظاهري بالكامل أو اكتمال تحديث البرنامج على المضيف. إذا كانت المشكلة ذات مدة أطول، فقم بإبلاغ Microsoft بها للتحقيق فيها.
NX_NOT_ACCEPTED إسقاط بسبب عدم وجود تشفير. يتم تكوين التشفير على كل من نقاط النهاية المصدر والوجهة، مع إسقاط النهج غير المشفرة. إذا فشل تشفير حركة المرور، يتم إسقاط الحزمة.
NX_NOT_SUPPORTED الاكتشاف غير مدعوم. يتم تكوين التشفير، ولكن لم يتم إنشاء جلسة التشفير لأن مكدس الشبكات المضيف لا يدعم الاكتشاف. في هذه الحالة، يتم إسقاط الحزمة. إذا واجهت هذه المشكلة، فقم بإبلاغ Microsoft عنها للتحقيق فيها.
NX_LOCAL_DST الوجهة على نفس المضيف. يتم تكوين التشفير، ولكن تعمل الأجهزة الظاهرية المصدر والوجهة على نفس مضيف Azure. في هذه الحالة، لا يتم تشفير الاتصال حسب التصميم.
NX_FALLBACK العودة إلى عدم التشفير. يتم تكوين التشفير باستخدام نهج السماح بعدم التشفير لكل من نقاط النهاية المصدر والوجهة. حاول النظام التشفير ولكن واجه مشكلة. في هذه الحالة، يسمح بالاتصال ولكن لا يتم تشفيره. على سبيل المثال، هبط جهاز ظاهري في البداية على عقدة تدعم التشفير، ولكن تمت إزالة هذا الدعم لاحقا.

نسبة استخدام الشبكة في شبكاتك الظاهرية غير مشفرة (NX) بشكل افتراضي. بالنسبة لنسبة استخدام الشبكة المشفرة، راجع تشفير الشبكة الظاهرية.

نموذج سجل السجل

في المثال التالي لسجلات تدفق الشبكة الظاهرية، تتبع السجلات المتعددة قائمة الخصائص الموضحة سابقا.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

حساب مجموعة السجل والنطاق الترددي

جدول يوضح تنسيق سجل تدفق الشبكة الظاهرية.

فيما يلي مثال على حساب النطاق الترددي لمجموعات التدفق من محادثة TCP بين 203.0.113.105:35370 و 10.0.0.5:23:

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

بالنسبة لحالتي التدفق التابع (C) والنهاية (E)، تكون أعداد البايت والحزم عبارة عن أعداد إجمالية من وقت سجل التسلسل الخاص بالتدفق السابق. في مثال المحادثة، العدد الإجمالي للحزم المنقولة هو 1,021 + 52 + 8,005 + 47 = 9,125. العدد الإجمالي للبايت المنقولة هو 588,096 + 29,952 + 4,610,880 + 27,072 = 5,256,000.

اعتبارات سجلات تدفق الشبكة الظاهرية

حساب التخزين

  • الموقع: يجب أن يكون حساب التخزين في نفس منطقة الشبكة الظاهرية.
  • الاشتراك: يجب أن يكون حساب التخزين في نفس اشتراك الشبكة الظاهرية أو في اشتراك مقترن بنفس مستأجر Microsoft Entra لاشتراك الشبكة الظاهرية.
  • مستوى الأداء: يجب أن يكون حساب التخزين قياسيا. حسابات التخزين المميزة غير مدعومة.
  • تدوير المفاتيح المدار ذاتيا: إذا قمت بتغيير مفاتيح الوصول أو تدويرها إلى حساب التخزين الخاص بك، فستتوقف سجلات تدفق الشبكة الظاهرية عن العمل. لإصلاح هذه المشكلة، يجب تعطيل سجلات تدفق الشبكة الظاهرية ثم إعادة تمكينها.

حركة مرور بوابة ExpressRoute

لا يتم تسجيل التدفقات الصادرة من الأجهزة الظاهرية (VMs) إلى دائرة ExpressRoute إذا تم تمكين تسجيل التدفق على الشبكة الفرعية لبوابة ExpressRoute. يجب تسجيل هذه التدفقات في الشبكة الفرعية أو بطاقة واجهة الشبكة (NIC) الخاصة بالجهاز الظاهري. تتجاوز نسبة استخدام الشبكة أيضا بوابة ExpressRoute عند تمكين FastPath ولا يتم تسجيلها إذا تم تمكين تسجيل التدفق على الشبكة الفرعية لبوابة ExpressRoute.

حركة مرور نقطة النهاية الخاصة

لا يمكن تسجيل نسبة استخدام الشبكة في نقطة النهاية الخاصة نفسها. يمكنك التقاط نسبة استخدام الشبكة إلى نقطة نهاية خاصة في الجهاز الظاهري المصدر. يتم تسجيل نسبة استخدام الشبكة باستخدام عنوان IP المصدر للجهاز الظاهري وعنوان IP الوجهة لنقطة النهاية الخاصة. يمكنك استخدام PrivateEndpointResourceId الحقل لتحديد نسبة استخدام الشبكة المتدفقة إلى نقطة نهاية خاصة. لمزيد من المعلومات، راجع مخطط تحليلات نسبة استخدام المرور.

خدمات غير متوافقة

حاليا، لا تدعم خدمات Azure هذه سجلات تدفق الشبكة الظاهرية:

Note

لا تدعم خدمات التطبيقات المنشورة ضمن خطة Azure App Service سجلات تدفق الشبكة الظاهرية. لمعرفة المزيد، راجع كيفية عمل تكامل الشبكة الظاهرية.

Pricing

  • يتم فرض رسوم على سجلات تدفق الشبكة الظاهرية لكل غيغابايت من سجلات تدفق الشبكة التي تم جمعها وتأتي مع طبقة مجانية تبلغ 5 جيجابايت/شهر لكل اشتراك.

  • إذا تم تمكين تحليلات نسبة استخدام الشبكة باستخدام سجلات تدفق الشبكة الظاهرية، يتم تطبيق تسعير تحليلات نسبة استخدام الشبكة بمعدلات معالجة لكل جيجابايت. لا يتم تقديم تحليلات حركة المرور بمستوى مجاني من التسعير. لمزيد من المعلومات، راجع تسعير Network Watcher.

  • يتم فرض رسوم على تخزين السجلات بشكل منفصل. لمزيد من المعلومات، راجع تسعير Azure Blob Storage.

السيناريوهات المدعومة

يوضح الجدول التالي نطاق دعم سجلات التدفق.

Scope سجلات تدفق مجموعة أمان الشبكة سجلات تدفق الشبكة الظاهرية
وحدات البايت والحزم في التدفقات عديمة الحالة غير مدعوم Supported
تحديد تشفير الشبكة الظاهرية غير مدعوم Supported
إدارة Azure API غير مدعوم Supported
Azure Application Gateway غير مدعوم Supported
مدير الشبكة الظاهرية Azure غير مدعوم Supported
بوابة ExpressRoute غير مدعوم Supported
مجموعات توسيع الجهاز الافتراضي Supported Supported
بوابة VPN غير مدعوم Supported

Availability

تسرد الجداول التالية المناطق المدعومة حيث يمكنك تمكين سجلات تدفق الشبكة الظاهرية.

Region سجلات تدفق مجموعة أمان الشبكة سجلات تدفق الشبكة الظاهرية تحليلات نسبة استخدام الشبكة مساحة عمل Log Analytics
Brazil South
Brazil Southeast
Canada Central
Canada East
Central US
East US
شرق الولايات المتحدة 2
Mexico Central
وسط شمال الولايات المتحدة
جنوب وسط الولايات المتحدة
غرب وسط الولايات المتحدة
West US
غرب الولايات المتحدة 2
غرب الولايات المتحدة الأمريكية 3

المحتوى ذو الصلة

  • Last updated on