تسجيل التدفق لمجموعات أمان الشبكة
يعد تسجيل تدفق مجموعة أمان الشبكة (NSG) إحدى ميزات Azure Network Watcher التي تسمح لك بتسجيل معلومات حول حركة مرور IP المتدفقة من خلال مجموعة أمان الشبكة. يتم إرسال بيانات التدفق إلى Azure Storage من حيث يمكنك الوصول إليها وتصديرها إلى أي أداة مرئية أو حل إدارة معلومات الأمان والأحداث (SIEM) أو نظام الكشف عن التسلل (IDS) الذي تختاره.
لماذا يجب استخدام سجلات التدفق؟
من الضروري مراقبة الشبكة وإدارتها ومعرفة شبكتك الخاصة حتى تتمكن من حمايتها وتحسينها. تحتاج إلى معرفة الحالة الحالية للشبكة، ومن يتصل، ومن أين يتصل المستخدمون. تحتاج أيضا إلى معرفة المنافذ المفتوحة على الإنترنت، وسلوك الشبكة المتوقع، وسلوك الشبكة غير المنتظم، وعندما يحدث ارتفاع مفاجئ في حركة المرور.
سجلات التدفق هي مصدر الحقيقة لجميع أنشطة الشبكة في بيئة سحابتك. سواء كنت في شركة ناشئة تحاول تحسين الموارد أو مؤسسة كبيرة تحاول اكتشاف الاختراق، يمكن أن تساعد سجلات التدفق. يمكنك استخدامها لتحسين تدفقات الشبكة ومراقبة معدل النقل والتحقق من التوافق واكتشاف الاختراقات والمزيد.
حالات الاستخدام الشائعة
مراقبة الشبكة
- تحديد نسبة استخدام الشبكة غير المعروفة أو غير المرغوب فيها.
- مراقبة مستويات حركة المرور واستهلاك النطاق الترددي.
- تصفية سجلات التدفق بواسطة IP والمنفذ لفهم سلوك التطبيق.
- تصدير سجلات التدفق إلى أدوات التحليلات والتصور التي تختارها لإعداد لوحات معلومات المراقبة.
مراقبة الاستخدام والتحسين
- تحديد أفضل المتحدثين في شبكتك.
- الدمج مع بيانات GeoIP لتحديد حركة المرور عبر المنطقة.
- فهم نمو حركة المرور للتنبؤ بالقدرات.
- استخدم البيانات لإزالة قواعد نسبة استخدام الشبكة المقيدة للغاية.
التوافق
- استخدم بيانات التدفق للتحقق من عزل الشبكة والتوافق مع قواعد الوصول للمؤسسة.
الأدلة الجنائية للشبكة وتحليل الأمان
- تحليل تدفقات الشبكة من برامج IPs وواجهات الشبكة المخترقة.
- تصدير سجلات التدفق إلى أي إدارة معلومات الأمان والأحداث أو أداة IDS من اختيارك.
كيفية عمل سجلات تدفق NSG
تتضمن الخصائص الرئيسية لسجلات تدفق NSG ما يلي:
- تعمل سجلات التدفق في الطبقة 4 من نموذج Open Systems Interconnection (OSI) وتسجل جميع تدفقات IP التي تنتقل داخل وخارج مجموعة أمان الشبكة.
- يتم جمع السجلات على فترات زمنية مدتها دقيقة واحدة من خلال النظام الأساسي Azure. لا تؤثر على موارد Azure أو أداء الشبكة بأي شكل من الأشكال.
- تتم كتابة السجلات بتنسيق JSON وتظهر التدفقات الصادرة والواردة لكل قاعدة مجموعة أمان شبكة.
- يحتوي كل سجل على واجهة الشبكة (NIC) التي ينطبق عليها التدفق ومعلومات 5 مجموعات وقرار حركة المرور ومعلومات معدل النقل (للإصدار 2 فقط).
- تحتوي سجلات تدفق NSG على ميزة استبقاء تسمح بحذف السجلات تلقائيا حتى عام بعد إنشائها.
إشعار
يتوفر الاستبقاء فقط إذا كنت تستخدم حسابات تخزين v2 للأغراض العامة.
تتضمن المفاهيم الأساسية لسجلات التدفق ما يلي:
- يتم تنظيم الشبكات المعرفة بالبرامج حول الشبكات الظاهرية والشبكات الفرعية. يمكنك إدارة أمان هذه الشبكات الظاهرية والشبكات الفرعية باستخدام مجموعات أمان الشبكة.
- تحتوي مجموعة أمان الشبكة على قواعد أمان تسمح أو ترفض نسبة استخدام الشبكة إلى موارد Azure التي تتصل بها مجموعة أمان الشبكة أو ترفضها. يمكن إقران مجموعة أمان الشبكة بشبكة فرعية أو واجهة شبكة لجهاز ظاهري (VM). للحصول على مزيد من المعلومات، راجع نظرة عامة حول مجموعة أمان الشبكة.
- يتم تقييم جميع تدفقات نسبة استخدام الشبكة في شبكتك من خلال القواعد الموجودة في مجموعة أمان الشبكة القابلة للتطبيق. نتيجة هذه التقييمات هي سجلات تدفق NSG.
- يتم جمع سجلات تدفق NSG من خلال النظام الأساسي Azure ولا تتطلب أي تغيير في موارد Azure.
- هناك نوعان من قواعد مجموعة أمان الشبكة: الإنهاء وعدم الإنهاء. لكل منها سلوكيات تسجيل مختلفة:
- يتم إنهاء قواعد الرفض . تقوم مجموعة أمان الشبكة التي ترفض حركة المرور بتسجيلها في سجلات التدفق. تتوقف المعالجة في هذه الحالة بعد أن ترفض أي مجموعة أمان الشبكة نسبة استخدام الشبكة.
- قواعد السماح غير منتهية. إذا كانت مجموعة أمان الشبكة تسمح بحركة المرور، تستمر المعالجة إلى مجموعة أمان الشبكة التالية. مجموعة أمان الشبكة الأخيرة التي تسمح بحركة المرور بتسجيل نسبة استخدام الشبكة إلى سجلات التدفق.
- تتم كتابة سجلات تدفق NSG إلى حسابات التخزين. يمكنك تصدير سجلات تدفق NSG ومعالجتها وتحليلها وتصورها باستخدام أدوات مثل تحليلات حركة مرور Network Watcher وSplunk وGrafana وSluthwatch.
تنسيق السجل
تتضمن سجلات تدفق NSG الخصائص التالية:
time: الوقت بالتوقيت العالمي المتفق عليه عند تسجيل الحدث.systemId: معرف النظام لمجموعة أمان الشبكة.category: فئة الحدث. الفئة هي دائماNetworkSecurityGroupFlowEvent.resourceid: معرف المورد لمجموعة أمان الشبكة.operationName: دائماNetworkSecurityGroupFlowEvents.properties: مجموعة من خصائص التدفق:Version: رقم الإصدار لمخطط حدث سجل التدفق.flows: مجموعة من التدفقات. تحتوي هذه الخاصية على إدخالات متعددة لقواعد مختلفة.rule: القاعدة التي يتم سرد التدفقات لها.flows: مجموعة من التدفقات.mac: عنوان MAC ل NIC للجهاز الظاهري حيث تم جمع التدفق.flowTuples: سلسلة تحتوي على خصائص متعددة لمجموعة التدفق بتنسيق مفصول بفواصل:Time stamp: الطابع الزمني لوقت حدوث التدفق بتنسيق فترة UNIX.Source IP: عنوان IP المصدر.Destination IP: عنوان IP الوجهة.Source port: منفذ المصدر.Destination port: منفذ الوجهة.Protocol: بروتوكول التدفق. القيم الصالحة هيTل TCP وUDPU.Traffic flow: اتجاه تدفق نسبة استخدام الشبكة. القيم الصالحة هيIللواردة والصادرةO.Traffic decision: ما إذا كان قد تم السماح بنسبة استخدام الشبكة أو رفضها. القيم الصالحة هيAللقيم المسموح بها وDللرفض.Flow State - Version 2 Only: حالة التدفق. الحالات المحتملة هي:B: ابدأ، عند إنشاء تدفق. لم يتم توفير الإحصائيات.C: متابعة لتدفق مستمر. يتم توفير الإحصائيات على فترات 5 دقائق.E: إنهاء، عند إنهاء تدفق. يتم توفير الإحصائيات.
Packets sent - Version 2 Only: إجمالي عدد حزم TCP المرسلة من المصدر إلى الوجهة منذ التحديث الأخير.Bytes sent - Version 2 Only: إجمالي عدد وحدات بايت حزمة TCP المرسلة من المصدر إلى الوجهة منذ التحديث الأخير. تتضمن بايتات الحزمة رأس الحزمة والحمولة.Packets received - Version 2 Only: إجمالي عدد حزم TCP المرسلة من الوجهة إلى المصدر منذ آخر تحديث.Bytes received - Version 2 Only: إجمالي عدد وحدات بايت حزمة TCP المرسلة من الوجهة إلى المصدر منذ التحديث الأخير. تتضمن حزم البايت رأس الحزمة والحمولة.
يقدم الإصدار 2 من سجلات تدفق NSG مفهوم حالة التدفق. يمكنك تكوين أي إصدار من سجلات التدفق التي تتلقاها.
يتم تسجيل حالة B التدفق عند بدء تدفق. حالة C التدفق وحالة E التدفق هي الحالات التي تشير إلى استمرار التدفق وإنهاء التدفق، على التوالي. تحتوي الحالتان C و E على معلومات النطاق الترددي لحركة المرور.
نموذج سجلات السجل
في الأمثلة التالية من سجل تدفق NSG، تتبع سجلات متعددة قائمة الخصائص الموضحة سابقا.
إشعار
القيم في الخاصية flowTuples هي قائمة مفصولة بفواصل.
الإصدار 1
فيما يلي مثال لتنسيق سجل تدفق مجموعة أمان الشبكة للإصدار 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
الإصدار 2
فيما يلي مثال لتنسيق سجل تدفق مجموعة أمان الشبكة للإصدار 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
حساب مجموعة السجل والنطاق الترددي
فيما يلي مثال لحساب النطاق الترددي لمجموعة التدفق من محادثة TCP بين 185.170.185.105:35370 و10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
بالنسبة إلى حالات تدفق المتابعة (C) والنهاية (E)، تعد أعداد البايت والحزمة أعدادا مجمعة من وقت سجل مجموعة التدفق السابق. في محادثة المثال، إجمالي عدد الحزم المنقولة هو 1021+52+8005+47 = 9125. إجمالي عدد وحدات البايت التي تم نقلها هو 588096+29952+4610880+27072 = 5256000.
إدارة سجلات تدفق NSG
لمعرفة كيفية إنشاء سجلات تدفق NSG أو تغييرها أو تعطيلها أو حذفها، راجع أحد الدلائل التالية:
العمل مع سجلات التدفق
قراءة وتصدير سجلات التدفق
لمعرفة كيفية قراءة سجلات تدفق NSG وتصديرها، راجع أحد الدلائل التالية:
- تنزيل سجلات التدفق وعرضها من المدخل
- قراءة سجلات التدفق باستخدام وظائف PowerShell
- تصدير سجلات تدفق NSG إلى Splunk
يتم تخزين ملفات سجل تدفق NSG في حساب تخزين في المسار التالي:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
تصور سجلات التدفق
لمعرفة كيفية تصور سجلات تدفق NSG، راجع أحد الأدلة التالية:
- تصور سجلات تدفق NSG باستخدام تحليلات نسبة استخدام الشبكة ل Network Watcher
- تصور سجلات تدفق NSG باستخدام Power BI
- تصور سجلات تدفق NSG باستخدام Elastic Stack
- إدارة وتحليل سجلات تدفق NSG باستخدام Grafana
- إدارة وتحليل سجلات تدفق NSG باستخدام Graylog
اعتبارات سجلات تدفق NSG
حساب التخزين
- الموقع: يجب أن يكون حساب التخزين في نفس المنطقة مثل مجموعة أمان الشبكة.
- الاشتراك: يجب أن يكون حساب التخزين في نفس الاشتراك لمجموعة أمان الشبكة أو في اشتراك مقترن بنفس مستأجر Microsoft Entra لاشتراك مجموعة أمان الشبكة.
- مستوى الأداء: يجب أن يكون حساب التخزين قياسيا. حسابات التخزين المتميزة غير مدعومة.
- تدوير المفتاح المدار ذاتيا: إذا قمت بتغيير مفاتيح الوصول أو تدويرها إلى حساب التخزين الخاص بك، فستتوقف سجلات تدفق NSG عن العمل. لإصلاح هذه المشكلة، يجب تعطيل سجلات تدفق NSG ثم إعادة تمكينها.
التكلفة
تتم فوترة تسجيل تدفق NSG على حجم السجلات المنتجة. يمكن أن يؤدي ارتفاع حجم حركة المرور إلى حجم كبير لسجل التدفق، ما يزيد من التكاليف المرتبطة بها.
لا يتضمن تسعير سجل تدفق NSG التكاليف الأساسية للتخزين. الاحتفاظ ببيانات سجلات تدفق NSG إلى الأبد أو استخدام ميزة نهج الاستبقاء يعني تكبد تكاليف التخزين لفترات طويلة من الوقت.
قواعد TCP الواردة غير الافتراضية
يتم تنفيذ مجموعات أمان الشبكة كجدار حماية ذي حالة. ولكن بسبب قيود النظام الأساسي الحالية، يتم تنفيذ قواعد الأمان غير الافتراضية لمجموعة أمان الشبكة التي تؤثر على تدفقات TCP الواردة بطريقة عديمة الحالة.
تصبح التدفقات المتأثرة بالقواعد الواردة غير الافتراضية غير منتهية. بالإضافة إلى ذلك، لا يتم تسجيل عدد البايت والحزم لهذه التدفقات. وبسبب هذه العوامل، يمكن أن يختلف عدد وحدات البايت والحزم التي تم الإبلاغ عنها في سجلات تدفق NSG (وتحليلات حركة مرور Network Watcher) عن الأرقام الفعلية.
يمكنك حل هذا الاختلاف عن طريق تعيين الخاصية FlowTimeoutInMinutes على الشبكات الظاهرية المقترنة إلى قيمة غير خالية. يمكنك تحقيق السلوك الافتراضي ذي الحالة عن طريق تعيين FlowTimeoutInMinutes إلى 4 دقائق. بالنسبة للاتصالات طويلة الأمد حيث لا تريد أن يتم قطع اتصال التدفقات بخدمة أو وجهة، يمكنك تعيين FlowTimeoutInMinutes إلى قيمة تصل إلى 30 دقيقة. استخدم Set-AzVirtualNetwork لتعيين FlowTimeoutInMinutes الخاصية:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
التدفقات الواردة المسجلة من عناوين IP عبر الإنترنت إلى الأجهزة الظاهرية بدون عناوين IP العامة
تستخدم الأجهزة الظاهرية (VMs) التي لا تحتوي على عنوان IP عام مقترن ب NIC ك IP عام على مستوى المثيل، أو التي تعد جزءا من تجمع خلفي أساسي لموازن التحميل، SNAT الافتراضي. يعين Azure عنوان IP لتلك الأجهزة الظاهرية لتسهيل الاتصال الصادر. ونتيجة لذلك، قد ترى إدخالات سجل التدفق للتدفقات من عناوين IP عبر الإنترنت، إذا كان التدفق متجها إلى منفذ في نطاق المنافذ التي تم تعيينها ل SNAT.
على الرغم من أن Azure لا يسمح بهذه التدفقات إلى الجهاز الظاهري، يتم تسجيل المحاولة وتظهر في سجل تدفق Network Watcher NSG حسب التصميم. نوصي بحظر حركة مرور الإنترنت الواردة غير المرغوب فيها بشكل صريح مع مجموعة أمان الشبكة.
مجموعة أمان الشبكة على شبكة فرعية لبوابة ExpressRoute
لا نوصي بتسجيل التدفقات على شبكة فرعية لبوابة Azure ExpressRoute لأن نسبة استخدام الشبكة يمكن أن تتجاوز هذا النوع من البوابات (على سبيل المثال، FastPath). إذا تم ربط NSG بشبكة فرعية لبوابة ExpressRoute وتم تمكين سجلات تدفق NSG، فقد لا يتم التقاط التدفقات الصادرة إلى الأجهزة الظاهرية. يجب تسجيل هذه التدفقات في الشبكة الفرعية أو واجهة الشبكة من الجهاز الظاهري.
نسبة استخدام الشبكة إلى نقطة نهاية خاصة
يمكن التقاط نسبة استخدام الشبكة إلى نقاط النهاية الخاصة فقط في الجهاز الظاهري المصدر. يتم تسجيل نسبة استخدام الشبكة بعنوان IP المصدر للجهاز الظاهري وعنوان IP الوجهة لنقطة النهاية الخاصة. لا يمكن تسجيل حركة المرور في نقطة النهاية الخاصة نفسها بسبب قيود النظام الأساسي.
دعم مجموعات أمان الشبكة المرتبطة بالشبكة الفرعية ل Application Gateway v2
سجلات تدفق NSG لمجموعات أمان الشبكة المرتبطة بالشبكة الفرعية Azure Application Gateway V2 غير مدعومة حاليا. يتم دعم سجلات تدفق NSG لمجموعات أمان الشبكة المرتبطة بالشبكة الفرعية ل Application Gateway V1.
الخدمات غير المتوافقة
حاليا، لا تدعم خدمات Azure هذه سجلات تدفق NSG:
- مثيلات Azure Container
- Azure Logic Apps
- دالات Azure
- محلل Azure DNS الخاص
- خدمة التطبيق
- قاعدة بيانات Azure ل MariaDB
- Azure Database for MySQL
- Azure Database for PostgreSQL
إشعار
لا تدعم خدمات التطبيقات التي تم نشرها ضمن خطة Azure App Service سجلات تدفق NSG. لمعرفة المزيد، راجع كيفية عمل تكامل الشبكة الظاهرية.
أفضل الممارسات
تمكين سجلات تدفق NSG على الشبكات الفرعية الهامة: يجب تمكين سجلات التدفق على جميع الشبكات الفرعية الهامة في اشتراكك كأفضل ممارسة للتدقيق والأمان.
تمكين سجلات تدفق NSG على جميع مجموعات أمان الشبكة المرفقة بمورد: يتم تكوين سجلات تدفق NSG على مجموعات أمان الشبكة. يرتبط التدفق بقاعدة مجموعة أمان شبكة واحدة فقط. في السيناريوهات التي تستخدم فيها مجموعات أمان شبكة متعددة، نوصي بتمكين سجلات تدفق NSG على جميع مجموعات أمان الشبكة المطبقة على الشبكة الفرعية للمورد وواجهة الشبكة (NIC) لضمان تسجيل جميع نسبة استخدام الشبكة. لمزيد من المعلومات، راجع كيفية تصفية مجموعات أمان الشبكة لنسبة استخدام الشبكة.
فيما يلي بعض السيناريوهات الشائعة:
- NIC متعددة على جهاز ظاهري: إذا تم إرفاق عدة بطاقات NIC بجهاز ظاهري، يجب تمكين سجلات التدفق عليها جميعا.
- مجموعة أمان الشبكة على كل من مستويات NIC والشبكة الفرعية: إذا تم تكوين مجموعة أمان شبكة على مستوى NIC ومستوى الشبكة الفرعية، يجب تمكين سجلات التدفق في كلتا مجموعتي أمان الشبكة. التسلسل الدقيق لمعالجة القواعد بواسطة مجموعات أمان الشبكة على مستويات NIC والشبكة الفرعية يعتمد على النظام الأساسي ويختلف من حالة إلى أخرى. يتم تسجيل تدفقات نسبة استخدام الشبكة مقابل مجموعة أمان الشبكة التي تمت معالجتها أخيرا. تغير حالة النظام الأساسي ترتيب المعالجة. يجب عليك التحقق من كل من سجلات التدفق.
- الشبكة الفرعية لمجموعة Azure Kubernetes Service (AKS): تضيف AKS مجموعة أمان شبكة افتراضية في الشبكة الفرعية لنظام المجموعة. يجب تمكين سجلات تدفق NSG على مجموعة أمان الشبكة هذه.
توفير التخزين: توفير التخزين بانسجام مع الحجم المتوقع لسجلات التدفق.
التسمية: يجب أن يصل اسم مجموعة أمان الشبكة إلى 80 حرفا، ويجب أن يصل اسم قاعدة مجموعة أمان الشبكة إلى 65 حرفا. إذا تجاوزت الأسماء حدود الأحرف الخاصة بها، فقد يتم اقتطاعها أثناء التسجيل.
استكشاف المشكلات الشائعة وإصلاحها
لا يمكنني تمكين سجلات تدفق NSG
قد تحصل على خطأ AuthorizationFailed أو GatewayAuthenticationFailed ، إذا لم تقم بتمكين موفر موارد Microsoft.Insights على اشتراكك قبل محاولة تمكين سجلات تدفق NSG. لمزيد من المعلومات، راجع تسجيل موفر Insights.
قمت بتمكين سجلات تدفق NSG ولكن لا أرى البيانات في حساب التخزين الخاص بي
قد تكون هذه المشكلة مرتبطة بما يلي:
وقت الإعداد: قد تستغرق سجلات تدفق NSG ما يصل إلى 5 دقائق لتظهر في حساب التخزين الخاص بك (إذا تم تكوينها بشكل صحيح). يظهر ملف PT1H.json. لمزيد من المعلومات، راجع تنزيل سجل التدفق.
عدم وجود نسبة استخدام الشبكة على مجموعات أمان الشبكة: في بعض الأحيان لا ترى سجلات لأن أجهزتك الظاهرية غير نشطة، أو لأن عوامل التصفية المصدر في Application Gateway أو الأجهزة الأخرى تمنع نسبة استخدام الشبكة إلى مجموعات أمان الشبكة.
التسعير
يتم فرض رسوم على سجلات تدفق NSG لكل غيغابايت من سجلات تدفق الشبكة التي تم جمعها وتأتي مع طبقة مجانية تبلغ 5 غيغابايت/شهر لكل اشتراك.
إذا تم تمكين تحليلات نسبة استخدام الشبكة مع سجلات تدفق NSG، يتم تطبيق تسعير تحليلات نسبة استخدام الشبكة بمعدلات معالجة لكل غيغابايت. لا يتم تقديم تحليلات نسبة استخدام الشبكة مع مستوى مجاني من التسعير. لمزيد من المعلومات، راجع تسعير Network Watcher.
يتم فرض رسوم على تخزين السجلات بشكل منفصل. لمزيد من المعلومات، راجع تسعير Azure Blob Storage.
المحتوى ذو الصلة
- لمعرفة كيفية إدارة سجلات تدفق NSG، راجع إنشاء سجلات تدفق NSG أو تغييرها أو تعطيلها أو حذفها باستخدام مدخل Microsoft Azure.
- للعثور على إجابات لبعض الأسئلة الأكثر شيوعا حول سجلات تدفق NSG، راجع الأسئلة المتداولة حول سجلات التدفق.
- للتعرف على تحليلات نسبة استخدام الشبكة، راجع نظرة عامة على تحليلات نسبة استخدام الشبكة.