إدارة سجلات تدفق NSG باستخدام نهج Azure

هام

في 30 سبتمبر 2027، سيتم إيقاف سجلات تدفق مجموعة أمان الشبكة (NSG). كجزء من هذا الإيقاف، لن تتمكن بعد الآن من إنشاء سجلات تدفق NSG جديدة بدءا من 30 يونيو 2025. نوصي بالترحيل إلى سجلات تدفق الشبكة الظاهرية، والتي تتغلب على قيود سجلات تدفق NSG. بعد تاريخ الإيقاف، لن يتم دعم تحليلات نسبة استخدام الشبكة الممكنة مع سجلات تدفق NSG، وسيتم حذف موارد سجلات تدفق NSG الموجودة في اشتراكاتك. ومع ذلك، لن يتم حذف سجلات سجلات تدفق NSG وستستمر في اتباع نهج الاستبقاء الخاصة بها. لمزيد من المعلومات، راجع الإعلان الرسمي.

يساعدك نهج Azure على فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة. لمعرفة المزيد حول نهج Azure، راجع ما هو نهج Azure؟ والبدء السريع: إنشاء تعيين نهج لتحديد الموارد غير المتوافقة.

في هذه المقالة، ستتعلم كيفية استخدام نهجين مضمنين لإدارة إعداد سجلات تدفق مجموعة أمان الشبكة (NSG). يشير النهج الأول إلى أي مجموعة أمان شبكة لا تحتوي على سجلات تدفق ممكنة. ينشر النهج الثاني تلقائيا سجلات تدفق NSG التي لا تحتوي على سجلات تدفق ممكنة.

تدقيق مجموعات أمان الشبكة باستخدام نهج مضمن

يجب تكوين سجلات التدفق لكل نهج مجموعة أمان شبكة يدقق جميع مجموعات أمان الشبكة الموجودة في نطاق عن طريق التحقق من جميع كائنات Azure Resource Manager من النوع Microsoft.Network/networkSecurityGroups. ثم يتحقق هذا النهج من سجلات التدفق المرتبطة عبر خاصية سجلات التدفق لمجموعة أمان الشبكة، ويعلم أي مجموعة أمان شبكة لا تحتوي على سجلات تدفق ممكنة.

لتدقيق سجلات التدفق باستخدام النهج المضمن، اتبع الخطوات التالية:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy من نتائج البحث.

   

3. حدد التعيينات، ثم حدد تعيين نهج.

   

4. حدد علامة الحذف (...) بجوار Scope لاختيار اشتراك Azure الذي يحتوي على مجموعات أمان الشبكة التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على مجموعات أمان الشبكة. بعد إجراء التحديدات، اختر الزر تحديد .

   

5. حدد علامة الحذف (...) بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل سجل التدفق في مربع البحث، ثم حدد عامل التصفية المضمن . من نتائج البحث، حدد سجلات التدفق التي يجب تكوينها لكل مجموعة أمان شبكة، ثم حدد إضافة.

   

6. أدخل اسما في اسم الواجب، وأدخل اسمك في تعيين بواسطة.

   لا يتطلب هذا النهج أي معلمات. كما أنه لا يحتوي على أي تعريفات أدوار، لذلك لا تحتاج إلى إنشاء تعيينات أدوار للهوية المدارة في علامة التبويب المعالجة .

7. حدد مراجعة + إنشاء، ثم حدد إنشاء.

   

8. حدد الامتثال . ابحث عن اسم واجبك، ثم حدده.

   

9. حدد Resource compliance للحصول على قائمة بجميع مجموعات أمان الشبكة غير المتوافقة.

   

نشر وتكوين سجلات تدفق NSG باستخدام نهج مضمن

يتحقق نهج نشر سجل تدفق مع مجموعة أمان الشبكة المستهدفة من جميع مجموعات أمان الشبكة الموجودة في نطاق عن طريق التحقق من جميع كائنات Azure Resource Manager من النوع Microsoft.Network/networkSecurityGroups. ثم يتحقق من سجلات التدفق المرتبطة عبر خاصية سجلات التدفق لمجموعة أمان الشبكة. إذا لم تكن الخاصية موجودة، ينشر النهج سجل تدفق.

لتعيين نهج deployIfNotExists :

1. قم بتسجيل الدخول إلى بوابة Azure.

2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy من نتائج البحث.

   

3. حدد التعيينات، ثم حدد تعيين نهج.

   

4. حدد علامة الحذف (...) بجوار Scope لاختيار اشتراك Azure الذي يحتوي على مجموعات أمان الشبكة التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على مجموعات أمان الشبكة. بعد إجراء التحديدات، اختر الزر تحديد .

   

5. حدد علامة الحذف (...) بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل سجل التدفق في مربع البحث، ثم حدد عامل التصفية المضمن . من نتائج البحث، حدد Deploy a flow log resource with target network security group، ثم حدد Add.

   

6. أدخل اسما في اسم الواجب، وأدخل اسمك في تعيين بواسطة.

   

7. حدد الزر التالي مرتين، أو حدد علامة التبويب معلمات . ثم أدخل القيم التالية أو حددها:

   الإعداد	القيمة‬
   منطقة NSG	حدد منطقة مجموعة أمان الشبكة التي تستهدفها باستخدام النهج.
   معرف التخزين	أدخل معرف المورد الكامل لحساب التخزين. يجب أن يكون حساب التخزين في نفس المنطقة مثل مجموعة أمان الشبكة. تنسيق معرف مورد التخزين هو /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
   Network Watchers RG	حدد مجموعة الموارد لمثيل Azure Network Watcher.
   اسم Network Watcher	أدخل اسم مثيل Network Watcher.

   

8. حدد التالي أو علامة التبويب معالجة . أدخل القيم التالية أو حددها:

   الإعداد	القيمة‬
   إنشاء مهمة معالجة	حدد خانة الاختيار إذا كنت تريد أن يؤثر النهج على الموارد الموجودة.
   إنشاء هوية مدارة	حدد خانة الاختيار.
   نوع الهوية المدارة	حدد نوع الهوية المدارة التي تريد استخدامها.
   موقع الهوية المعين من قبل النظام	حدد منطقة الهوية المعينة للنظام.
   النطاق	حدد نطاق الهوية المعينة من قبل المستخدم.
   الهويات المعينة للمستخدم الحالي	حدد الهوية المعينة من قبل المستخدم.

   إشعار

   تحتاج إلى إذن المساهم أو المالك لاستخدام هذا النهج.

   

9. حدد مراجعة + إنشاء، ثم حدد إنشاء.

10. حدد الامتثال . ابحث عن اسم واجبك، ثم حدده.

    

11. حدد Resource compliance للحصول على قائمة بجميع مجموعات أمان الشبكة غير المتوافقة.

    

12. اترك النهج يعمل لتقييم ونشر سجلات التدفق لجميع مجموعات أمان الشبكة غير المتوافقة. ثم حدد Resource compliance مرة أخرى للتحقق من حالة مجموعات أمان الشبكة (لا ترى مجموعات أمان الشبكة غير المتوافقة إذا أكمل النهج المعالجة الخاصة به).

    

المحتوى ذو الصلة

• لمعرفة المزيد حول سجلات تدفق NSG، راجع سجلات التدفق لمجموعات أمان الشبكة.
• للتعرف على استخدام النهج المضمنة مع تحليلات نسبة استخدام الشبكة، راجع إدارة تحليلات نسبة استخدام الشبكة باستخدام نهج Azure.
• لمعرفة كيفية استخدام قالب Azure Resource Manager (ARM) لنشر سجلات التدفق وتحليلات نسبة استخدام الشبكة، راجع تكوين سجلات تدفق NSG باستخدام قالب Azure Resource Manager.