تسجيل الموارد لمجموعة أمان الشبكة

تتضمن مجموعة أمان الشبكة (NSG) القواعد التي تسمح أو ترفض المرور إلى شبكة ظاهرية فرعية أو واجهة شبكة أو كليهما.

عند تمكين تسجيل الدخول لـ NSG، يمكنك جمع الأنواع التالية من معلومات سجل الموارد:

• الحدث: يتم تسجيل الإدخالات التي يتم تطبيق قواعد NSG لها على الأجهزة الظاهرية، استنادا إلى عنوان MAC.
• عداد القاعدة: يحتوي على إدخالات لعدد المرات التي يتم فيها تطبيق كل قاعدة NSG للسماح بنسبة استخدام الشبكة أو رفضها. يتم جمع حالة هذه القواعد كل 300 ثانية.

لا تتوفر سجلات الموارد إلا لـ NSGs التي تم توزيعها من خلال نموذج توزيع Azure Resource Manager. لا يمكنك تمكين تسجيل الموارد لمجموعات أمان الشبكة الموزعة من خلال نموذج التوزيع الكلاسيكي. لمزيد من المعلومات، راجع فهم نماذج التوزيع.

يتم تمكين تسجيل الموارد بشكل منفصل لكل NSG لتجميع البيانات التشخيصية لها. إذا كنت مهتما بالنشاط، أو التشغيل، السجلات بدلا من ذلك، راجع نظرة عامة على سجلات النظام الأساسي ل Azure. إذا كنت مهتما بتدفق نسبة استخدام شبكة IP عبر مجموعات أمان الشبكة، فشاهد سجلات التدفق لمجموعات أمان الشبكة.

تمكين التسجيل

يمكنك استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI لتمكين تسجيل الموارد.

مدخل Azure

1. سجّل الدخول إلى مدخل Azure.

2. في مربع البحث أعلى مدخل Microsoft Azure، أدخل مجموعات أمان الشبكة. حدد Network security group" في نتائج البحث.

3. حدد NSG الذي لتمكين التسجيل له.

4. ضمن Monitoring، حدد Diagnostic settings، ثم حدد Add diagnostic setting:

   

5. في إعداد التشخيص، أدخل اسما، مثل myNsgDiagnostic.

6. بالنسبة للسجلات، حدد allLogs أو حدد فئات فردية من السجلات. لمزيد من المعلومات حول كل فئة، راجع فئات السجل.

7. ضمن تفاصيل الوجهة، حدد وجهة واحدة أو أكثر:

   • إرسال إلى مساحة عمل Log Analytics
   • الأرشفة إلى حساب تخزين
   • البث إلى مركز أحداث
   • إرسال إلى حل الشريك

   لمزيد من المعلومات، راجع وجهات السجل.

8. حدد ⁧⁩حفظ⁧⁩.

9. عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

Azure PowerShell

ملاحظة

نوصي باستخدام وحدة Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

يمكنك تشغيل الأوامر الموجودة في هذا القسم في Azure Cloud Shell، أو عن طريق تشغيل PowerShell من جهاز الكمبيوتر الخاص بك. Azure Cloud Shell هو واجهة تفاعلية مجانية. يحتوي على أدوات Azure الشائعة والمثبتة مسبقًا والتي تم تكوينها للاستخدام مع حسابك.

إذا قمت بتشغيل PowerShell من جهاز الكمبيوتر الخاص بك، فأنت بحاجة إلى الوحدة النمطية Azure PowerShell، الإصدار 1.0.0 أو إصدار أحدث. بادر بتشغيل Get-Module -ListAvailable Az للعثور على الإصدار المثبت. إذا كنت بحاجة إلى الترقية، فراجع تثبيت الوحدة النمطية Azure PowerShell. إذا قمت بتشغيل PowerShell محليا، فستحتاج أيضا إلى تشغيل Connect-AzAccount cmdlet لتسجيل الدخول إلى Azure باستخدام حساب لديه الأذونات اللازمة.

لتمكين تسجيل الموارد، تحتاج معرّف NSG الحالي. إذا لم يكن لديك مجموعة أمان الشبكة موجودة، فقم بإنشاء واحدة باستخدام الأمر Cmdlet New-AzNetworkSecurityGroup .

احصل على مجموعة أمان الشبكة التي تريد تمكين تسجيل الموارد لها باستخدام Get-AzNetworkSecurityGroup cmdlet. قم بتخزين NSG في متغير لاستخدامه لاحقا. على سبيل المثال، لاسترداد NSG المسماة myNsg الموجودة في مجموعة موارد تسمى myResourceGroup، أدخل الأمر التالي:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

يمكنك كتابة سجلات الموارد إلى أنواع وجهات مختلفة. لمزيد من المعلومات، راجع وجهات السجل. في هذه المقالة، يتم إرسال السجلات إلى وجهة مساحة عمل Log Analytics . إذا لم يكن لديك مساحة عمل موجودة، يمكنك إنشاء مساحة عمل باستخدام الأمر New-AzOperationalInsightsWorkspace cmdlet.

استرداد مساحة عمل Log Analytics موجودة باستخدام Get-AzOperationalInsightsWorkspace cmdlet. على سبيل المثال، للحصول على مساحة عمل موجودة باسم myWorkspace وتخزينها في مجموعة موارد تسمى myWorkspaces، أدخل الأمر التالي:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

هناك فئتان من التسجيل يمكنك تمكينهما. لمزيد من المعلومات، راجع فئات السجل. تمكين تسجيل الموارد لمجموعة أمان الشبكة باستخدام الأمر New-AzDiagnosticSetting cmdlet. يسجل المثال التالي بيانات فئة الحدث والعداد إلى مساحة العمل لمجموعة أمان الشبكة. يستخدم معرفات NSG ومساحة العمل التي حصلت عليها مع الأوامر السابقة:

New-AzDiagnosticSetting `
   -Name myDiagnosticSetting `
   -ResourceId $Nsg.Id `
   -WorkspaceId $Oms.ResourceId

إذا كنت تريد تسجيل الدخول إلى وجهة مختلفة عن مساحة عمل Log Analytics، فاستخدم معلمة مناسبة في الأمر . لمزيد من المعلومات، راجع سجلات موارد Azure .

لمزيد من المعلومات حول الإعدادات، راجع New-AzDiagnosticSetting.

عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

Azure CLI

يمكنك تشغيل الأوامر في هذا القسم في Azure Cloud Shell، أو عن طريق تشغيل Azure CLI من الكمبيوتر الخاص بك. Azure Cloud Shell هو واجهة تفاعلية مجانية. يحتوي على أدوات Azure الشائعة والمثبتة مسبقًا والتي تم تكوينها للاستخدام مع حسابك.

إذا قمت بتشغيل CLI من الكمبيوتر الخاص بك، فأنت بحاجة إلى الإصدار 2.0.38 أو إصدار أحدث. شغّل az --version على جهاز الكمبيوتر الخاص بك، للعثور على الإصدار المُثبت. إذا كنت بحاجة إلى الترقية، فراجع تثبيت Azure CLI. إذا قمت بتشغيل CLI محليا، فستحتاج أيضا إلى تشغيل az login لتسجيل الدخول إلى Azure باستخدام حساب لديه الأذونات اللازمة.

لتمكين تسجيل الموارد، تحتاج معرّف NSG الحالي. إذا لم يكن لديك NSG موجودة، فقم بإنشاء واحدة باستخدام az network nsg create.

احصل على مجموعة أمان الشبكة التي تريد تمكين تسجيل الموارد لها وتخزينها باستخدام az network nsg show. على سبيل المثال، لاسترداد NSG المسماة myNsg الموجودة في مجموعة موارد تسمى myResourceGroup، أدخل الأمر التالي:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

يمكنك كتابة سجلات الموارد إلى أنواع وجهات مختلفة. لمزيد من المعلومات، راجع وجهات السجل. في هذه المقالة، يتم إرسال السجلات إلى وجهة مساحة عمل Log Analytics ، كمثال. لمزيد من المعلومات، راجع فئات السجل.

تمكين تسجيل الموارد لـ NSG باستخدام az monitor diagnostic-settings create. يسجل المثال التالي بيانات فئة الحدث والعداد إلى مساحة عمل موجودة تسمى myWorkspace، موجودة في مجموعة موارد تسمى myWorkspaces. يستخدم معرف NSG الذي قمت بحفظه باستخدام الأمر السابق.

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

إذا لم يكن لديك مساحة عمل موجودة، فقم بإنشاء مساحة باستخدام مدخل Microsoft Azure أو Azure PowerShell. هناك فئتان من التسجيل يمكنك تمكين السجلات من أجلهما.

إذا كنت تريد تسجيل البيانات لفئة واحدة فقط، فقم بإزالة الفئة التي لا تريد تسجيل البيانات لها في الأمر السابق. إذا كنت تريد تسجيل الدخول إلى وجهة مختلفة عن مساحة عمل Log Analytics، فاستخدم معلمة مناسبة. لمزيد من المعلومات، راجع سجلات موارد Azure .

عرض السجلات وتحليلها. لمزيد من المعلومات، راجع عرض السجلات وتحليلها.

وجهات السجل

يمكنك إرسال بيانات التشخيص إلى الخيارات التالية:

• مساحة عمل Log Analytics
• ⁧⁩مراكز أحداث Azure⁧⁩
• تخزين Azure
• تكاملات شركاء Azure Monitor

فئات السجلات

تتم كتابة البيانات بتنسيق JSON لفئات السجل التالية: عداد الحدث والقاعدة.

الحدث

يحتوي سجل الأحداث على معلومات حول قواعد NSG التي يتم تطبيقها على الأجهزة الظاهرية، استنادا إلى عنوان MAC. يتم تسجيل البيانات التالية لكل حدث. في المثال التالي، يتم تسجيل البيانات لجهاز ظاهري بعنوان IP 192.168.1.4 وعنوان وحدة تحكم وصول الوسائط (MAC) 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

عدّاد القاعدة

يحتوي سجل عدّاد القاعدة على معلومات حول كل قاعدة يتم تطبيقها على الموارد. يتم تسجيل بيانات المثال التالي في كل مرة يتم فيها تطبيق قاعدة. في المثال التالي، يتم تسجيل البيانات لجهاز ظاهري بعنوان IP 192.168.1.4 وعنوان وحدة تحكم وصول الوسائط (MAC) 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

ملاحظة

لم يتم تسجيل عنوان IP المصدر الخاص بالاتصال. يمكنك تمكين تسجيل تدفق NSG لمجموعة أمان الشبكة، والتي تسجل جميع معلومات عداد القاعدة وعنوان IP المصدر الذي بدأ الاتصال. تتم كتابة بيانات سجل تدفق مجموعة أمان شبكة الاتصال(NSG) في حساب Azure Storage. يمكنك تحليل البيانات باستخدام إمكانية تحليلات نسبة استخدام الشبكة في Azure Network Watcher.

عرض السجلات وتحليلها

إذا قمت بإرسال بيانات التشخيص إلى:

• سجلات Azure Monitor: يمكنك استخدام حل تحليلات مجموعة أمان الشبكة للحصول على رؤى محسنة. يوفر الحل تصورات لقواعد NSG التي تسمح أو ترفض حركة المرور، لكل عنوان وحدة تحكم وصول الوسائط، لواجهة الشبكة في جهاز ظاهري.

• حساب تخزين Azure: تتم كتابة البيانات إلى ملف PT1H.json . يمكنك العثور على:

  • سجل الأحداث الموجود في المسار التالي: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
  • سجل عداد القاعدة الموجود في المسار التالي: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

لمعرفة كيفية عرض بيانات سجل الموارد، يرجى مراجعة نظرة عامة على سجلات النظام الأساسي لـ Azure.

الخطوات التالية

• لمزيد من المعلومات حول تسجيل النشاط، راجع نظرة عامة على سجلات النظام الأساسي ل Azure.

  يتم تمكين تسجيل النشاط افتراضياً لـ NSGs التي تم إنشاؤها من خلال نموذج توزيع Azure. لتحديد العمليات التي تم إكمالها على NSGs في سجل النشاط، ابحث عن الإدخالات التي تحتوي على أنواع الموارد التالية:

  • Microsoft.ClassicNetwork/networkSecurityGroups
  • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
  • Microsoft.Network/networkSecurityGroups
  • Microsoft.Network/networkSecurityGroups/securityRules

• لمعرفة كيفية تسجيل معلومات التشخيص، راجع تسجيل نسبة استخدام الشبكة من وإلى جهاز ظاهري باستخدام مدخل Microsoft Azure.