Comparteix a través de


Visualización de registros de flujo del grupo de seguridad de red con Power BI

Importante

El 30 de septiembre de 2027, se retirarán los registros de flujo del grupo de seguridad de red (NSG). Como parte de esta retirada, ya no podrá crear nuevos registros de flujo de NSG a partir del 30 de junio de 2025. Se recomienda migrar a los registros de flujo de red virtual, lo que supera las limitaciones de los registros de flujo de NSG. Después de la fecha de retirada, el análisis de tráfico habilitado con los registros de flujo de NSG ya no se admitirá y se eliminarán los recursos de registros de flujo de NSG existentes en las suscripciones. Sin embargo, los registros de flujo de NSG no se eliminarán y seguirán siguiendo sus respectivas directivas de retención. Para obtener más información, consulte el anuncio oficial.

Los registros de flujo de los grupos de seguridad de red le permiten ver información sobre el tráfico de IP de entrada y salida en los grupos de seguridad de red. Estos registros de flujo muestran los flujos de entrada y salida en función de cada regla, la NIC a la que se aplica el flujo, información de 5-tupla sobre el flujo (IP de origen y de destino, puerto de origen y de destino, protocolo), y si se permitió o denegó el tráfico.

Puede ser difícil obtener información sobre los datos de registro de flujo mediante la búsqueda manual de los archivos de registro. En este artículo se proporcionan una solución para visualizar los registros de flujo más recientes y obtener información sobre el tráfico en la red.

Advertencia

En los pasos siguientes se trabajará con la versión 1 de los registros de flujo. Para obtener más detalles, vea Introducción al registro de flujo de grupos de seguridad de red. Las siguientes instrucciones no funcionarán con la versión 2 de los archivos de registro, sin ninguna modificación.

Escenario

En el siguiente escenario, conectamos Power BI Desktop a la cuenta de almacenamiento que hemos configurado como el receptor de los datos del registro de flujo de NSG. Una vez que se conecta a la cuenta de almacenamiento, Power BI descarga y analiza los registros para proporcionar una representación visual del tráfico que registran los grupos de seguridad de red.

Utilizando los objetos visuales proporcionados en la plantilla puede examinar:

  • Top Talkers
  • Datos de flujo de serie temporal por decisión de regla y dirección
  • Flujos por dirección MAC de la interfaz de red
  • Flujos por NSG y regla
  • Flujos por puerto de destino

La plantilla que se proporciona es editable, por lo que puede modificarla agregando nuevos datos u objetos visuales, o modificando consultas para adaptarla a sus necesidades.

Configurar

Antes de empezar, el registro de flujo de los grupos de seguridad de red debe estar habilitado en uno o varios grupos de seguridad de red de su cuenta. Para conocer las instrucciones para habilitar los registros de flujo de seguridad de red, consulte el siguiente artículo: Introducción al registro de flujo para grupos de seguridad de red.

También tiene que tener el cliente de Power BI Desktop instalado en su equipo y suficiente espacio disponible en el mismo para descargar y cargar los datos del registro que existen en la cuenta de almacenamiento.

Diagrama de Visio

Pasos

  1. Descargue la siguiente plantilla de Power BI y ábrala en la aplicación de Power BI Desktop Plantilla de registros de flujo de Power BI de Network Watcher

  2. Escriba los parámetros de consulta necesarios

    1. StorageAccountName: especifica el nombre de la cuenta de almacenamiento que contiene los registros de flujo de NSG que desea cargar y visualizar.

    2. NumberOfLogFiles: especifica el número de archivos de registro que desear descargar y visualizar en Power BI. Por ejemplo, si se especifica 50, los 50 archivos de registro más recientes. Si tenemos 2 NSG habilitados y configurados para enviar registros de flujo de NSG a esta cuenta, se pueden ver las últimas 25 horas de registros.

      Ventana principal de Power BI

  3. Escriba la clave de acceso para la cuenta de almacenamiento. Encontrará claves de acceso válidas navegando a la cuenta de almacenamiento en Azure Portal y seleccionando Claves de acceso en Seguridad y redes. Seleccione Conectar y aplique los cambios.

    Clave de acceso 2

  4. Los registros se descargan y analizan. A partir de este momento, ya es posible usar los objetos visuales creados previamente.

Descripción de los objetos visuales

En la plantilla se proporcionan un conjunto de objetos visuales que lo ayudan a comprender los datos del registro de flujo de NSG. Las siguientes imágenes muestran un ejemplo del aspecto del panel cuando se rellena con datos. A continuación se examina con más detalle cada objeto visual.

Power BI

El objeto visual Top Talkers muestra las direcciones IP que han iniciado la mayoría de las conexiones durante el período especificado. El tamaño de los cuadros corresponde al número relativo de conexiones.

Toptalkers

Los siguientes gráficos de series temporales muestran el número de flujos en el período. El gráfico superior está segmentado por la dirección del flujo y el inferior está segmentado por la decisión MADD (permitir o denegar). Con este objeto visual, puede examinar las tendencias del tráfico a través del tiempo y detectar cualquier pico o disminución anómala la segmentación del tráfico.

flowsoverperiod

Los gráficos siguientes muestran los flujos por interfaz de red, con el superior segmentado por dirección del flujo y el inferior segmentado por decisión realizada. Con esta información, puede obtener detalles sobre cuáles máquinas virtuales se comunican más en relación con otras, y si el tráfico a una máquina virtual se está permitiendo o denegando.

flowspernic

El siguiente gráfico de anillo muestra un desglose de los flujos por puerto de destino. Con esta información, puede ver los puertos de destino más utilizados dentro del período especificado.

anillo

El siguiente gráfico de barras muestra el flujo por NSG y regla. Con esta información, puede ver los NSG responsables de la mayor parte del tráfico y el desglose del tráfico en un NSG por regla.

gráfico de barras

Los siguientes gráficos informativos muestran información sobre los NSG presentes en los registros, el número de flujos capturados durante el período y la fecha del registro más antiguo capturado. Esta información le ofrece una idea de cuáles NSG se están registrando y el intervalo de fechas de los flujos.

infochart1

infochart2

Esta plantilla incluye las segmentaciones siguientes para que pueda ver solo los datos en los que está más interesado. Puede filtrar por grupos de recursos, NSG y reglas. También puede filtrar por información de 5-tupla, decisión y la hora cuando se escribió el registro.

segmentaciones

Conclusión

Hemos mostrado en este escenario que el uso de los registros de flujo de los grupos de seguridad de red que proporcionan Network Watcher y Power BI nos permite visualizar y comprender el tráfico. Utilizando la plantilla proporcionada, Power BI descarga los registros directamente desde el almacenamiento y los procesa localmente. El tiempo necesario para cargar la plantilla varía dependiendo del número de archivos solicitados y del tamaño total de los archivos descargados.

Puede personalizar esta plantilla para que se adapte a sus necesidades. Hay muchas formas de usar Power BI con los registros de flujo de los grupos de seguridad de red.

Notas

  • De forma predeterminada los registros se almacenan en https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Si hay otros datos en otro directorio, las consultas para la extracción y procesamiento de los datos tienen que modificarse.
  • La plantilla proporcionada no se recomienda para su uso con más de 1 GB de registros.

  • Si tiene una gran cantidad de registros, recomendamos que investigue una solución utilizando otro almacén de datos como Data Lake o SQL Server.

Pasos siguientes

Aprenda a visualizar los registros de flujo del grupo de seguridad de red con la pila Elastic visitando Visualización de registros de flujo de grupo de seguridad de red de Azure Network Watcher con herramientas de código abierto.