Vizualizace protokolů toku skupiny zabezpečení sítě pomocí Power BI
Protokoly toku skupiny zabezpečení sítě umožňují zobrazit informace o příchozím a výchozím provozu IP adres ve skupinách zabezpečení sítě. Tyto protokoly toku zobrazují odchozí a příchozí toky na základě jednotlivých pravidel, tok se vztahuje na 5 informací o toku (zdrojová/cílová IP adresa, zdrojový/cílový port, protokol) a o tom, jestli byl provoz povolený nebo zakázaný.
Ručním prohledáváním souborů protokolu může být obtížné získat přehled o datech protokolování toku. V tomto článku poskytujeme řešení pro vizualizaci nejnovějších protokolů toku a informace o provozu ve vaší síti.
Upozorňující
Následující kroky fungují s protokoly toku verze 1. Podrobnosti najdete v tématu Úvod k protokolování toku pro skupiny zabezpečení sítě. Následující pokyny nebudou beze změny fungovat s verzí 2 souborů protokolu.
Scénář
V následujícím scénáři připojíme Power BI Desktop k účtu úložiště, který jsme nakonfigurovali jako jímku pro naše data protokolování toku NSG. Jakmile se připojíme k účtu úložiště, Power BI stáhne a parsuje protokoly a poskytne vizuální reprezentaci provozu, který protokoluje skupiny zabezpečení sítě.
Pomocí vizuálů zadaných v šabloně můžete prozkoumat:
- Hlavní vyjádření
- Data toku Time Series podle směru a rozhodnutí pravidel
- Toky podle adres MAC síťového rozhraní
- Toky podle NSG a pravidel
- Toky podle cílového portu
Poskytnutá šablona je upravitelná, takže ji můžete upravit tak, aby přidávala nová data, vizuály nebo upravování dotazů tak, aby vyhovovala vašim potřebám.
Nastavení
Než začnete, musíte mít v jednom nebo mnoha skupinách zabezpečení sítě ve vašem účtu povolené protokolování toku skupiny zabezpečení sítě. Pokyny k povolení protokolů toku zabezpečení sítě najdete v následujícím článku: Úvod do protokolování toku pro skupiny zabezpečení sítě.
Musíte mít na počítači nainstalovaný také klienta Power BI Desktopu a dostatek volného místa na počítači ke stažení a načtení dat protokolu, která existují ve vašem účtu úložiště.
Kroky
Stáhněte a otevřete následující šablonu Power BI v šabloně protokolů toku Power BI v power bi desktopové aplikaci Network Watcher.
Zadejte požadované parametry dotazu.
StorageAccountName – Určuje název účtu úložiště obsahujícího protokoly toku NSG, které chcete načíst a vizualizovat.
NumberOfLogFiles – Určuje počet souborů protokolu, které chcete stáhnout a vizualizovat v Power BI. Pokud je například zadáno 50, 50 nejnovějších souborů protokolu. Pokud máme 2 skupiny zabezpečení sítě povolené a nakonfigurované tak, aby do tohoto účtu odesílaly protokoly toku NSG, můžete zobrazit posledních 25 hodin protokolů.
Zadejte přístupový klíč pro účet úložiště. Platné přístupové klíče najdete tak, že přejdete na svůj účet úložiště na webu Azure Portal a v nabídce Nastavení vyberete Přístupové klíče. Klikněte na Připojení potom použijte změny.
Vaše protokoly se stahují a parsují a teď můžete využít předem vytvořené vizuály.
Principy vizuálů
Tato šablona je sada vizuálů, které pomáhají dávat smysl pro data protokolu toku NSG. Následující obrázky znázorňují ukázku toho, jak řídicí panel vypadá, když se naplní daty. Níže se podrobněji podíváme na jednotlivé vizuály.
Vizuál Top Talkers zobrazuje IP adresy, které iniciovaly většinu připojení v zadaném období. Velikost polí odpovídá relativnímu počtu připojení.
Následující grafy časových řad zobrazují počet toků za dané období. Horní graf je segmentován směrem toku a dolní část je segmentována rozhodnutím (povolit nebo odepřít). Pomocí tohoto vizuálu můžete prozkoumat trendy provozu v průběhu času a odhalit neobvyklé špičky nebo pokles provozu nebo segmentace provozu.
Následující grafy znázorňují toky na síťové rozhraní, přičemž horní segmentovaný podle směru toku a nižší segmentovaný rozhodnutím. Pomocí těchto informací můžete získat přehled o tom, které virtuální počítače komunikovaly nejvíce vzhledem k ostatním a jestli je provoz na konkrétní virtuální počítač povolený nebo odepřený.
Následující prstencový kolový graf zobrazuje rozpis toků podle cílového portu. Pomocí těchto informací můžete zobrazit nejčastěji používané cílové porty v zadaném období.
Následující pruhový graf znázorňuje tok podle skupiny zabezpečení sítě a pravidla. Pomocí těchto informací můžete zobrazit skupiny zabezpečení sítě zodpovědné za většinu provozu a rozpis provozu ve skupině zabezpečení sítě podle pravidel.
Následující informační grafy zobrazují informace o NSG, které jsou přítomné v protokolech, počet toků zachycených během období a datum nejstaršího zachyceného protokolu. Tyto informace vám pomůžou zjistit, jaké skupiny zabezpečení sítě se protokolují, a rozsah dat toků.
Tato šablona obsahuje následující průřezy, které vám umožní zobrazit jenom data, která vás nejvíce zajímají. Můžete filtrovat skupiny prostředků, skupiny zabezpečení sítě a pravidla. Můžete také filtrovat informace o řazené kolekci členů, rozhodnutí a čas zápisu protokolu.
Závěr
V tomto scénáři jsme ukázali, že pomocí protokolů toku skupiny zabezpečení sítě, které poskytuje Network Watcher a Power BI, můžeme vizualizovat a pochopit provoz. Pomocí poskytnuté šablony Power BI stáhne protokoly přímo z úložiště a zpracuje je místně. Doba potřebná k načtení šablony se liší v závislosti na počtu požadovaných souborů a celkové velikosti stažených souborů.
Tuto šablonu si můžete přizpůsobit podle svých potřeb. Power BI můžete používat s protokoly toku skupiny zabezpečení sítě mnoha způsoby.
Notes
Protokoly se ve výchozím nastavení ukládají do
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/- Pokud jiná data existují v jiném adresáři, musí se dotazy na vyžádání a zpracování dat upravit.
Zadaná šablona se nedoporučuje používat s více než 1 GB protokolů.
Pokud máte velké množství protokolů, doporučujeme prozkoumat řešení pomocí jiného úložiště dat, jako je Data Lake nebo SQL Server.
Další kroky
Informace o vizualizaci protokolů toku NSG pomocí elastického stacku najdete v tématu Vizualizace protokolů toku NSG ve službě Azure Network Watcher s využitím opensourcových nástrojů.