Správa protokolů toku NSG pomocí Azure CLI
Protokolování toku skupiny zabezpečení sítě je funkce služby Azure Network Watcher, která umožňuje protokolovat informace o provozu PROTOKOLU IP procházejícího skupinou zabezpečení sítě. Další informace o protokolování toku skupiny zabezpečení sítě najdete v přehledu protokolů toku NSG.
V tomto článku se dozvíte, jak vytvořit, změnit, zakázat nebo odstranit protokol toku NSG pomocí Azure CLI. Dozvíte se, jak spravovat protokol toku NSG pomocí webu Azure Portal, PowerShellu, rozhraní REST API nebo šablony ARM.
Požadavky
Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
Přehledy poskytovatele. Další informace najdete v tématu Registrace poskytovatele Přehledy.
Skupina zabezpečení sítě. Pokud potřebujete vytvořit skupinu zabezpečení sítě, přečtěte si téma Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.
Účet úložiště Azure. Pokud potřebujete vytvořit účet úložiště, přečtěte si téma Vytvoření účtu úložiště pomocí PowerShellu.
Azure Cloud Shell nebo Azure CLI nainstalované místně.
Kroky v tomto článku spouští příkazy Azure CLI interaktivně v Azure Cloud Shellu. Pokud chcete příkazy spustit v Cloud Shellu, vyberte Otevřít Cloud Shell v pravém horním rohu bloku kódu. Výběrem možnosti Kopírovat zkopírujte kód a vložte ho do Cloud Shellu a spusťte ho. Cloud Shell můžete spustit také z webu Azure Portal.
Ke spuštění příkazů můžete také nainstalovat Azure CLI místně . Pokud azure CLI spustíte místně, přihlaste se k Azure pomocí příkazu az login .
Registrace poskytovatele Insights
Microsoft. Přehledy zprostředkovatel musí být zaregistrovaný pro úspěšné protokolování provozu procházejícího skupinou zabezpečení sítě. Pokud si nejste jistí, jestli je zaregistrovaný poskytovatel Microsoft.Přehledy, zaregistrujte ho pomocí příkazu az provider register.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Vytvoření protokolu toku
Vytvořte protokol toku pomocí příkazu az network watcher flow-log create. Protokol toku se vytvoří ve výchozí skupině prostředků NetworkWatcherRG služby Network Watcher.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Poznámka:
- Pokud je účet úložiště v jiném předplatném, musí být skupina zabezpečení sítě a účet úložiště přidružené ke stejnému tenantovi Azure Active Directory. Účet, který používáte pro každé předplatné, musí mít potřebná oprávnění.
- Pokud je účet úložiště v jiné skupině prostředků nebo předplatném, musíte místo jeho názvu zadat celé ID účtu úložiště. Pokud je například účet úložiště myStorageAccount ve skupině prostředků s názvem StorageRG, zatímco skupina zabezpečení sítě je ve skupině prostředků myResourceGroup, musíte místo parametru
myStorageAccountpoužít--storage-account/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Vytvoření pracovního prostoru protokolu toku a analýzy provozu
Vytvořte pracovní prostor služby Log Analytics pomocí příkazu az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'Vytvořte protokol toku pomocí příkazu az network watcher flow-log create. Protokol toku se vytvoří ve výchozí skupině prostředků NetworkWatcherRG služby Network Watcher.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Poznámka:
- Účet úložiště nemůže mít síťová pravidla, která omezují síťový přístup jenom na služby Microsoft nebo na konkrétní virtuální sítě.
- Pokud je účet úložiště v jiném předplatném, musí být skupina zabezpečení sítě a účet úložiště přidružené ke stejnému tenantovi Azure Active Directory. Účet, který používáte pro každé předplatné, musí mít potřebná oprávnění.
- Pokud je účet úložiště v jiné skupině prostředků nebo předplatném, musíte použít úplné ID účtu úložiště. Pokud je například účet úložiště myStorageAccount ve skupině prostředků s názvem StorageRG, zatímco skupina zabezpečení sítě je ve skupině prostředků myResourceGroup, musíte místo parametru
myStorageAccountpoužít--storage-account/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Změna protokolu toku
Ke změně vlastností protokolu toku můžete použít az network watcher flow-log update . Můžete například změnit verzi protokolu toku nebo zakázat analýzu provozu.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Výpis všech protokolů toku v oblasti
Pomocí příkazu az network watcher flow-log list vypíšete všechny prostředky protokolu toku NSG v konkrétní oblasti ve vašem předplatném.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Zobrazení podrobností o prostředku protokolu toku
Pomocí příkazu az network watcher flow-log show zobrazte podrobnosti o prostředku protokolu toku.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Stažení protokolu toku
Umístění úložiště protokolu toku je definováno při vytváření. Pokud chcete získat přístup k protokolům toku a stahovat je z účtu úložiště, můžete použít Průzkumník služby Azure Storage. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.
Soubory protokolu toku NSG uložené do účtu úložiště se řídí touto cestou:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Informace o struktuře protokolu toku najdete v tématu Formát protokolu protokolů toku NSG.
Zakázání protokolu toku
Pokud chcete dočasně zakázat protokol toku bez odstranění, použijte příkaz az network watcher flow-log update . Zakázání protokolu toku zastaví protokolování toku pro přidruženou skupinu zabezpečení sítě. Prostředek protokolu toku ale zůstane se všemi jeho nastaveními a přidruženími. Můžete ho kdykoli znovu povolit, abyste obnovili protokolování toku pro nakonfigurovanou skupinu zabezpečení sítě.
Poznámka:
Pokud je pro protokol toku povolená analýza provozu, musí být zakázaná, abyste mohli protokol toku zakázat.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Odstranění protokolu toku
Pokud chcete trvale odstranit protokol toku, použijte příkaz az network watcher flow-log delete . Odstraněním protokolu toku se odstraní všechna jeho nastavení a přidružení. Pokud chcete znovu zahájit protokolování toku pro stejnou skupinu zabezpečení sítě, musíte pro ni vytvořit nový protokol toku.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Poznámka:
Odstraněním protokolu toku nedojde k odstranění dat protokolu toku z účtu úložiště. Tok protokoluje data uložená v účtu úložiště podle nakonfigurovaných zásad uchovávání informací.
Další kroky
- Informace o použití předdefinovaných zásad Azure k auditování nebo nasazení protokolů toku NSG najdete v tématu Správa protokolů toku NSG pomocí Azure Policy.
- Další informace o analýze provozu najdete v tématu Analýza provozu.