Sdílet prostřednictvím

Kurz: Protokolování síťového provozu do a z virtuální sítě pomocí webu Azure Portal

Protokolování toku virtuální sítě je funkce služby Azure Network Watcher, která umožňuje protokolovat informace o IP provozu procházejícím přes virtuální síť Azure. Další informace o protokolování toku virtuální sítě naleznete v tématu Protokoly toku virtuální sítě.

Tento kurz vám pomůže použít protokoly toku virtuální sítě k protokolování síťového provozu virtuálního počítače, který prochází přes virtuální síť.

Diagram znázorňuje prostředky vytvořené během kurzu.

V tomto návodu se naučíte, jak:

  • Vytvoření virtuální sítě
  • Vytvoření virtuálního počítače
  • Registrace poskytovatele Microsoft.insights
  • Povolení protokolování toku pro virtuální síť pomocí protokolů toku služby Network Watcher
  • Stáhnout protokolovaná data
  • Zobrazit data protokolu

Požadavky

  • Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť myVNet s jednou podsítí pro virtuální počítač.

  1. Přihlaste se do Azure Portalu.

  2. Do vyhledávacího pole v horní části portálu zadejte virtuální sítě. Ve výsledcích hledání vyberte virtuální sítě .

    Snímek obrazovky, který ukazuje, jak hledat virtuální sítě na webu Azure Portal

  3. Vyberte + Vytvořit. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte možnost Vytvořit novou.
    Do názvu zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte myVNet.
    Región Vyberte USA – východ.

  4. Vyberte možnost Zkontrolovat a vytvořit.

  5. Zkontrolujte nastavení a pak vyberte Vytvořit.

Nasazení služby Azure Bastion

Azure Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes secure shell (SSH) nebo protokol RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o službě Azure Bastion najdete v tématu Azure Bastion.

Poznámka:

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  1. Do vyhledávacího pole v horní části portálu zadejte Bastion. Ve výsledcích hledání vyberte bastions .

  2. Vyberte + Vytvořit.

  3. Na kartě ZákladyVytvořit bastion zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název Zadejte bastion.
    Región Vyberte USA – východ.
    Vrstva Vyberte Vývojář.
    Konfigurace virtuálních sítí
    Virtuální síť Vyberte myVNet.

  4. Vyberte možnost Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Vytvoření virtuálního počítače

V této části vytvoříte virtuální počítač myVM .

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte + Vytvořit a pak vyberte Virtuální počítač.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název virtuálního počítače Zadejte myVM.
    Región Vyberte USA – východ.
    Možnosti dostupnosti Vyberte Žádná redundance infrastruktury není nutná.
    Typ zabezpečení Vyberte Standardní.
    Obrázek Vyberte požadovaný obrázek. V tomto kurzu se používá Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Velikost Zvolte velikost virtuálního počítače nebo ponechte výchozí nastavení.
    Účet správce
    Uživatelské jméno Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.

  4. Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.

  5. Na kartě Sítě vyberte následující hodnoty:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte myVNet.
    Podsíť Vyberte mySubnet.
    Veřejná IP adresa Vyberte Žádné.
    Skupina zabezpečení sítě NIC Vyberte Basic.
    Veřejné příchozí porty Vyberte Žádné.

  6. Vyberte možnost Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a pak vyberte Vytvořit.

  8. Po dokončení nasazení vyberte Přejít k prostředku a otevře se stránka Přehled pro myVM.

  9. Vyberte Připojit a pak vyberte Připojit přes Bastion.

  10. Na stránce připojení bastionu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Typ ověřování Vyberte heslo.
    Uživatelské jméno Zadejte uživatelské jméno, které jste vytvořili.
    Heslo Zadejte heslo, které jste vytvořili.

  11. Vyberte Připojit.

Registrace poskytovatele Insights

Protokolování toku vyžaduje poskytovatele Microsoft.Insights . Pokud chcete zkontrolovat jeho stav, postupujte takto:

  1. Do vyhledávacího pole v horní části portálu zadejte předplatná. Ve výsledcích hledání vyberte Předplatná .

  2. Vyberte předplatné Azure, pro které chcete povolit poskytovatele v předplatných.

  3. V části Nastavení vyberte Poskytovatelé prostředků.

  4. Do pole filtru zadejte přehled .

  5. Ověřte, že stav poskytovatele uvedený je registrovaný. Pokud je stav NotRegistered, vyberte poskytovatele Microsoft.Insights a pak vyberte Zaregistrovat.

    Snímek obrazovky, který ukazuje, jak zaregistrovat zprostředkovatele Microsoft Insights na webu Azure Portal

Vytvoření účtu úložiště

V této části vytvoříte účet úložiště, abyste ho použili k ukládání protokolů toku.

  1. Do vyhledávacího pole v horní části portálu zadejte účty úložiště. Vyberte Účty úložiště z výsledků vyhledávání.

  2. Vyberte + Vytvořit. V Vytvořit účet úložiště zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název účtu úložiště Zadejte jedinečný název. V tomto kurzu se používá nwteststorageaccount.
    Región Vyberte USA – východ. Účet úložiště musí být ve stejné oblasti jako virtuální počítač a jeho skupina zabezpečení sítě.
    Primární služba Vyberte Azure Blob Storage nebo Azure Data Lake Storage Gen2.
    Výkon Vyberte Standardní. Protokoly toku podporují pouze účty úložiště úrovně Standard.
    Přebytečnost Vyberte požadovanou redundanci (podporují se všechny konfigurace redundance služby Azure Storage). Tento kurz používá místně redundantní úložiště (LRS).

  3. Vyberte kartu Revize nebo vyberte tlačítko Revize v dolní části.

  4. Zkontrolujte nastavení a pak vyberte Vytvořit.

Vytvoření protokolu toku

V této části vytvoříte protokol toku virtuální sítě, který se uloží do účtu úložiště vytvořeného dříve v tomto kurzu.

  1. Do vyhledávacího pole v horní části portálu zadejte Network Watcher. Ve výsledcích hledání vyberte Network Watcher .

  2. Pod Protokoly vyberte Protokoly toku.

  3. Ve službě Network Watcher | Protokoly toku vyberte + Vytvořit nebo modré tlačítko Vytvořit protokol toku.

    Protokoly toku služby Network Watcher v portálu Azure - snímek obrazovky.

  4. V Vytvoření protokolu toku zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte předplatné Azure pro skupinu zabezpečení sítě, kterou chcete zaznamenat.
    Typ protokolu toku Vyberte Virtuální síť.
    Virtual Network Vyberte a vyberte cílový prostředek.
    Ve výběru virtuální sítě vyberte myVNet. Pak vyberte Potvrdit výběr.
    Název protokolu toku Ponechte výchozí hodnotu myVNet-myresourcegroup-flowlog.
    Podrobnosti o instanci
    Předplatné Vyberte předplatné Azure pro váš účet úložiště.
    Účty pro ukládání Vyberte účet úložiště, který jste vytvořili v předchozích krocích.
    Uchovávání (dny) Zadejte 10 , pokud chcete uchovávat data protokolů toku v účtu úložiště po dobu 10 dnů. Pokud chcete zachovat data protokolů toku v účtu úložiště navždy (dokud je neodstraníte), zadejte 0. Informace o cenách úložiště najdete v tématu Ceny služby Azure Storage.

    Snímek obrazovky s vytvořením stránky protokolu toku na webu Azure Portal

    Poznámka:

    Azure Portal vytvoří protokoly toku virtuální sítě ve skupině prostředků NetworkWatcherRG .

  5. Vyberte možnost Zkontrolovat a vytvořit.

  6. Zkontrolujte nastavení a pak vyberte Vytvořit.

  7. Po dokončení nasazení vyberte Přejít k prostředku a potvrďte vytvořený protokol toku uvedený na stránce protokoly toku.

    Snímek obrazovky se stránkou Protokoly toku v Azure portálu zobrazující nově vytvořený protokol toku.

  8. Vraťte se k relaci Bastion s virtuálním počítačem myVM.

  9. Otevřete Microsoft Edge a přejděte na www.bing.com.

Stažení protokolu toku

V této části přejdete k dříve vybranému účtu úložiště a stáhnete protokol toku vytvořený v předchozí části.

  1. Do vyhledávacího pole v horní části portálu zadejte účty úložiště. Vyberte Účty úložiště z výsledků vyhledávání.

  2. Vyberte nwteststorageaccount nebo účet úložiště, který jste vytvořili a vybrali pro uložení protokolů.

  3. V části Úložiště dat vyberte Kontejnery.

  4. Vyberte kontejner insights-logs-flowlogflowevent.

  5. V kontejneru přejděte do hierarchie složek, dokud se nedostanete k PT1H.json souboru, který chcete stáhnout. Soubory protokolu toku virtuální sítě následují následující cestu:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Vyberte tři tečky ... napravo od PT1H.json souboru a pak vyberte Stáhnout.

    Snímek obrazovky znázorňující, jak stáhnout data protokolu toku virtuální sítě z účtu úložiště na webu Azure Portal

Poznámka:

K přístupu a stahování protokolů toku z účtu úložiště můžete použít Průzkumník služby Azure Storage. Další informace najdete v Get started with Storage Explorer.

Zobrazení protokolu toku

Otevřete stažený PT1H.json soubor pomocí textového editoru podle vašeho výběru. Následující příklad je oddíl převzatý ze staženého PT1H.json souboru, který ukazuje tok zpracovaný pravidlem DefaultRule_AllowInternetOutBound.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Informace oddělené čárkami pro flowTuples jsou následující:

Příklad dat Co data představují Vysvětlení
1754512773 Časová značka Časové razítko okamžiku výskytu toku ve formátu UNIX EPOCH. V předchozím příkladu se datum převede na 6. srpna 2025 08:39:33 UTC/GMT.
10.0.0.4 Zdrojová IP adresa Zdrojová IP adresa, ze které tok pocházel. 10.0.0.4 je privátní IP adresa virtuálního počítače, který jste vytvořili dříve.
13.107.21.200 Cílová IP adresa Cílová IP adresa, na kterou byl tok určen. 13.107.21.200 je IP adresa www.bing.com. Vzhledem k tomu, že provoz je určený mimo Azure, zpracovalo tok bezpečnostní pravidlo DefaultRule_AllowInternetOutBound.
49982 Zdrojový port Zdrojový port, ze které tok pocházel.
443 Cílový port Cílový port, do kterého tok mířil.
6 Protokol Protokol toku vrstvy 4 v přiřazených hodnotách IANA: 6: TCP.
O Směr Směr toku. O: Odchozí.
C Stav toku Stav toku. C: Pokračování v kontinuálním procesu.
NX Šifrování toku Připojení není zašifrované.
7 Odeslané pakety Celkový počet paketů TCP od poslední aktualizace odesílaných do cíle.
1158 Odeslané bajty Celkový počet bajtů paketů TCP od poslední aktualizace odesílaných ze zdroje do cíle. Bajty paketů zahrnují hlavičku paketu a datovou část.
12 Přijaté pakety Celkový počet paketů TCP přijatých z cíle od poslední aktualizace.
8143 Přijaté bajty Celkový počet bajtů paketů TCP přijatých z cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Vyčistěte zdroje

Pokud už ji nepotřebujete, odstraňte skupinu prostředků myResourceGroup a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Ve výsledcích hledání vyberte myResourceGroup .

  2. Vyberte odstranit skupinu zdrojů.

  3. V Odstranit skupinu prostředků zadejte myResourceGroup a poté vyberte Odstranit.

  4. Výběrem možnosti Odstranit potvrďte odstranění skupiny prostředků a všech jejích prostředků.

Poznámka:

Prostředek NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog je ve skupině prostředků NetworkWatcherRG , ale odstraní se po odstranění virtuální sítě myVNet (odstraněním skupiny prostředků myResourceGroup ).

Související obsah

  • Last updated on