Rychlý start: Konfigurace protokolů toku NSG služby Azure Network Watcher pomocí souboru Bicep

V tomto rychlém startu se dozvíte, jak povolit protokoly toku NSG pomocí souboru Bicep.

Bicep je jazyk specifický pro doménu (DSL), který k nasazování prostředků Azure používá deklarativní syntaxi. Poskytuje stručnou syntaxi, spolehlivou bezpečnost typů a podporu pro opakované použití kódu. Bicep nabízí nejlepší prostředí pro vytváření obsahu pro řešení infrastruktury jako kódu v Azure.

Požadavky

• Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

• Pokud chcete nasadit soubory Bicep, nainstalujte buď Azure CLI, nebo PowerShell.

  Rozhraní příkazového řádku

  1. Nainstalujte Azure CLI místně a spusťte příkazy.

  2. Přihlaste se k Azure pomocí příkazu az login .

  PowerShell

  1. Nainstalujte Azure PowerShell místně a spusťte rutiny.

  2. Přihlaste se k Azure pomocí rutiny Connect-AzAccount .

Kontrola souboru Bicep

V tomto rychlém startu se používá šablona Bicep k vytvoření toku NSG ze šablon Rychlého startu Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

V souboru Bicep jsou definovány následující prostředky:

• Microsoft.Storage/storageAccounts
• Microsoft.Network Network NetworkWatchers
• Microsoft.Network networkWatchers/flowLogs

Zvýrazněný kód v předchozí ukázce ukazuje definici prostředku protokolu toku NSG.

Nasazení souboru Bicep

V tomto rychlém startu se předpokládá, že máte skupinu zabezpečení sítě, ke které můžete povolit protokolování toku.

1. Uložte soubor Bicep jako main.bicep do místního počítače.

2. Nasaďte soubor Bicep pomocí Azure CLI nebo Azure PowerShellu.

   Rozhraní příkazového řádku

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Zobrazí se výzva k zadání ID prostředku existující skupiny zabezpečení sítě. Syntaxe ID prostředku skupiny zabezpečení sítě je:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Po dokončení nasazení by se měla zobrazit zpráva, že nasazení bylo úspěšné.

Ověření nasazení

Máte dvě možnosti, jak zjistit, jestli nasazení proběhlo úspěšně:

• Konzola se zobrazí ProvisioningState jako Succeeded.
• Přejděte na stránku portálu protokolů toku NSG a potvrďte provedené změny.

Pokud dojde k problémům s nasazením, přečtěte si téma Řešení běžných chyb nasazení Azure pomocí Azure Resource Manageru.

Vyčištění prostředků

Prostředky Azure můžete odstranit pomocí úplného režimu nasazení. Pokud chcete odstranit prostředek protokolů toku, zadejte nasazení v úplném režimu bez zahrnutí prostředku, který chcete odstranit. Přečtěte si další informace o úplném režimu nasazení.

Protokol toku NSG můžete také zakázat na webu Azure Portal:

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

3. V části Protokoly vyberte Protokoly toku.

4. V seznamu protokolů toku vyberte protokol toku, který chcete zakázat.

5. Vyberte Zakázat.

Související obsah

Informace o vizualizaci dat toku NSG najdete tady:

• Vizualizace protokolů toku NSG pomocí Power BI
• Vizualizujte protokoly toku NSG pomocí opensourcových nástrojů.
• Analýza provozu