Správa protokolů toku NSG pomocí webu Azure Portal

Protokolování toku skupiny zabezpečení sítě je funkce služby Azure Network Watcher, která umožňuje protokolovat informace o provozu PROTOKOLU IP procházejícího skupinou zabezpečení sítě. Další informace o protokolování toku skupiny zabezpečení sítě najdete v přehledu protokolů toku NSG.

V tomto článku se dozvíte, jak vytvořit, změnit, zakázat nebo odstranit protokol toku NSG pomocí webu Azure Portal. Dozvíte se, jak spravovat protokol toku NSG pomocí PowerShellu, Azure CLI, rozhraní REST API nebo šablony ARM.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Poskytovatel přehledů Další informace najdete v tématu o registraci poskytovatele přehledů.

• Skupina zabezpečení sítě. Pokud potřebujete vytvořit skupinu zabezpečení sítě, přečtěte si téma Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.

• Účet úložiště Azure. Pokud potřebujete vytvořit účet úložiště, přečtěte si téma Vytvoření účtu úložiště pomocí webu Azure Portal.

Registrace poskytovatele Insights

Zprostředkovatel Microsoft.Insights musí být zaregistrovaný pro úspěšné protokolování provozu procházejícího skupinou zabezpečení sítě. Pokud si nejste jistí, jestli je zprostředkovatel Microsoft.Insights zaregistrovaný, můžete zkontrolovat jeho stav pomocí následujícího postupu:

1. Do vyhledávacího pole v horní části portálu zadejte předplatná. Ve výsledcích hledání vyberte Předplatná .

   

2. Vyberte předplatné Azure, pro které chcete povolit poskytovatele v předplatných.

3. V části Nastavení vyberte Poskytovatelé prostředků.

4. Do pole filtru zadejte přehled .

5. Ověřte, že je zobrazený stav poskytovatele zaregistrovaný. Pokud je stav NotRegistered, vyberte poskytovatele Microsoft.Insights a pak vyberte Zaregistrovat.

   

Vytvoření protokolu toku

Vytvořte protokol toku pro vaši skupinu zabezpečení sítě. Tento protokol toku NSG se uloží do účtu úložiště Azure.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku, vyberte modré tlačítko + Vytvořit nebo Vytvořit protokol toku.

   

4. Na kartě Základy v protokolu toku zadejte nebo vyberte následující hodnoty:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte předplatné Azure vaší skupiny zabezpečení sítě, kterou chcete protokolovat.
   Typ protokolu toku	Vyberte skupinu zabezpečení sítě a pak vyberte + Vybrat cílový prostředek. Vyberte skupinu zabezpečení sítě, kterou chcete protokolovat, a pak vyberte Potvrdit výběr.
   Název protokolu toku	Zadejte název protokolu toku nebo ponechte výchozí název. Azure Portal používá {ResourceName}-{ResourceGroupName}-flowlog jako výchozí název pro protokol toku. myNSG-myResourceGroup-flowlog je výchozí název použitý v tomto článku.
   Podrobnosti o instanci
   Předplatné	Vyberte předplatné Azure vašeho účtu úložiště.
   Účty úložiště	Vyberte účet úložiště, do kterého chcete uložit protokoly toku. Pokud chcete vytvořit nový účet úložiště, vyberte Vytvořit nový účet úložiště.
   Doba uchování (dny)	Zadejte dobu uchovávání protokolů (tato možnost je k dispozici pouze u účtů úložiště pro obecné účely úrovně Standard v2 ). Pokud chcete zachovat data protokolů toku v účtu úložiště navždy (dokud je neodstraníte z účtu úložiště), zadejte hodnotu 0 . Informace o cenách najdete v tématu Ceny služby Azure Storage.

   

   Poznámka:

   Pokud je účet úložiště v jiném předplatném, musí být skupina zabezpečení sítě a účet úložiště přidružené ke stejnému tenantovi Microsoft Entra. Účet, který používáte pro každé předplatné, musí mít potřebná oprávnění.

5. Pokud chcete povolit analýzu provozu, vyberte tlačítko Další: Analýza nebo vyberte kartu Analýza . Zadejte nebo vyberte následující hodnoty:

   Nastavení	Hodnota
   Verze protokolů toku	Vyberte verzi protokolu toku skupiny zabezpečení sítě, dostupné možnosti jsou: verze 1 a verze 2. Výchozí verze je verze 2. Další informace najdete v tématu Protokolování toku pro skupiny zabezpečení sítě.
   Povolení analýzy provozu	Zaškrtnutím políčka povolíte analýzu provozu pro protokol toku.
   Interval zpracování analýzy provozu	Vyberte upřednostňovaný interval zpracování: Každých 1 hodinu a každých 10 minut. Výchozí interval zpracování je každou hodinu. Další informace najdete v tématu Analýza provozu.
   Předplatné	Vyberte předplatné Azure vašeho pracovního prostoru služby Log Analytics.
   Pracovní prostor Log Analytics	Vyberte pracovní prostor služby Log Analytics. Azure Portal ve výchozím nastavení vytvoří pracovní prostor DefaultWorkspace-{SubscriptionID}-{Region} Služby Log Analytics ve skupině prostředků defaultresourcegroup-{Region}.

   

   Poznámka:

   Pokud chcete vytvořit a vybrat jiný pracovní prostor služby Log Analytics než výchozí pracovní prostor, přečtěte si téma Vytvoření pracovního prostoru služby Log Analytics.

6. Vyberte Zkontrolovat a vytvořit.

7. Zkontrolujte nastavení a pak vyberte Vytvořit.

Povolení nebo zakázání analýzy provozu

Povolte analýzu provozu pro protokol toku a analyzujte data protokolu toku. Analýza provozu poskytuje přehledy o vašich vzorech provozu. Analýzu provozu pro protokol toku můžete kdykoli povolit nebo zakázat.

Pokud chcete povolit analýzu provozu pro protokol toku, postupujte takto:

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku vyberte protokol toku, pro který chcete povolit analýzu provozu.

4. V nastavení protokolů toku zaškrtněte políčko Povolit analýzu provozu.

   

5. Vyberte následující hodnoty:

   Nastavení	Hodnota
   Předplatné	Vyberte předplatné Azure vašeho pracovního prostoru služby Log Analytics.
   Pracovní prostor služby Log Analytics	Vyberte pracovní prostor služby Log Analytics. Azure Portal ve výchozím nastavení vytvoří pracovní prostor DefaultWorkspace-{SubscriptionID}-{Region} Služby Log Analytics ve skupině prostředků defaultresourcegroup-{Region}.
   Interval protokolování provozu	Vyberte upřednostňovaný interval zpracování: Každých 1 hodinu a každých 10 minut. Výchozí interval zpracování je každou hodinu. Další informace najdete v tématu Analýza provozu.

   

6. Výběrem možnosti Uložit se změny uplatní.

Pokud chcete zakázat analýzu provozu pro protokol toku, proveďte předchozí kroky 1 až 3 a zrušte zaškrtnutí políčka Povolit analýzu provozu a vyberte Uložit.

Změna nastavení protokolu toku

Po vytvoření můžete změnit nastavení protokolu toku. Můžete například změnit verzi protokolu toku nebo zakázat analýzu provozu.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku vyberte protokol toku, který chcete změnit.

4. V nastavení protokolů toku můžete změnit některá z následujících nastavení:

   Nastavení	Hodnota
   Účet úložiště
   Předplatné	Změňte předplatné Azure účtu úložiště, který chcete použít.
   Účet úložiště	Změňte účet úložiště, do kterého chcete uložit protokoly toku. Pokud chcete vytvořit nový účet úložiště, vyberte Vytvořit nový účet úložiště.
   Doba uchování (dny)	Změňte dobu uchovávání v účtu úložiště. Zadejte hodnotu 0 , pokud chcete zachovat data protokolů toku v účtu úložiště navždy (dokud data z účtu úložiště neodstraníte ručně).
   Analýza provozu
   Povolení analýzy provozu	Povolte nebo zakažte analýzu provozu zaškrtnutím nebo zrušením zaškrtnutí políčka.
   Předplatné	Změňte předplatné Azure pracovního prostoru služby Log Analytics, který chcete použít.
   Pracovní prostor služby Log Analytics	Změňte pracovní prostor služby Log Analytics, do kterého chcete uložit protokoly toku (pokud je povolená analýza provozu).
   Interval protokolování provozu	Změňte interval zpracování analýzy provozu (pokud je povolená analýza provozu). Dostupné možnosti jsou: jedna hodina a 10 minut. Výchozí interval zpracování je každou hodinu. Další informace najdete v tématu Analýza provozu.

   

5. Chcete-li použít změny, vyberte Uložit, pokud chcete změny ukončit, aniž byste je uložili.

Výpis všech protokolů toku

Můžete zobrazit seznam všech protokolů toku v předplatném nebo skupině předplatných. Můžete také zobrazit seznam všech protokolů toku v oblasti.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Vyberte Filtr Rovná se předplatné a zvolte jedno nebo více vašich předplatných. Můžete použít další filtry, jako je umístění, které se rovná výpisu všech protokolů toku v oblasti.

   

Zobrazení podrobností o prostředku protokolu toku

Můžete zobrazit podrobnosti o protokolu toku v předplatném nebo skupině předplatných. Můžete také zobrazit seznam všech protokolů toku v oblasti.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku vyberte protokol toku, který chcete zobrazit.

4. V nastavení protokolů toku můžete zobrazit nastavení prostředku protokolu toku.

   

5. Výběrem možnosti Storno zavřete stránku nastavení bez provedení změn.

Stažení protokolu toku

Umístění úložiště protokolu toku je definováno při vytváření. Pokud chcete získat přístup k protokolům toku a stahovat je z účtu úložiště, můžete použít Průzkumník služby Azure Storage. Další informace najdete v tématu Začínáme s Průzkumník služby Storage.

Soubory protokolu toku NSG uložené do účtu úložiště se řídí touto cestou:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Informace o struktuře protokolu toku najdete v tématu Formát protokolu protokolů toku NSG.

Zakázání protokolu toku

Protokol toku NSG můžete dočasně zakázat, aniž byste ho odstranili. Zakázání protokolu toku zastaví protokolování toku pro přidruženou skupinu zabezpečení sítě. Prostředek protokolu toku ale zůstane se všemi jeho nastaveními a přidruženími. Můžete ho kdykoli znovu povolit, abyste obnovili protokolování toku pro nakonfigurovanou skupinu zabezpečení sítě.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku, zaškrtněte políčko protokolu toku, který chcete zakázat.

4. Vyberte Zakázat.

   

Poznámka:

Pokud je pro protokol toku povolená analýza provozu, musí být zakázaná, abyste mohli protokol toku zakázat. Pokud chcete zakázat analýzu provozu, přečtěte si téma Změna protokolu toku.

Odstranění protokolu toku

Protokol toku NSG můžete trvale odstranit. Odstraněním protokolu toku se odstraní všechna jeho nastavení a přidružení. Pokud chcete znovu zahájit protokolování toku pro stejnou skupinu zabezpečení sítě, musíte pro ni vytvořit nový protokol toku.

1. Do vyhledávacího pole v horní části portálu zadejte sledovací proces sítě. Ve výsledcích hledání vyberte Network Watcher .

2. V části Protokoly vyberte Protokoly toku.

3. Ve službě Network Watcher | Protokoly toku, zaškrtněte políčko protokolu toku, který chcete odstranit.

4. Vyberte Odstranit.

   

Poznámka:

Odstraněním protokolu toku nedojde k odstranění dat protokolu toku z účtu úložiště. Toky protokolují data uložená v účtu úložiště se řídí nakonfigurovanými zásadami uchovávání informací nebo zůstávají uložená v účtu úložiště, dokud se ručně nesmažou (v případě, že nejsou nakonfigurované žádné zásady uchovávání informací).

Související obsah

• Informace o použití předdefinovaných zásad Azure k auditování nebo nasazení protokolů toku NSG najdete v tématu Správa protokolů toku NSG pomocí Azure Policy.
• Další informace o analýze provozu najdete v tématu Analýza provozu.