Protokoly toku virtuální sítě

Protokoly toku virtuální sítě jsou funkcí služby Azure Network Watcher. Můžete je použít k protokolování informací o přenosech IP adres procházejících přes virtuální síť.

Data toku z protokolů toku virtuální sítě se odesílají do Azure Storage. Odtud můžete získat přístup k datům a exportovat je do libovolného řešení pro vizualizaci, informací o zabezpečení a správě událostí (SIEM) nebo do systému detekce neoprávněných vniknutí (IDS). Protokoly toků virtuální sítě překonaly některá omezení protokolů toků skupin zabezpečení sítě.

Proč používat protokoly toku?

Je důležité monitorovat, spravovat a znát vaši síť, abyste ji mohli chránit a optimalizovat. Možná budete muset znát aktuální stav sítě, kdo se připojuje a odkud se uživatelé připojují. Možná budete také potřebovat vědět, které porty jsou otevřené pro internet, jaké chování sítě se očekává, jaké chování sítě je nepravidelné a kdy dojde k náhlému nárůstu provozu.

Protokoly toku jsou zdrojem pravdivých informací o všech síťových aktivitách ve vašem cloudovém prostředí. Ať už jste ve startupu, který se pokoušíte optimalizovat prostředky, nebo velký podnik, který se snaží detekovat neoprávněný vniknutí, můžou vám pomoct protokoly toků. Můžete je použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další.

Běžné případy použití

Monitorování sítě

• Identifikace neznámého nebo nežádoucího provozu
• Monitorujte úrovně provozu a spotřebu šířky pásma.
• Filtrujte protokoly toku podle IP adresy a portu, abyste porozuměli chování aplikace.
• Exportujte protokoly toku do analytických a vizualizačních nástrojů podle vašeho výběru a nastavte řídicí panely monitorování.

Monitorování a optimalizace využití

• Identifikujte hlavní talkery ve vaší síti.
• Zkombinujte s daty GeoIP a identifikujte provoz mezi oblastmi.
• Seznamte se s růstem provozu pro prognózování kapacity.
• Data můžete použít k odebrání příliš omezujících pravidel provozu.

Dodržování předpisů

• Pomocí dat toku ověřte izolaci sítě a dodržování předpisů s pravidly podnikového přístupu.

Forenzní analýza sítě a analýzy zabezpečení

• Analyzujte síťové toky z ohrožených IP adres a síťových rozhraní.
• Exportujte protokoly toku do libovolného nástroje SIEM nebo IDS.

Protokoly toku virtuální sítě ve srovnání s protokoly toků skupin zabezpečení sítě

Protokoly toku virtuální sítě i protokoly toku skupiny zabezpečení sítě zaznamenávají přenosy IP adres, ale liší se v jejich chování a možnostech.

Protokoly toku virtuální sítě zjednodušují rozsah monitorování provozu, protože můžete povolit protokolování ve virtuálních sítích. Zaznamenává se provoz přes všechny podporované úlohy ve virtuální síti.

Protokoly toku virtuální sítě také nemusí povolovat protokolování toku na více úrovních, například v protokolech toků skupin zabezpečení sítě. V protokolech toku skupin zabezpečení sítě se skupiny zabezpečení sítě konfigurují v podsíti i síťovém rozhraní .

Kromě existující podpory pro identifikaci provozu, který pravidla skupin zabezpečení sítě povolují nebo zakazují, podporují protokoly toků virtuálních sítí identifikaci provozu, který pravidla správce zabezpečení Azure Virtual Network Manageru povolují nebo zakazují. Protokoly toku virtuální sítě také podporují vyhodnocení stavu šifrování síťového provozu ve scénářích, kdy používáte šifrování virtuální sítě.

Důležité

Před povolením protokolů toku virtuální sítě ve stejných základních úlohách doporučujeme zakázat protokoly toku skupiny zabezpečení sítě, abyste se vyhnuli duplicitnímu záznamu provozu a dalším nákladům. Pokud povolíte protokoly toku skupiny zabezpečení sítě ve skupině zabezpečení sítě podsítě, povolíte protokoly toku virtuální sítě ve stejné podsíti nebo nadřazené virtuální síti, můžete získat duplicitní protokolování (protokoly toku skupiny zabezpečení sítě i protokoly toku virtuální sítě generované pro všechny podporované úlohy v dané podsíti).

Jak funguje protokolování

Mezi klíčové vlastnosti protokolů toku virtuální sítě patří:

• Protokoly toku pracují ve vrstvě 4 modelu Open Systems Interconnection (OSI) a zaznamenávají všechny toky IP procházející virtuální sítí.
• Protokoly se shromažďují v minutových intervalech prostřednictvím platformy Azure. Neovlivňují vaše prostředky Azure ani síťový provoz.
• Protokoly se zapisují ve formátu JSON (JavaScript Object Notation).
• Každý záznam protokolu obsahuje síťové rozhraní, na které se tok vztahuje, informace o řazené kolekci členů, směr provozu, stav toku, stav šifrování a informace o propustnosti.
• Všechny toky provozu ve vaší síti se vyhodnocují pomocí příslušných pravidel skupiny zabezpečení sítě nebo pravidel správce zabezpečení azure Virtual Network Manageru.

Formát protokolu

Protokoly toku virtuální sítě mají následující vlastnosti:

• time: Čas ve standardu UTC, kdy byla událost zaznamenána.
• flowLogVersion: Verze schématu protokolu toku.
• flowLogGUID: IDENTIFIKÁTOR GUID FlowLog zdroje prostředku.
• macAddress: Adresa MAC síťového rozhraní, kde byla zaznamenána událost.
• category: Kategorie události. Kategorie je vždy FlowLogFlowEvent.
• flowLogResourceID: ID FlowLog prostředku.
• targetResourceID: ID prostředku cílového prostředku, který je přidružený k FlowLog prostředku.
• operationName: Vždy FlowLogFlowEvent.
• flowRecords: Shromažďování záznamů toku.
  • flows: Kolekce toků. Tato vlastnost obsahuje více položek pro seznamy řízení přístupu (ACL):
    • aclID: Identifikátor prostředku, který vyhodnocuje provoz, buď skupinu zabezpečení sítě, nebo Virtual Network Manager. Pro provoz, který je odepřen kvůli šifrování, je unspecifiedtato hodnota .
    • flowGroups: Shromažďování záznamů toku na úrovni pravidla:
      • rule: Název pravidla, které provoz povolil nebo odepřel. Pro provoz, který je odepřen kvůli šifrování, je unspecifiedtato hodnota .
      • flowTuples: Řetězec, který obsahuje více vlastností řazené kolekce členů toku ve formátu odděleném čárkami:
        • Time Stamp: Časové razítko výskytu toku ve formátu systém UNIX epochy.
        • Source IP: Zdrojová IP adresa.
        • Destination IP: Cílová IP adresa.
        • Source port: Zdrojový port.
        • Destination port: Cílový port.
        • Protocol: Protokol toku vrstvy 4 vyjádřený v přiřazených hodnotách IANA.
        • Flow direction: Směr toku provozu. Platné hodnoty jsou I pro příchozí a O odchozí.
        • Flow state: Stav toku. Možné stavy jsou:
          • B: Začněte, když se vytvoří tok. Nejsou k dispozici žádné statistiky.
          • C: Pokračování v probíhajícím toku. Statistiky se poskytují v pětiminutových intervalech.
          • E: Ukončení, když je tok ukončen. Jsou k dispozici statistiky.
          • D: Odepřít, když je tok odepřen.
        • Flow encryption: Stav šifrování toku. Tabulka za tímto seznamem popisuje možné hodnoty.
        • Packets sent: Celkový počet paketů odeslaných ze zdroje do cíle od poslední aktualizace.
        • Bytes sent: Celkový počet bajtů paketů odeslaných ze zdroje do cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.
        • Packets received: Celkový počet paketů odeslaných z cíle do zdroje od poslední aktualizace.
        • Bytes received: Celkový počet bajtů paketů odeslaných z cíle do zdroje od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Flow encryption má následující možné stavy šifrování:

Stav šifrování	Popis
X	Připojení ion je šifrovaný. Šifrování se nakonfiguruje a platforma připojení zašifrovala.
NX	Připojení ion je nešifrovaný. Tato událost se protokoluje ve dvou scénářích: – Pokud není nakonfigurované šifrování. – Když šifrovaný virtuální počítač komunikuje s koncovým bodem, který nemá šifrování (například internetový koncový bod).
NX_HW_NOT_SUPPORTED	Hardware není podporován. Šifrování je nakonfigurované, ale virtuální počítač běží na hostiteli, který nepodporuje šifrování. K tomuto problému obvykle dochází, protože pole s programovatelným hradlem (FPGA) není připojené k hostiteli nebo je chybné. Ohlaste tento problém do Microsoftu a prošetření.
NX_SW_NOT_READY	Software není připravený. Šifrování je nakonfigurované, ale softwarová komponenta (GFT) v zásobníku síťových služeb hostitele není připravená zpracovávat šifrovaná připojení. K tomuto problému může dojít při prvním spuštění virtuálního počítače, restartování nebo opětovném nasazení. Může k tomu dojít také v případě, že je na hostiteli, na kterém je spuštěný virtuální počítač, aktualizaci síťových komponent. Ve všech těchto scénářích se paket zahodí. Problém by měl být dočasný. Šifrování by mělo začít fungovat po úplném spuštění virtuálního počítače nebo dokončení aktualizace softwaru na hostiteli. Pokud má problém delší dobu trvání, nahlaste ho Microsoftu, aby ho prošetroval.
NX_NOT_ACCEPTED	Zahoďte kvůli žádnému šifrování. Šifrování se konfiguruje na zdrojovém i cílovém koncovém bodu s poklesem nešifrovaných zásad. Pokud šifrování provozu selže, paket se zahodí.
NX_NOT_SUPPORTED	Zjišťování není podporováno. Šifrování je nakonfigurované, ale relace šifrování nebyla vytvořena, protože zásobník síťových služeb hostitele nepodporuje zjišťování. V tomto případě se paket zahodí. Pokud narazíte na tento problém, nahlaste ho Microsoftu, aby ho prošetřením prošetřením.
NX_LOCAL_DST	Cíl je na stejném hostiteli. Šifrování je nakonfigurované, ale zdrojové a cílové virtuální počítače běží na stejném hostiteli Azure. V tomto případě není připojení záměrně šifrované.
NX_FALLBACK	Vraťte se zpět k žádnému šifrování. Šifrování se konfiguruje pomocí zásad Povolit nešifrované pro zdrojové i cílové koncové body. Systém se pokusil o šifrování, ale měl problém. V tomto případě je připojení povolené, ale není šifrované. Například virtuální počítač původně přistál na uzlu, který podporuje šifrování, ale tato podpora byla později odebrána.

Provoz ve vašich virtuálních sítích je ve výchozím nastavení nešifrovaný (NX). Šifrovaný provoz najdete v tématu Šifrování virtuální sítě.

Ukázkový záznam protokolu

V následujícím příkladu protokolů toku virtuální sítě následuje několik záznamů podle seznamu vlastností popsaných výše.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "abcdef01-2345-6789-0abc-def012345678",
            "macAddress": "00224871C205",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00000000-1234-abcd-ef00-c1c2c3c4c5c6",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,52.239.184.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,52.239.184.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,40.74.146.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,40.74.146.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,104.16.218.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,104.16.218.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "01020304-abcd-ef00-1234-102030405060",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,20.106.221.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,20.55.117.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,20.55.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,13.65.224.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,20.55.117.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,20.55.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,20.106.221.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Výpočet řazené kolekce členů protokolu a šířky pásma

Tady je příklad výpočtu šířky pásma pro tok řazených kolekcí členů z konverzace TCP mezi 185.170.185.105:35370 a 10.2.0.4:23:

1493763938,185.170.185.105,10.2.0.4,35370,23,6,I,B,NX,,,, 1493695838,185.170.185.105,10.2.0.4,35370,23,6,I,C,NX,1021,588096,8005,4610880 1493696138,185.170.185.105,10.2.0.4,35370,23,6,I,E,NX,52,29952,47,27072

Pro stavy pokračování (C) a koncového (E) toku jsou počty bajtů a paketů agregované od času záznamu řazené kolekce členů předchozího toku. V ukázkové konverzaci je celkový počet přenesených paketů 1 021 + 52 + 8 005 + 47 = 9 125. Celkový počet přenesených bajtů je 588 096 + 29 952 + 4 610 880 + 27 072 = 5 256 000.

Důležité informace o účtu úložiště pro protokoly toku virtuální sítě

• Umístění: Účet úložiště musí být ve stejné oblasti jako virtuální síť.
• Předplatné: Účet úložiště musí být ve stejném předplatném virtuální sítě nebo v předplatném přidruženém ke stejnému tenantovi Microsoft Entra předplatného virtuální sítě.
• Úroveň výkonu: Účet úložiště musí být standardní. Účty Premium Storage nejsou podporovány.
• Obměna klíčů spravovaných svým držitelem: Pokud změníte nebo otočíte přístupové klíče k účtu úložiště, protokoly toku virtuální sítě přestanou fungovat. Chcete-li tento problém vyřešit, musíte zakázat a znovu povolit protokoly toku virtuální sítě.

Ceny

• Protokoly toku virtuální sítě se účtují za gigabajt shromážděných protokolů toku sítě a obsahují bezplatnou úroveň 5 GB za měsíc za předplatné.

  Poznámka:

  Protokoly toku virtuální sítě se budou účtovat od 1. června 2024.

• Pokud je povolená analýza provozu s protokoly toků virtuální sítě, platí ceny analýzy provozu za každou gigabajtovou rychlost zpracování. Analýza provozu se nenabízí s cenovou úrovní Free. Další informace najdete v tématu Ceny služby Network Watcher.

• Úložiště protokolů se účtuje samostatně. Další informace najdete v tématu s cenami služby Azure Blob Storage.

Dostupnost

Protokoly toku virtuální sítě jsou obecně dostupné ve všech veřejných oblastech Azure.

Související obsah

• Informace o vytváření, změnách, povolení, zakázání nebo odstraňování protokolů toku virtuální sítě najdete v průvodcích Azure Portal, PowerShellu nebo Azure CLI .
• Další informace o analýze provozu najdete v tématu Přehled analýzy provozu a Agregace dat v analýze provozu služby Azure Network Watcher.
• Informace o použití předdefinovaných zásad Azure k auditování nebo povolení analýzy provozu najdete v tématu Správa analýz provozu pomocí Služby Azure Policy.