Verwalten von NSG-Datenflussprotokollen mit der Azure-Portal

  • Artikel

Die Datenflussprotokollierung für Netzwerksicherheitsgruppen ist ein Feature von Azure Network Watcher, mit dem Sie Informationen zu IP-Datenverkehr protokollieren können, der eine Netzwerksicherheitsgruppe durchläuft. Weitere Informationen zur Datenflussprotokollierung für Netzwerksicherheitsgruppen finden Sie unter Übersicht über NSG-Datenflussprotokolle.

In diesem Artikel erfahren Sie, wie Sie mithilfe der Azure-Portal ein NSG-Datenflussprotokoll erstellen, ändern, deaktivieren oder löschen. Sie erfahren, wie Sie ein NSG-Flussprotokoll mithilfe von PowerShell, der Azure CLI, REST-API oder ARM-Vorlage verwalten.

Voraussetzungen

Registrieren von Insights-Anbietern

Der Microsoft.Insights-Anbieter muss registriert sein, um den Datenverkehr, der eine Netzwerksicherheitsgruppe durchläuft, erfolgreich protokollieren zu können. Wenn Sie sich nicht sicher sind, ob der Anbieter Microsoft.Insights registriert ist, prüfen Sie seinen Status:

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Abonnements ein. Wählen Sie in den Suchergebnissen Abonnements aus.

  2. Wählen Sie unter Abonnements das Azure-Abonnement aus, für das Sie den Anbieter aktivieren möchten.

  3. Klicken Sie unter Einstellungen auf Ressourcenanbieter.

  4. Geben Sie Erkenntnis in das Filterfeld ein.

  5. Vergewissern Sie sich, dass der angezeigte Status des Anbieters Registriert lautet. Wenn der Status NotRegistered lautet, wählen Sie den Microsoft.Insights-Anbieter aus und dann Registrieren.

    Screenshot des Registrierens des Anbieters „Microsoft.Insights“ im Azure-Portal.

Erstellen eines Datenflussprotokolls

Erstellen Sie ein Datenflussprotokoll für Ihre Netzwerksicherheitsgruppe. Dieses NSG-Datenflussprotokoll wird in einem Azure-Speicherkonto gespeichert.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle die blaue Schaltfläche + Erstellen oder Datenflussprotokoll erstellen aus.

    Screenshot der Seite „Datenflussprotokolle“ im Azure-Portal.

  4. Geben Sie unter Datenflussprotokoll erstellen die folgenden Werte ein, oder wählen Sie diese aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie das Azure-Abonnement Ihrer Netzwerksicherheitsgruppe aus, das Sie protokollieren möchten.
    Netzwerksicherheitsgruppe Klicken Sie auf + Ressource auswählen.
    Wählen Sie unter Netzwerksicherheitsgruppe auswählen die Option myNSG aus. Wählen Sie anschließend Auswahl bestätigen aus.
    Name des Datenflussprotokolls Geben Sie einen Namen für das Datenflussprotokoll ein, oder behalten Sie den Standardnamen bei. myNSG-myResourceGroup-flowlog ist der Standardname für dieses Beispiel.
    Instanzendetails
    Subscription Wählen Sie das Azure-Abonnement Ihres Speicherkontos aus.
    Speicherkonten Wählen Sie das Speicherkonto aus, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie Neues Speicherkonto erstellen aus.
    Beibehaltung (Tage) Geben Sie eine Aufbewahrungsdauer für die Protokolle ein. Geben Sie 0 ein, wenn Sie die Datenflussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie sie aus dem Speicherkonto löschen). Informationen zu Preisen finden Sie unter Preise für Azure Storage.

    Screenshot: Erstellen eines NSG-Datenflussprotokolls im Azure-Portal.

    Hinweis

    Wenn das Speicherkonto sich in einem anderen Abonnement befindet, müssen die Netzwerksicherheitsgruppe und das Speicherkonto demselben Azure Active Directory-Mandanten zugeordnet sein. Die für die beiden Abonnements verwendeten Konten müssen über die erforderlichen Berechtigungen verfügen.

  5. Klicken Sie auf Überprüfen + erstellen.

  6. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

Erstellen eines Datenflussprotokolls und eines Arbeitsbereichs für die Datenverkehrsanalyse

Erstellen Sie ein Datenflussprotokoll für Ihre Netzwerksicherheitsgruppe, und aktivieren Sie die Datenverkehrsanalyse. Das NSG-Datenflussprotokoll wird in einem Azure-Speicherkonto gespeichert.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle die blaue Schaltfläche + Erstellen oder Datenflussprotokoll erstellen aus.

    Screenshot der Seite „Datenflussprotokolle“ im Azure-Portal.

  4. Geben Sie unter Datenflussprotokoll erstellen die folgenden Werte ein, oder wählen Sie diese aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie das Azure-Abonnement Ihrer Netzwerksicherheitsgruppe aus, das Sie protokollieren möchten.
    Netzwerksicherheitsgruppe Klicken Sie auf + Ressource auswählen.
    Wählen Sie unter Netzwerksicherheitsgruppe auswählen die Option myNSG aus. Wählen Sie anschließend Auswahl bestätigen aus.
    Name des Datenflussprotokolls Geben Sie einen Namen für das Datenflussprotokoll ein, oder behalten Sie den Standardnamen bei. Standardmäßig erstellt das Azure-Portal das Datenflussprotokoll {network-security-group}-{resource-group}-flowlog in der Ressourcengruppe NetworkWatcherRG.
    Instanzendetails
    Subscription Wählen Sie das Azure-Abonnement Ihres Speicherkontos aus.
    Speicherkonten Wählen Sie das Speicherkonto aus, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie Neues Speicherkonto erstellen aus.
    Beibehaltung (Tage) Geben Sie eine Aufbewahrungsdauer für die Protokolle ein. Geben Sie 0 ein, wenn Sie die Datenflussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie sie aus dem Speicherkonto löschen). Informationen zu Preisen finden Sie unter Preise für Azure Storage.

    Screenshot: Registerkarte „Grundlagen“ zum Erstellen eines Datenflussprotokolls im Azure-Portal.

    Hinweis

    Wenn das Speicherkonto sich in einem anderen Abonnement befindet, müssen die Netzwerksicherheitsgruppe und das Speicherkonto demselben Azure Active Directory-Mandanten zugeordnet sein. Die für die beiden Abonnements verwendeten Konten müssen über die erforderlichen Berechtigungen verfügen.

  5. Wählen Sie die Schaltfläche Weiter: Analyse oder die Registerkarte Analyse aus. Geben Sie dann die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    Datenflussprotokollversion Wählen Sie die Version des Datenflussprotokolls aus. Version 2 ist standardmäßig ausgewählt, wenn Sie ein Datenflussprotokoll mithilfe des Azure-Portals erstellen. Weitere Informationen zu den Versionen der Datenflussprotokolle finden Sie unter Protokollformat von NSG-Datenflussprotokollen.
    Traffic Analytics
    Aktivieren von Traffic Analytics Aktivieren Sie das Kontrollkästchen, um die Datenverkehrsanalyse für Ihr Datenflussprotokoll zu aktivieren.
    Intervall für Traffic Analytics-Verarbeitung Wählen Sie das von Ihnen bevorzugte Verarbeitungsintervall aus. Verfügbare Optionen sind: Jede Stunde und Alle 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter Traffic Analytics.
    Subscription Wählen Sie das Azure-Abonnement für Ihren Log Analytics-Arbeitsbereich aus.
    Log Analytics-Arbeitsbereich Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. Standardmäßig erstellt Azure-Portal den Log Analytics-Arbeitsbereich DefaultWorkspace-{subscription-id}-{region} in der Ressourcengruppe defaultresourcegroup-{Region}.

    Screenshot: Aktivieren der Datenverkehrsanalyse für ein Datenflussprotokoll im Azure-Portal.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

Ändern eines Datenflussprotokolls

Sie können die Eigenschaften eines Datenflussprotokoll ändern, nachdem Sie es erstellt haben. Beispielsweise können Sie die Version des Datenflussprotokolls ändern oder die Datenverkehrsanalyse deaktivieren.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle das Datenflussprotokoll aus, das Sie ändern möchten.

  4. In den Einstellungen für Datenflussprotokolle können Sie die folgenden Einstellungen ändern:

    • Version der Datenflussprotokolle: Ändern Sie die Version des Datenflussprotokolls. Verfügbare Versionen sind: Version 1 und Version 2. Version 2 ist standardmäßig ausgewählt, wenn Sie ein Datenflussprotokoll mithilfe des Azure-Portals erstellen. Weitere Informationen zu den Versionen der Datenflussprotokolle finden Sie unter Protokollformat von NSG-Datenflussprotokollen.
    • Speicherkonto: Ändern Sie das Speicherkonto, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie Neues Speicherkonto erstellen aus.
    • Aufbewahrung (Tage): Ändern Sie die Aufbewahrungszeit im Speicherkonto. Geben Sie 0 ein, wenn Sie die Datenflussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie die Daten manuell aus dem Speicherkonto löschen).
    • Traffic Analytics: Aktivieren oder deaktivieren Sie die Datenverkehrsanalyse für Ihr Datenflussprotokoll. Weitere Informationen finden Sie unter Traffic Analytics.
    • Traffic Analytics-Verarbeitungsintervall: Ändern Sie das Verarbeitungsintervall der Datenverkehrsanalyse (wenn die Datenverkehrsanalyse aktiviert ist). Verfügbare Optionen sind: eine Stunde und 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter Traffic Analytics.
    • Log Analytics-Arbeitsbereich: Ändern Sie den Log Analytics-Arbeitsbereich, in dem Sie die Datenflussprotokolle speichern möchten (wenn die Datenverkehrsanalyse aktiviert ist).

    Screenshot der Einstellungsseite für Datenflussprotokolle im Azure-Portal, auf der Sie einige Einstellungen ändern können.

Auflisten aller Datenflussprotokolle

Sie können alle Datenflussprotokolle in einem Abonnement oder einer Gruppe von Abonnements auflisten. Sie können auch alle Datenflussprotokolle in einer Region auflisten.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie den Filter Abonnement gleich aus, um eines oder mehrere Ihrer Abonnements auszuwählen. Sie können andere Filter wie Standort gleich anwenden, um alle Datenflussprotokolle in einer Region auflisten zu können.

    Screenshot: Verwenden von Filtern zum Auflisten aller vorhandenen Datenflussprotokolle in einem Abonnement mit dem Azure-Portal.

Anzeigen von Details einer Datenflussprotokollressource

Sie können die Details eines Datenflussprotokolls in einem Abonnement oder einer Gruppe von Abonnements anzeigen. Sie können auch alle Datenflussprotokolle in einer Region auflisten.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle das Datenflussprotokoll aus, das Sie anzeigen möchten.

  4. Unter Einstellungen für Datenflussprotokolle können Sie die Einstellungen der Datenflussprotokollressource anzeigen.

    Screenshot der Seite „Einstellungen für Datenflussprotokolle“ im Azure-Portal.

Herunterladen eines Flowprotokolls

Bei der Erstellung wird der Speicherort eines Flowprotokolls definiert. Sie können Azure Storage-Explorer verwenden, um auf Datenflussprotokolle in Ihrem Speicherkonto zuzugreifen und diese herunterzuladen. Weitere Informationen finden Sie unter Erste Schritte mit Storage-Explorer.

NSG-Datenflussprotokoll-Dateien werden unter dem folgenden Pfad in einem Speicherkonto gespeichert:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Informationen zur Struktur eines Datenflussprotokolls finden Sie unter Protokollformat von NSG-Datenflussprotokollen.

Deaktivieren eines Datenflussprotokolls

Sie können ein NSG-Datenflussprotokoll vorübergehend deaktivieren, ohne es zu löschen. Durch das Deaktivieren eines Datenflussprotokolls wird die Datenflussprotokollierung für die zugeordnete Netzwerksicherheitsgruppe beendet. Die Datenflussprotokoll-Ressource bleibt jedoch mit all ihren Einstellungen und Zuordnungen erhalten. Sie können das Datenflussprotokoll jederzeit wieder aktivieren, um mit der Datenflussprotokollierung für die konfigurierte Netzwerksicherheitsgruppe fortzufahren.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Aktivieren Sie in Network Watcher | Datenflussprotokolle das Kontrollkästchen des Datenflussprotokolls, das Sie deaktivieren möchten.

  4. Wählen Sie Deaktivieren aus.

    Screenshot: Deaktivieren eines Datenflussprotokolls im Azure-Portal.

Hinweis

Wenn die Datenverkehrsanalyse für ein Datenflussprotokoll aktiviert ist, muss sie deaktiviert werden, bevor Sie das Datenflussprotokoll deaktivieren können. Informationen zum Deaktivieren der Datenverkehrsanalyse finden Sie unter Ändern eines Datenflussprotokolls.

Löschen eines Datenflussprotokolls

Sie können ein NSG-Datenflussprotokoll dauerhaft löschen. Beim Löschen eines Datenflussprotokolls werden alle zugehörigen Einstellungen und Zuordnungen gelöscht. Wenn Sie für die gleiche Netzwerksicherheitsgruppe wieder mit der Datenflussprotokollierung beginnen möchten, muss eine neue Datenflussprotokoll-Ressource erstellt werden.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Aktivieren Sie in Network Watcher | Datenflussprotokolle das Kontrollkästchen des Datenflussprotokolls, das Sie löschen möchten.

  4. Klicken Sie auf Löschen.

    Screenshot: Löschen eines Datenflussprotokolls im Azure-Portal.

Hinweis

Beim Löschen eines Datenflussprotokolls werden die Daten des Datenflussprotokolls nicht aus dem Speicherkonto gelöscht. Datenflussprotokolle, die im Speicherkonto gespeichert sind, folgen der konfigurierten Aufbewahrungsrichtlinie oder bleiben im Speicherkonto gespeichert, bis sie manuell gelöscht werden (falls keine Aufbewahrungsrichtlinie konfiguriert ist).

Nächste Schritte