Erstellen, Ändern, Aktivieren, Deaktivieren oder Löschen von Datenflussprotokollen für virtuelle Netzwerke über das Azure-Portal

  • Artikel

Die Datenflussprotokollierung für virtuelle Netzwerke ist eine Funktion von Azure Network Watcher, mit der Sie Informationen zu IP-Datenverkehr protokollieren können, der eine Netzwerksicherheitsgruppe durchläuft. Weitere Informationen zur Datenflussprotokollierung für virtuelle Netzwerke finden Sie in der Übersicht über VNet-Datenflussprotokolle.

In diesem Artikel erfahren Sie, wie Sie ein Datenflussprotokoll für ein virtuelles Netzwerk (VNet) über das Azure-Portal erstellen, ändern, deaktivieren oder löschen. Sie können sich auch darüber informieren, wie Sie ein VNet-Datenflussprotokoll mithilfe von PowerShell oder der Azure-Befehlszeilenschnittstelle verwalten.

Voraussetzungen

Registrieren von Insights-Anbietern

Der Microsoft.Insights-Anbieter muss registriert sein, um den Datenverkehr, der ein virtuelles Netzwerk durchläuft, erfolgreich protokollieren zu können. Wenn Sie sich nicht sicher sind, ob der Anbieter Microsoft.Insights registriert ist, prüfen Sie seinen Status mithilfe der folgenden Schritte:

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Abonnements ein. Wählen Sie in den Suchergebnissen Abonnements aus.

    Screenshot, der zeigt, wie Sie im Azure-Portal nach „Abonnements“ suchen.

  2. Wählen Sie unter Abonnements das Azure-Abonnement aus, für das Sie den Anbieter aktivieren möchten.

  3. Klicken Sie unter Einstellungen auf Ressourcenanbieter.

  4. Geben Sie Erkenntnis in das Filterfeld ein.

  5. Vergewissern Sie sich, dass der angezeigte Status des Anbieters Registriert lautet. Wenn der Status NotRegistered lautet, wählen Sie den Microsoft.Insights-Anbieter aus und dann Registrieren.

    Screenshot, der zeigt, wie Sie den Microsoft Insights-Anbieter im Azure-Portal registrieren.

Erstellen eines Datenflussprotokolls

Erstellen Sie ein Flussprotokoll für Ihr virtuelles Netzwerk, Ihr Subnetz oder Ihre Netzwerkschnittstelle. Das Datenflussprotokoll wird in einem Azure-Speicherkonto gespeichert.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle die blaue Schaltfläche + Erstellen oder Datenflussprotokoll erstellen aus.

    Screenshot der Datenflussprotokolle des Network Watcher im Azure-Portal.

  4. Geben Sie auf der Registerkarte Grundlagen von Datenflussprotokoll erstellen die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie das Azure-Abonnement Ihres virtuellen Netzwerks aus, das Sie protokollieren möchten.
    Art des Datenflussprotokolls Wählen Sie Virtuelles Netzwerk und dann + Zielressource auswählen (verfügbare Optionen sind: Virtuelles Netzwerk, Subnetzund Netzwerkschnittstelle).
    Wählen Sie die Ressourcen aus, die Sie in das Datenflussprotokoll aufnehmen möchten, und wählen Sie dann Auswahl bestätigen aus.
    Name des Datenflussprotokolls Geben Sie einen Namen für das Datenflussprotokoll ein, oder behalten Sie den Standardnamen bei. Das Azure-Portal verwendet {ResourceName}-{ResourceGroupName}-flowlog als Standardname für das Datenflussprotokoll.
    Instanzendetails
    Subscription Wählen Sie das Azure-Abonnement Ihres Speicherkontos aus.
    Speicherkonten Wählen Sie das Speicherkonto aus, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie Neues Speicherkonto erstellen aus.
    Beibehaltung (Tage) Geben Sie eine Aufbewahrungszeit für die Protokolle ein (diese Option ist nur für Standard, Universell V2-Speicherkonten verfügbar). Geben Sie 0 ein, wenn Sie die Datenflussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie sie manuell aus dem Speicherkonto löschen). Informationen zu Preisen finden Sie unter Preise für Azure Storage.

    Screenshot der Registerkarte „Grundlagen“ beim Erstellen eines VNet-Datenflussprotokolls im Azure-Portal

    Hinweis

    Wenn sich das Speicherkonto in einem anderen Abonnement befindet, müssen die Ressource, die Sie protokollieren (virtuelles Netzwerk, Subnetz oder Netzwerkschnittstelle) und das Speicherkonto mit demselben Microsoft Entra-Mandanten verbunden sein. Die für die beiden Abonnements verwendeten Konten müssen über die erforderlichen Berechtigungen verfügen.

  5. Um Die Datenverkehrsanalyse zu aktivieren, wählen Sie die Schaltfläche Weiter: Analyse aus, oder wählen Sie die Registerkarte Analyse aus. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Aktivieren von Traffic Analytics Aktivieren Sie das Kontrollkästchen, um die Datenverkehrsanalyse für Ihr Datenflussprotokoll zu aktivieren.
    Verarbeitungsintervall der Datenverkehrsanalyse Wählen Sie das von Ihnen bevorzugte Verarbeitungsintervall aus. Verfügbare Optionen sind: Jede Stunde und Alle 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter Datenverkehrsanalyse.
    Subscription Wählen Sie das Azure-Abonnement für Ihren Log Analytics-Arbeitsbereich aus.
    Log Analytics-Arbeitsbereich Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. Standardmäßig erstellt Azure-Portal den Log Analytics-Arbeitsbereich DefaultWorkspace-{SubscriptionID}-{Region} in der Ressourcengruppe defaultresourcegroup-{Region}.

    Screenshot, der zeigt, wie Sie im Azure-Portal die Datenverkehrsanalyse für ein neues Datenflussprotokoll aktivieren.

    Hinweis

    Informationen zum Erstellen und Auswählen eines anderen Log Analytics-Arbeitsbereichs als dem Standardarbeitsbereich finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

Aktivieren oder Deaktivieren von Datenverkehrsanalysen

Aktivieren Sie die Datenverkehrsanalyse für ein Datenflussprotokoll, um die Daten des Datenflussprotokolls zu analysieren. Datenverkehrsanalysen bieten Einblicke in die Datenverkehrsmuster Ihres virtuellen Netzwerks. Sie können die Datenverkehrsanalyse für ein Datenflussprotokoll jederzeit aktivieren oder deaktivieren.

Führen Sie die folgenden Schritte aus, um die Datenverkehrsanalyse für ein Datenflussprotokoll zu aktivieren:

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle das Datenflussprotokoll aus, für das Sie die Datenverkehrsanalyse aktivieren möchten.

  4. Aktivieren Sie in den Datenflussprotokoll-Einstellungen das Kontrollkästchen Datenverkehrsanalyse aktivieren.

    Screenshot, der zeigt, wie Sie im Azure-Portal die Datenverkehrsanalyse für ein vorhandenes Datenflussprotokoll aktivieren.

  5. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Verarbeitungsintervall der Datenverkehrsanalyse Wählen Sie das von Ihnen bevorzugte Verarbeitungsintervall aus. Verfügbare Optionen sind: Jede Stunde und Alle 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter Datenverkehrsanalyse.
    Subscription Wählen Sie das Azure-Abonnement für Ihren Log Analytics-Arbeitsbereich aus.
    Log Analytics-Arbeitsbereich Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. Standardmäßig erstellt Azure-Portal den Log Analytics-Arbeitsbereich DefaultWorkspace-{SubscriptionID}-{Region} in der Ressourcengruppe defaultresourcegroup-{Region}.

    Screenshot, der Konfigurationen der Datenverkehrsanalyse für ein vorhandenes Datenflussprotokoll im Azure-Portal zeigt.

  6. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Um die Datenverkehrsanalyse für ein Datenflussprotokoll zu deaktivieren, führen Sie die vorherigen Schritte 1–3 aus, deaktivieren Sie dann das Kontrollkästchen Datenverkehrsanalyse aktivieren, und wählen Sie Speichern aus.

Screenshot, der zeigt, wie Sie im Azure-Portal die Datenverkehrsanalyse für ein vorhandenes Datenflussprotokoll deaktivieren.

Ändern eines Datenflussprotokolls

Sie können ein Datenflussprotokoll nach dem Erstellen konfigurieren und ändern. Sie können z. B. das Speicherkonto oder den Log Analytics-Arbeitsbereich ändern.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle das Datenflussprotokoll aus, das Sie ändern möchten.

  4. In den Einstellungen für Datenflussprotokolle können Sie die folgenden Einstellungen ändern:

    • Speicherkonto: Ändern Sie das Speicherkonto, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie Neues Speicherkonto erstellen aus. Sie können auch ein Speicherkonto aus einem anderen Abonnement auswählen. Wenn sich das Speicherkonto in einem anderen Abonnement befindet, müssen die Ressource, die Sie protokollieren (virtuelles Netzwerk, Subnetz oder Netzwerkschnittstelle) und das Speicherkonto mit demselben Microsoft Entra-Mandanten verbunden sein.
    • Aufbewahrung (Tage): Ändern Sie die Aufbewahrungszeit im Speicherkonto (diese Option ist nur für Standard, Universell V2-Speicherkonten verfügbar). Geben Sie 0 ein, wenn Sie die Datenflussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie die Daten manuell aus dem Speicherkonto löschen).
    • Datenverkehrsanalyse: Aktivieren oder deaktivieren Sie die Datenverkehrsanalyse für Ihr Datenflussprotokoll. Weitere Informationen finden Sie unter Datenverkehrsanalyse.
    • Verarbeitungsintervall für die Datenverkehrsanalyse: Ändern Sie das Verarbeitungsintervall der Datenverkehrsanalyse (wenn die Datenverkehrsanalyse aktiviert ist). Verfügbare Optionen sind: eine Stunde und 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter Datenverkehrsanalyse.
    • Log Analytics-Arbeitsbereich: Ändern Sie den Log Analytics-Arbeitsbereich, in dem Sie die Datenflussprotokolle speichern möchten (wenn die Datenverkehrsanalyse aktiviert ist). Weitere Informationen finden Sie unter Übersicht über Log Analytics-Arbeitsbereiche. Sie können auch einen Log Analytics-Arbeitsbereich aus einem anderen Abonnement auswählen.

    Screenshot der Bearbeitung von Einstellungen eines Datenflussprotokolls für ein virtuelles Netzwerk im Azure-Portal

  5. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

Auflisten aller Datenflussprotokolle

Sie können alle Datenflussprotokolle in einem Abonnement oder einer Gruppe von Abonnements auflisten. Sie können auch alle Datenflussprotokolle in einer Region auflisten.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie den Filter Abonnement gleich aus, um eines oder mehrere Ihrer Abonnements auszuwählen. Sie können andere Filter wie Standort gleich anwenden, um alle Datenflussprotokolle in einer Region auflisten zu können.

    Screenshot, der zeigt, wie vorhandene Ablaufprotokolle im Azure-Portal aufgeführt werden.

Anzeigen von Details einer Datenflussprotokollressource

Sie können die Details eines Datenflussprotokolls in einem Abonnement oder einer Gruppe von Abonnements anzeigen. Sie können auch alle Datenflussprotokolle in einer Region auflisten.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle das Datenflussprotokoll aus, das Sie anzeigen möchten.

  4. Unter Einstellungen für Datenflussprotokolle können Sie die Einstellungen der Datenflussprotokollressource anzeigen.

    Screenshot der Seite „Einstellungen für Datenflussprotokolle“ im Azure-Portal.

  5. Wählen Sie Verwerfen aus, um die Einstellungsseite zu schließen, ohne Änderungen vorzunehmen.

Herunterladen eines Flowprotokolls

Sie können die Daten des Datenflussprotokolls aus dem Speicherkonto herunterladen, in dem Sie das Datenflussprotokoll gespeichert haben.

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonten ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie das Speicherkonto aus, das Sie zum Speichern der Protokolle verwendet haben.

  3. Wählen Sie unter Datenspeicher die Option Container aus.

  4. Wählen Sie den Container insights-logs-flowlogflowevent aus.

  5. Navigieren Sie in insights-logs-flowlogflowevent in der Ordnerhierarchie, bis Sie zur Datei PT1H.json gelangen, die Sie herunterladen möchten. Die Datenflussprotokolldateien für ein virtuelles Netzwerk haben folgenden Pfad:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Wählen Sie die Auslassungspunkte rechts neben der Datei PT1H.json und dann Herunterladen aus.

    Screenshot des Herunterladens einer Datei mit einem VNet-Datenflussprotokoll aus dem Speicherkontocontainer im Azure-Portal

Hinweis

Sie können den Azure Storage-Explorer verwenden, um auf Datenflussprotokolle in Ihrem Speicherkonto zuzugreifen und diese herunterzuladen. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Informationen zur Struktur eines Datenflussprotokolls finden Sie unter Protokollformat von VNet-Datenflussprotokollen.

Deaktivieren eines Datenflussprotokolls

Sie können das Datenflussprotokoll eines virtuellen Netzwerks vorübergehend deaktivieren, ohne es zu löschen. Durch das Deaktivieren eines Datenflussprotokolls wird die Datenflussprotokollierung für das zugeordnete virtuelle Netzwerk beendet. Die Datenflussprotokoll-Ressource bleibt jedoch mit all ihren Einstellungen und Zuordnungen erhalten. Sie können das Datenflussprotokoll jederzeit wieder aktivieren, um mit der Datenflussprotokollierung für das konfigurierte virtuelle Netzwerk fortzufahren.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Aktivieren Sie in Network Watcher | Datenflussprotokolle das Kontrollkästchen des Datenflussprotokolls, das Sie deaktivieren möchten.

  4. Wählen Sie Deaktivieren aus.

    Screenshot: Deaktivieren eines Datenflussprotokolls im Azure-Portal.

Hinweis

Wenn die Datenverkehrsanalyse für ein Datenflussprotokoll aktiviert ist, müssen Sie sie deaktivieren, bevor Sie das Datenflussprotokoll deaktivieren können. Informationen zum Deaktivieren der Datenverkehrsanalyse finden Sie unter Aktivieren oder Deaktivieren der Datenverkehrsanalyse.

Aktivieren eines Datenflussprotokolls

Sie können ein VNet-Datenflussprotokoll aktivieren, das Sie zuvor deaktiviert haben, um die Datenflussprotokollierung mit den gleichen Einstellungen fortzusetzen, die Sie zuvor ausgewählt haben.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Aktivieren Sie in Network Watcher | Datenflussprotokolle das Kontrollkästchen des Datenflussprotokolls, das Sie aktivieren möchten.

  4. Wählen Sie Aktivieren.

    Screenshot: Aktivieren eines Datenflussprotokolls im Azure-Portal.

Löschen eines Datenflussprotokolls

Sie können das Datenflussprotokoll eines virtuellen Netzwerks endgültig löschen. Beim Löschen eines Datenflussprotokolls werden alle zugehörigen Einstellungen und Zuordnungen gelöscht. Wenn Sie für dasselbe virtuelle Netzwerk wieder mit der Datenflussprotokollierung beginnen möchten, müssen Sie ein neues Datenflussprotokoll dafür erstellen.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Aktivieren Sie in Network Watcher | Datenflussprotokolle das Kontrollkästchen des Datenflussprotokolls, das Sie löschen möchten.

  4. Klicken Sie auf Löschen.

    Screenshot: Löschen eines Datenflussprotokolls im Azure-Portal.

Hinweis

Beim Löschen eines Datenflussprotokolls werden die Daten des Datenflussprotokolls nicht aus dem Speicherkonto gelöscht. Datenflussprotokolldaten, die im Speicherkonto gespeichert sind, folgen der konfigurierten Aufbewahrungsrichtlinie oder bleiben im Speicherkonto gespeichert, bis sie manuell gelöscht werden.

Zugehöriger Inhalt