Datenflussprotokollierung für Netzwerksicherheitsgruppen
Die Datenflussprotokollierung für Netzwerksicherheitsgruppen (NSG) ist ein Feature von Azure Network Watcher, mit dem Sie Informationen zu IP-Datenverkehr protokollieren können, der eine Netzwerksicherheitsgruppe durchläuft. Flowdaten werden an Azure Storage gesendet. Von dort aus können Sie auf die Daten zugreifen und sie in jedes Visualisierungstool, eine SIEM-Lösung (Security Information and Event Management) oder ein Intrusion-Detection-System (IDS, Angriffserkennungssystem) Ihrer Wahl exportieren.
Gründe für die Verwendung von Datenflussprotokollen
Es ist wichtig, Ihr eigenes Netzwerk zu überwachen, zu verwalten und zu kennen, damit Sie es schützen und optimieren können. Sie müssen den aktuellen Status des Netzwerks kennen, wer eine Verbindung herstellt und von wo aus Benutzer eine Verbindung herstellen. Außerdem müssen Sie wissen, welche Ports für das Internet geöffnet sind, welches Netzwerkverhalten erwartet wird, welches Netzwerkverhalten irregulär ist und wann plötzlich ein Anstieg des Datenverkehrs eintritt.
Datenflussprotokolle sind die Quelle der Wahrheit für alle Netzwerkaktivitäten in ihrer Cloudumgebung. Unabhängig davon, ob Sie zu einem Startup-Unternehmen gehören, das versucht, Ressourcen zu optimieren, oder zu einem großen Unternehmen, das Eindringlinge erkennen möchte, Datenflussprotokolle können hilfreich sein. Sie können sie zur Optimierung des Netzwerkdatenflusses, zur Überwachung des Durchsatzes, zur Überprüfung der Compliance, zur Erkennung von Eindringversuchen und für vieles mehr verwenden.
Gängige Anwendungsfälle
Netzwerküberwachung
- Identifizieren Sie unbekannten oder unerwünschten Datenverkehr.
- Überwachen Sie die Datenverkehrsebenen und die Bandbreitennutzung.
- Filtern Sie Datenflussprotokolle nach IP-Adresse und Port, um das Anwendungsverhalten zu verstehen.
- Exportieren Sie Datenflussprotokolle in Analyse- und Visualisierungstools Ihrer Wahl, um Überwachungsdashboards einzurichten.
Nutzungsüberwachung und -optimierung
- Identifizieren Sie die Top Talker in Ihrem Netzwerk.
- Kombinieren Sie Datenflüsse mit GeoIP-Daten, um regionsübergreifenden Datenverkehr zu identifizieren.
- Verstehen Sie das Wachstum des Datenverkehrs, um Kapazitätsprognosen abgeben zu können.
- Verwenden Sie Daten, um übermäßig restriktive Datenverkehrsregeln zu entfernen.
Kompatibilität
- Überprüfen Sie anhand von Datenflussdaten die Netzwerkisolation und die Konformität mit den Unternehmenszugriffsregeln.
Netzwerkforensik und Sicherheitsanalyse
- Analysieren Sie Netzwerkdatenflüsse von kompromittierten IPs und Netzwerkschnittstellen.
- Exportieren Sie Datenflussprotokolle in ein beliebiges SIEM- oder IDS-Tool Ihrer Wahl.
Funktionsweise von NSG-Datenflussprotokollen
Zu den wichtigsten Eigenschaften von NSG-Datenflussprotokollen zählen unter anderem folgende:
- Datenflussprotokolle befinden sich in der vierten Schicht des OSI-Modells (Open Systems Interconnection) und erfassen alle ein- und ausgehenden IP-Datenflüsse einer Netzwerksicherheitsgruppe.
- Protokolle werden in 1-Minuten-Intervallen über die Azure-Plattform gesammelt. Sie wirken sich nicht auf Ihre Azure-Ressourcen oder auf die Netzwerkleistung aus.
- Protokolle werden im JSON-Format geschrieben und zeigen ein- und ausgehende Datenflüsse pro NSG-Regel.
- Jeder Protokolldatensatz enthält die Netzwerkschnittstelle (NIC), auf die sich der Datenfluss bezieht, 5-Tupel-Informationen, die Datenverkehrsentscheidung und (nur für Version 2) Durchsatzinformationen.
- NSG-Datenflussprotokolle verfügen über eine Aufbewahrungsfunktion, die das automatische Löschen der Protokolle bis zu einem Jahr nach ihrer Erstellung ermöglicht.
Hinweis
Aufbewahrung ist nur verfügbar, wenn Sie GPv2-Speicherkonten (Speicherkonten vom Typ „Allgemein v2“) verwenden.
Dies sind Kernkonzepte für Datenflussprotokolle:
- Softwaredefinierte Netzwerke werden um virtuelle Netzwerke und Subnetze herum organisiert. Sie können die Sicherheit dieser virtuellen Netzwerke und Subnetze mithilfe von Netzwerksicherheitsgruppen verwalten.
- Eine Netzwerksicherheitsgruppe enthält eine Liste mit Sicherheitsregeln, mit denen ein- oder ausgehender Netzwerkdatenverkehr für Azure-Ressourcen, mit denen die Netzwerksicherheitsgruppe verbunden ist, zugelassen oder verweigert wird. Eine Netzwerksicherheitsgruppe kann einem Subnetz oder einer Netzwerkschnittstelle eines virtuellen Computers (Virtual Machine, VM) zugeordnet werden. Weitere Informationen finden Sie unter Übersicht über Netzwerksicherheit.
- Alle Datenverkehrsflüsse in Ihrem Netzwerk werden über die Regeln in der entsprechenden Netzwerksicherheitsgruppe ausgewertet. Das Ergebnis dieser Auswertungen sind NSG-Datenflussprotokolle.
- NSG-Datenflussprotokolle werden über die Azure-Plattform erfasst und erfordern keine Änderung Ihrer Azure-Ressourcen.
- Es gibt zwei Arten von Netzwerksicherheitsgruppenregeln: beendend und nicht beendend. Jede weist unterschiedliche Protokollierungsverhalten auf:
- Verweigerungsregeln sind beendende Regeln. Die Netzwerksicherheitsgruppe, die den Datenverkehr verweigert, protokolliert ihn in Datenflussprotokollen. Die Verarbeitung wird in diesem Fall beendet, nachdem eine NSG den Datenverkehr verweigert hat.
- Zulassungsregeln sind nicht beendende Regeln. Wenn die Netzwerksicherheitsgruppe den Datenverkehr zulässt, wird die Verarbeitung mit der nächsten Netzwerksicherheitsgruppe fortgesetzt. Die letzte Netzwerksicherheitsgruppe, die Datenverkehr zulässt, protokolliert den Datenverkehr in den Datenflussprotokollen.
- NSG-Datenflussprotokolle werden in Speicherkonten geschrieben. Sie können NSG-Datenflussprotokolle mithilfe von Tools wie der Network Watcher-Datenverkehrsanalyse, Splunk, Grafana oder Stealthwatch exportieren, verarbeiten, analysieren und visualisieren.
Protokollformat
NSG-Datenflussprotokolle verfügen über folgende Eigenschaften:
time: Zeitpunkt (UTC), zu dem das Ereignis ausgelöst wurdesystemId: System-ID der Netzwerksicherheitsgruppecategory: Kategorie des Ereignisses. Die Kategorie ist immerNetworkSecurityGroupFlowEvent.resourceid: Ressourcen-ID der NetzwerksicherheitsgruppeoperationName: ImmerNetworkSecurityGroupFlowEventsproperties: Sammlung von Eigenschaften des Datenflusses:Version: Versionsnummer des Ereignisschemas des Datenflussprotokollsflows: Sammlung von Datenflüssen. Diese Eigenschaft verfügt über mehrere Einträge für verschiedene Regeln.rule: Regel, für die die Datenflüsse aufgeführt werdenflows: Sammlung von Datenflüssen.mac: MAC-Adresse der Netzwerkkarte für den virtuellen Computer, auf dem der Datenfluss erfasst wurdeflowTuples: Zeichenfolge, die mehrere Eigenschaften für das Datenflusstupel in einem Format mit Trennzeichen enthält:Time stamp: Zeitstempel für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX Epoch-FormatSource IP: Quell-IP-AdresseDestination IP: Ziel-IP-AdresseSource port: QuellportDestination port: ZielportProtocol: Protokoll des Datenflusses. Gültige Werte sindTfür TCP undUfür UDP.Traffic flow: Richtung des Datenverkehrflusses Gültige Werte sindIfür eingehende (inbound) undOfür ausgehende (outbound) Nachrichten.Traffic decision: Gibt an, ob Datenverkehr zugelassen oder verweigert wurde. Gültige Werte sindAfür zugelassen (allowed) undDfür verweigert (denied).Flow State - Version 2 Only: Zustand des Datenflusses Mögliche Statusangaben:B: Beginn; Erstellung eines Datenflusses Statistiken werden nicht bereitgestellt.C: Fortsetzung für einen laufenden Datenfluss Statistiken werden in Intervallen von 5 Minuten bereitgestellt.E: Ende; Beendigung eines Datenflusses Statistiken werden bereitgestellt.
Packets sent - Version 2 Only: Gesamtanzahl von TCP-Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurdenBytes sent - Version 2 Only: Gesamtanzahl von TCP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden Paketbytes enthalten den Paketheader und die Nutzlast.Packets received - Version 2 Only: Gesamtanzahl von TCP-Paketen, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden.Bytes received - Version 2 Only: Gesamtanzahl von TCP-Paketbytes, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden Paketbytes enthalten den Paketheader und die Nutzlast.
In Version 2 der NSG-Datenflussprotokolle wird das Konzept des Datenflusszustands eingeführt. Sie können konfigurieren, welche Version von Flowprotokollen Sie erhalten.
Der Flowzustand B wird aufgezeichnet, wenn ein Flow initiiert wird. Die Flowzustände C und E markieren die Fortsetzung bzw. die Beendung eines Flows. Die Zustände C und E enthalten Informationen zur Bandbreite des Datenverkehrs.
Beispielprotokolleinträge
In den folgenden Beispielen eines NSG-Datenflussprotokolls folgen mehrere Datensätze der zuvor beschriebenen Eigenschaftenliste.
Hinweis
Die Werte in der Eigenschaft flowTuples sind eine durch Trennzeichen getrennte Liste.
Version 1
Hier sehen Sie ein Beispielformat für ein NSG-Datenflussprotokoll der Version 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
Version 2
Hier sehen Sie ein Beispielformat für ein NSG-Datenflussprotokoll der Version 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Protokolltupel und Bandbreitenberechnung
Hier sehen Sie eine Beispielbandbreitenberechnung für Datenflusstupel aus einer TCP-Konversation zwischen 185.170.185.105:35370 und 10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
Für die Datenflusszustände C (Fortsetzung) und E (Beendigung) wird die Anzahl von Bytes und Paketen ab dem Zeitpunkt des vorherigen Datenfluss-Tupeldatensatzes aggregiert. In der Beispielkonversation ist die Gesamtanzahl der übertragenen Pakete 1021+52+8005+47 = 9125. Die Gesamtanzahl der übertragenen Bytes ist 588096+29952+4610880+27072 = 5256000.
Verwalten von NSG-Datenflussprotokollen
Informationen zum Erstellen, Ändern, Deaktivieren oder Löschen von NSG-Datenflussprotokollen finden Sie in einem der folgenden Leitfäden:
Arbeiten mit Datenflussprotokollen
Lesen und Exportieren von Datenflussprotokollen
Informationen zum Lesen und Exportieren von NSG-Datenflussprotokollen finden Sie in einem der folgenden Leitfäden:
- Herunterladen und Anzeigen von Datenflussprotokollen aus dem Portal
- Lesen von Datenflussprotokollen mithilfe von PowerShell-Funktionen
- Exportieren von NSG-Datenflussprotokollen in Splunk
NSG-Datenflussprotokolldateien werden im Speicherkonto unter dem folgenden Pfad gespeichert:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualisieren von Datenflussprotokollen
Informationen zum Visualisieren von NSG-Datenflussprotokollen finden Sie in einem der folgenden Leitfäden:
- Azure Network Watcher-Datenverkehrsanalysen
- Visualisieren der Datenflussprotokolle von Netzwerksicherheitsgruppen mit Power BI
- Visualisieren von Azure Network Watcher-NSG-Datenflussprotokollen mit Open-Source-Tools
- Datenflussprotokolle für Netzwerksicherheitsgruppen mit Network Watcher und Grafana verwalten und analysieren
- Verwalten und Analysieren von Datenflussprotokollen für Netzwerksicherheitsgruppen in Azure mithilfe von Network Watcher und Graylog
Überlegungen zu NSG-Datenflussprotokollen
Speicherkonto
- Standort: Das Speicherkonto muss sich in der gleichen Region befinden wie die Netzwerksicherheitsgruppe.
- Abonnement: Das Speicherkonto muss sich im selben Abonnement wie die Netzwerksicherheitsgruppe oder in einem Abonnement befinden, das demselben Microsoft Entra-Mandanten wie das Abonnement der Netzwerksicherheitsgruppe zugeordnet ist.
- Leistungsstufe: Die Leistungsstufe des Speicherkontos muss „Standard“ sein. Premium-Speicherkonten werden nicht unterstützt.
- Selbstverwaltete Schlüsselrotation: Wenn Sie die Zugriffsschlüssel für Ihr Speicherkonto ändern oder rotieren, funktionieren die NSG-Datenflussprotokolle nicht mehr. Um dieses Problem zu beheben, müssen Sie die NSG-Datenflussprotokolle deaktivieren und anschließend wieder aktivieren.
Kosten
Die NSG-Datenflussprotokollierung wird über die Menge der erzeugten Protokolle abgerechnet. Hohe Datenverkehrsvolumen können zu großen Datenflussprotokollvolumen und einem Anstieg der Kosten führen.
Die zugrunde liegenden Speicherkosten sind in den Preisen für NSG-Datenflussprotokolle nicht enthalten. Wenn Sie die Daten der NSG-Datenflussprotokolle für immer aufbewahren oder die Funktion der Aufbewahrungsrichtlinien verwenden, fallen für längere Zeiträume Speicherkosten an.
Nicht standardmäßige eingehende TCP-Regeln
Netzwerksicherheitsgruppen werden als zustandsbehaftete Firewall implementiert. Aufgrund der aktuellen Plattformeinschränkungen werden nicht standardmäßige Sicherheitsregeln der Netzwerksicherheitsgruppe, die sich auf eingehende TCP-Flows auswirken, auf zustandslose Weise implementiert.
Flows, die von nicht standardmäßigen eingehenden Regeln betroffen sind, werden nicht beendet. Darüber hinaus wird die Byte- und Paketanzahl für diese Datenflüsse nicht erfasst. Aufgrund dieser Faktoren kann die Anzahl der Bytes und Pakete, die in den NSG-Datenflussprotokollen (und der Network Watcher-Datenverkehrsanalyse) gemeldet wird, von den tatsächlichen Werten abweichen.
Diese Abweichung können Sie beheben, indem Sie die Eigenschaft FlowTimeoutInMinutes für die zugehörigen virtuellen Netzwerke auf einen Wert festlegen, der nicht Null ist. Sie können das standardmäßige zustandsbehaftete Verhalten erreichen, indem Sie FlowTimeoutInMinutes auf 4 Minuten setzen. Bei Verbindungen mit langer Ausführungsdauer, bei denen es zu keiner Trennung der Datenflüsse von einem Dienst oder Ziel kommen soll, können Sie FlowTimeoutInMinutes auf einen Wert von bis zu 30 Minuten setzen. Verwenden Sie Set-AzVirtualNetwork, um die Eigenschaft FlowTimeoutInMinutes festzulegen:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Aus Internet-IP-Adressen protokollierte eingehende Datenflüsse an virtuelle Computer ohne öffentliche IP-Adressen
Für virtuelle Computer (Virtual Machines, VMs), denen keine öffentliche IP-Adresse zugewiesen wurde, die der Netzwerkkarte als öffentliche IP-Adresse auf Instanzebene zugeordnet ist, oder die zu einem Basis-Back-End-Pool für Lastenausgleich gehören, wird Standard-SNAT verwendet. Azure weist diesen virtuellen Computern eine IP-Adresse zu, um ausgehende Verbindungen zu ermöglichen. Daher sehen Sie möglicherweise Datenflussprotokolleinträge für Datenflüsse von Internet-IP-Adressen, wenn der jeweilige Datenfluss für einen Port im Bereich der Ports bestimmt war, die für SNAT zugewiesen sind.
Obwohl Azure diese Datenflüsse für den virtuellen Computer nicht zulässt, wird der Versuch protokolliert und konzeptbedingt im NSG-Datenflussprotokoll von Network Watcher aufgeführt. Es empfiehlt sich, unerwünschten eingehenden Internetdatenverkehr explizit mit einer Netzwerksicherheitsgruppe zu blockieren.
Netzwerksicherheitsgruppe in einem ExpressRoute-Gatewaysubnetz
Es wird empfohlen, keine Datenflüsse in einem Azure ExpressRoute-Gatewaysubnetz zu protokollieren, da Datenverkehr diesen Gatewaytyp (z. B. FastPath) umgehen kann. Wenn also eine Netzwerksicherheitsgruppe mit einem ExpressRoute-Gatewaysubnetz verknüpft ist und Netzwerksicherheitsgruppen-Datenflussprotokolle aktiviert sind, werden ausgehende Datenflüsse zu virtuellen Computern möglicherweise nicht erfasst. Solche Flüsse müssen im Subnetz oder der NIC des virtuellen Computers erfasst werden.
Datenverkehr zu einem privaten Endpunkt
Datenverkehr zu privaten Endpunkten kann nur auf der Quell-VM erfasst werden. Der Datenverkehr wird mit der Quell-IP-Adresse der VM und der Ziel-IP-Adresse des privaten Endpunkts aufgezeichnet. Der Datenverkehr kann aufgrund von Plattformbeschränkungen nicht am privaten Endpunkt selbst aufgezeichnet werden.
Unterstützung von Netzwerksicherheitsgruppen, die dem Application Gateway v2-Subnetz zugeordnet sind
NSG-Datenflussprotokolle für Netzwerksicherheitsgruppen, die dem Azure Application Gateway V2-Subnetz zugeordnet sind, werden derzeit nicht unterstützt. NSG-Datenflussprotokolle für Netzwerksicherheitsgruppen, die dem Application Gateway V1-Subnetz zugeordnet sind, werden unterstützt.
Inkompatible Dienste
Folgende Azure-Dienste unterstützen derzeit keine NSG-Flussprotokolle:
- Azure Container Instances
- Azure Logic Apps
- Azure-Funktionen
- Azure DNS Private Resolver
- App Service
- Azure Database for MariaDB
- Azure Database for MySQL
- Azure-Datenbank für PostgreSQL
Hinweis
App-Dienste, die im Rahmen eines Azure App Service-Plans bereitgestellt werden, unterstützen keine NSG-Datenflussprotokolle. Weitere Informationen finden Sie unter Funktionsweise der virtuellen Netzwerkintegration.
Bewährte Methoden
Aktivieren Sie NSG-Datenflussprotokolle für kritische Subnetze: Datenflussprotokolle sollten zur Überwachung und aus Sicherheitsgründen für alle kritischen Subnetze in Ihrem Abonnement Überwachung aktiviert werden.
Aktivieren Sie NSG-Datenflussprotokolle für alle Netzwerksicherheitsgruppen, die an eine Ressource angefügt sind: NSG-Datenflussprotokolle werden für Netzwerksicherheitsgruppen konfiguriert. Ein Datenfluss ist nur einer einzelnen NSG-Regel zugeordnet. In Szenarien mit mehreren Netzwerksicherheitsgruppen empfiehlt es sich, die NSG-Datenflussprotokolle für alle Netzwerksicherheitsgruppen zu aktivieren, die auf das Subnetz und die Netzwerkschnittstelle (NIC) einer Ressource angewendet wurden. Dadurch wird sichergestellt, dass der gesamte Datenverkehr erfasst wird. Weitere Informationen finden Sie unter Filtern von Netzwerkdatenverkehr mit Netzwerksicherheitsgruppen.
Im Folgenden sind einige allgemeine Szenarien aufgeführt:
- Mehrere NICs auf einem virtuellen Computer: Falls an einen virtuellen Computer mehrere NICs angefügt sind, müssen die Datenflussprotokolle für alle aktiviert werden.
- Netzwerksicherheitsgruppe sowohl auf NIC- als auch auf Subnetzebene: Wenn eine Netzwerksicherheitsgruppe auf NIC- und Subnetzebene konfiguriert ist, müssen die Datenflussprotokolle für beide Netzwerksicherheitsgruppen aktiviert werden. Die genaue Abfolge der Regelverarbeitung durch Netzwerksicherheitsgruppen auf NIC- und Subnetzebene ist plattformabhängig und variiert von Fall zu Fall. Datenverkehrsflüsse werden für die Netzwerksicherheitsgruppe protokolliert, die zuletzt verarbeitet wird. Der Plattformstatus ändert die Verarbeitungsreihenfolge. Sie müssen beide Datenflussprotokolle überprüfen.
- AKS-Clustersubnetz (Azure Kubernetes Service): AKS fügt eine Standard-Netzwerksicherheitsgruppe im Clustersubnetz hinzu. Sie müssen NSG-Datenflussprotokolle für diese Netzwerksicherheitsgruppe aktivieren.
Speicherbereitstellung: Stellen Sie Speicher im Einklang mit dem erwarteten Volumen von Datenflussprotokollen zur Verfügung.
Benennung: Der Name der Netzwerksicherheitsgruppe kann bis zu 80 Zeichen und der Name einer NSG-Regel bis zu 65 Zeichen lang sein. Wenn die Namen den jeweiligen Zeichengrenzwert überschreiten, werden sie während der Protokollierung möglicherweise abgeschnitten.
Behandlung häufig auftretender Probleme
Ich kann NSG-Datenflussprotokolle nicht aktivieren.
Möglicherweise wird ein AuthorizationFailed- oder GatewayAuthenticationFailed-Fehler angezeigt, wenn Sie den Microsoft.Insights-Ressourcenanbieter in Ihrem Abonnement nicht aktiviert haben, bevor Sie versuchen, NSG-Datenflussprotokolle zu aktivieren. Weitere Informationen finden Sie unter Registrieren von Insights-Anbietern.
Ich habe NSG-Datenflussprotokolle aktiviert, aber in meinem Speicherkonto werden keine Daten angezeigt
Dieses Problem kann sich auf Folgendes beziehen:
Einrichtungszeit: Es kann bis zu fünf Minuten dauern, bis NSG-Datenflussprotokolle im Speicherkonto angezeigt werden (bei ordnungsgemäßer Konfiguration). Eine Datei vom Typ PT1H.json wird angezeigt. Weitere Informationen finden Sie unter Herunterladen des Flussprotokolls.
Kein Datenverkehr für Ihre Netzwerksicherheitsgruppen: Manchmal werden keine Protokolle angezeigt, weil Ihre virtuellen Computer nicht aktiv sind oder der Datenverkehr für Ihre Netzwerksicherheitsgruppen durch Upstreamfilter einer Application Gateway-Instanz oder in anderen Geräten blockiert wird.
Preisberechnung
NSG-Datenflussprotokolle werden pro GB an erfassten Netzwerkflussprotokollen abgerechnet und enthalten einen Free-Tarif von 5 GB/Monat pro Abonnement.
Wenn die Datenverkehrsanalyse mit NSG-Datenflussprotokollen aktiviert ist, gelten die Preise für die Datenverkehrsanalyse zur Verarbeitungsrate pro Gigabyte. Die Datenverkehrsanalyse wird beim Free-Tarif nicht angeboten. Weitere Informationen finden Sie unter Network Watcher – Preise.
Die Speicherung von Protokollen wird separat in Rechnung gestellt. Weitere Informationen finden Sie unter Azure Blob Storage – Preise.
Zugehöriger Inhalt
- Informationen zum Verwalten von NSG-Datenflussprotokollen finden Sie unter Erstellen, Ändern, Deaktivieren oder Löschen von NSG-Datenflussprotokollen mithilfe des Azure-Portals.
- Antworten auf einige der am häufigsten gestellten Fragen zu NSG-Flussprotokollen finden Sie unter Häufig gestellte Fragen zu Datenflussprotokollen.
- Weitere Informationen zur Datenverkehrsanalyse finden Sie unter Überblick über Datenverkehrsanalysen.