Tutorial: Protokollieren des Netzwerkdatenverkehrs zu und von einem virtuellen Computer über das Azure-Portal

Mithilfe einer Netzwerksicherheitsgruppe (NSG) können Sie eingehenden Datenverkehr zu und ausgehenden Datenverkehr von einem virtuellen Computer filtern. Sie können den Netzwerkdatenverkehr, der über eine NSG verläuft, mithilfe der Funktion für NSG-Flussprotokolle von Network Watcher protokollieren.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines virtuellen Computers mit einer Netzwerksicherheitsgruppe
  • Aktivieren von Network Watcher und Registrieren des Microsoft.Insights-Anbieters
  • Aktivieren eines Datenflussprotokolls für eine NSG mithilfe der Funktion für NSG-Flussprotokolle von Network Watcher
  • Herunterladen protokollierter Daten
  • Anzeigen protokollierter Daten

Voraussetzungen

Erstellen eines virtuellen Computers

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie Virtuelle Computer aus.

  3. Wählen Sie unter Virtuelle Computer die Option + Erstellen und dann + Virtueller Computer aus.

  4. Geben Sie unter VM erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie unter Name den Namen myResourceGroup ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie myVM ein.
    Region Wählen Sie (USA) USA, Osten aus.
    Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
    Sicherheitstyp Übernehmen Sie den Standardwert Standard.
    Image Wählen Sie Windows Server 2022 Datacenter: Azure Edition – Gen2 aus.
    Azure Spot-Instanz Übernehmen Sie den Standardwert.
    Size Wählen Sie eine Größe aus.
    Administratorkonto
    Authentifizierungsart Wählen Sie Öffentlicher SSH-Schlüssel aus.
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Bestätigen Sie das Kennwort.
    Regeln für eingehende Ports
    Öffentliche Eingangsports Übernehmen Sie die Standardeinstellung Ausgewählte Ports zulassen.
    Eingangsports auswählen Übernehmen Sie die Standardeinstellung RDP (3389) .
  5. Klicken Sie auf Überprüfen + erstellen.

  6. Klicken Sie auf Erstellen.

Das Erstellen des virtuellen Computers dauert einige Minuten. Fahren Sie erst dann mit den weiteren Schritten fort, wenn die Erstellung des virtuellen Computers abgeschlossen ist. Während der Erstellung der VM im Portal wird auch eine Netzwerksicherheitsgruppe mit dem Namen myVM-nsg erstellt und der Netzwerkschnittstelle für die VM zugeordnet.

Aktivieren von Network Watcher

Wenn Sie bereits über eine aktivierte Network Watcher-Instanz in der Region „USA, Osten“ verfügen, fahren Sie mit Registrieren des Insights-Anbieters fort.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie auf der Seite Übersicht von Network Watcher die Option + Hinzufügen aus.

    Screenshot of enable network watcher in portal.

  3. Wählen Sie in Network Watcher hinzufügen Ihr Abonnement aus. Wählen Sie unter Region die Option (USA) USA, Osten aus.

  4. Wählen Sie Hinzufügen.

Registrieren von Insights-Anbietern

Für die NSG-Datenflussprotokollierung ist der Microsoft.Insights-Anbieter erforderlich. Führen Sie zum Registrieren des Anbieters die folgenden Schritte aus:

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Abonnements ein. Wählen Sie in den Suchergebnissen Abonnements aus.

  2. Wählen Sie unter Abonnements das Abonnement aus, für das Sie den Anbieter aktivieren möchten.

  3. Wählen Sie in den Einstellungen für Ihr Abonnement die Option Ressourcenanbieter aus.

  4. Geben Sie im Filterfeld Microsoft.Insights ein.

  5. Vergewissern Sie sich, dass der angezeigte Status des Anbieters Registriert lautet. Lautet der Status Nicht registriert, wählen Sie den Anbieter und dann die Option Registrieren aus.

Aktivieren des NSG-Flussprotokolls

NSG-Flussprotokolldaten werden in einem Azure Storage-Konto gespeichert. Führen Sie die folgenden Schritte aus, um ein Speicherkonto für die Protokolldaten zu erstellen.

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Klicken Sie unter Speicherkonten auf + Erstellen.

  3. Geben Sie unter Speicherkonto erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Speicherkontoname Geben Sie einen Namen für Ihr Speicherkonto ein.
    Muss 3–24 Zeichen lang sein, darf nur Kleinbuchstaben und Ziffern enthalten und muss für alle Azure Storage-Konten eindeutig sein.
    Region Wählen Sie (USA) USA, Osten 2 aus.
    Leistung Übernehmen Sie den Standardwert Standard.
    Redundanz Behalten Sie die Standardeinstellung Georedundanter Speicher (GRS) bei.
  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie auf Erstellen.

Das Erstellen des Speicherkontos kann etwa eine Minute dauern. Fahren Sie erst dann mit den weiteren Schritten fort, wenn das Speicherkonto erstellt wurde. Das Speicherkonto muss sich immer in derselben Region wie die NSG befinden.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie in den Suchergebnissen Network Watcher aus.

  2. Wählen Sie unter Protokolle die Option NSG-Datenflussprotokolle aus.

  3. Klicken Sie unter Network Watcher | NSG-Datenflussprotokolle auf + Erstellen.

    Screenshot of create Network Security Group flow log.

  4. Geben Sie unter Datenflussprotokoll erstellen die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Netzwerksicherheitsgruppe Wählen Sie myVM-nsg aus.
    Name des Datenflussprotokolls Übernehmen Sie den Standardwert myVM-nsg-myResourceGroup-flowlog.
    Instanzendetails
    Auswählen des Speicherkontos
    Subscription Wählen Sie Ihr Abonnement aus.
    Speicherkonten Wählen Sie das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
    Beibehaltung (Tage) Geben Sie eine Aufbewahrungsdauer für die Protokolle ein.
  5. Klicken Sie auf Überprüfen + erstellen.

  6. Klicken Sie auf Erstellen.

Herunterladen des Flussprotokolls

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.

  2. Wählen Sie das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.

  3. Wählen Sie unter Datenspeicher die Option Container aus.

  4. Wählen Sie den Container insights-logs-networksecuritygroupflowevent aus.

  5. Navigieren Sie in der Ordnerhierarchie des Containers zur Datei „PT1H.json“. Protokolldateien werden in eine Ordnerhierarchie geschrieben, die der folgenden Namenskonvention folgt:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Klicken Sie rechts neben der Datei „PT1H.json“ auf die Auslassungspunkte (...) und dann auf Herunterladen.

    Screenshot of download Network Security Group flow log.

Anzeigen des Flussprotokolls

Im folgenden JSON-Beispiel werden Daten angezeigt, die in der Datei „PT1H.json“ für jeden protokollierten Datenfluss angezeigt werden:

Ereignis des Flowprotokolls (Version 1)

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Ereignis des Flowprotokolls (Version 2)

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

Bei dem Wert für mac in der vorherigen Ausgabe handelt es sich um die MAC-Adresse der Netzwerkschnittstelle, die beim Erstellen des virtuellen Computers erstellt wurde. Die durch Kommas getrennten Informationen für flowTuples sind wie folgt:

Beispieldaten Angabe Erklärung
1542110377 Zeitstempel Der Zeitstempel für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX EPOCHE-Format. Im vorherigen Beispiel wird das Datum in den 1. Mai 2018 um 14:59:05 Uhr GMT konvertiert.
10.0.0.4 Quell-IP-Adresse Die Quell-IP-Adresse, von der der Datenfluss stammte. 10.0.0.4 ist die private IP-Adresse der VM, die Sie im Abschnitt Erstellen eines virtuellen Computers erstellt haben.
13.67.143.118 IP-Zieladresse Die Ziel-IP-Adresse, für die der Datenfluss bestimmt war.
44931 Quellport Der Quellport, von dem der Datenfluss stammte.
443 Zielport Der Zielport, für den der Datenfluss bestimmt war. Da der Datenverkehr für Port 443 bestimmt war, wurde der Flow anhand der Regel namens UserRule_default-allow-rdp in der Protokolldatei verarbeitet.
T Protocol Gibt an, ob das Protokoll des Datenflusses TCP (T) oder UDP (U) war.
O Direction Gibt an, ob es sich um eingehenden (I) oder ausgehenden (O) Datenverkehr handelte.
Ein Aktion Gibt an, ob es sich um zulässigen (A) oder verweigerten (D) Datenverkehr handelte.
C Flowstatus (nur Version 2) Erfasst den Flowstatus. Mögliche Statusangaben: B: („Begin“/Anfang): Erstellung eines Flows. Statistiken werden nicht bereitgestellt. C: („Continue“/Fortsetzung): Ein laufender Flow wird weiter fortgesetzt. Statistiken werden in Intervallen von 5 Minuten bereitgestellt. E: („End“/Ende): Beendigung eines Datenflusses. Statistiken werden bereitgestellt.
30 Gesendete Pakete – Quelle zu Ziel (nur Version 2) Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden.
16978 Gesendete Bytes – Quelle zu Ziel (nur Version 2) Die Gesamtanzahl von TCP- oder UDP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden. Paketbytes enthalten den Paketheader und die Nutzlast.
24 Gesendete Pakete – Ziel zu Quelle (nur Version 2) Die Gesamtanzahl von TCP- oder UDP-Paketen, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden.
14008 Gesendete Bytes – Ziel zu Quelle (nur Version 2) Die Gesamtanzahl von TCP- und UDP-Paketbytes, die seit dem letzten Update vom Ziel zur Quelle gesendet wurden. Paketbytes enthalten den Paketheader und die Nutzlast.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Aktivieren der NSG-Datenflussprotokollierung für eine NSG
  • Laden Sie in einer Datei protokollierte Daten herunter, und zeigen Sie sie an.

Die Rohdaten in der JSON-Datei sind möglicherweise schwer zu interpretieren. Sie können die Daten in einem Datenflussprotokoll mithilfe von Azure Traffic Analytics und Microsoft Power BI visualisieren.

Informationen zu alternativen Methoden für die Aktivierung von NSG-Datenflussprotokollen finden Sie unter PowerShell, Azure CLI, REST API und Resource Manager-Vorlagen.

Im nächsten Artikel erfahren Sie, wie Sie die Netzwerkkommunikation zwischen zwei VMs überwachen: