Schnellstart: Konfigurieren von Azure Network Watcher-NSG-Datenflussprotokollen mithilfe einer Bicep-Datei

In dieser Schnellstartanleitung erfahren Sie, wie Sie NSG-Datenflussprotokolle mithilfe einer Bicep-Datei aktivieren können.

Bicep ist eine domänenspezifische Sprache (Domain-Specific Language, DSL), die eine deklarative Syntax zur Bereitstellung von Azure-Ressourcen verwendet. Sie bietet eine präzise Syntax, zuverlässige Typsicherheit und Unterstützung für die Wiederverwendung von Code. Bicep bietet die beste Form der Erstellung für Ihre Infrastructure-as-Code-Lösungen in Azure.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

• Zum Bereitstellen der Bicep-Dateien wird entweder die Azure CLI oder PowerShell installiert.

  Azure-Befehlszeilenschnittstelle

  1. Installieren Sie die Azure CLI lokal, um die Befehle auszuführen.

  2. Melden Sie sich mit dem Befehl az login bei Azure an.

  PowerShell

  1. Installieren Sie Azure PowerShell lokal, um die Cmdlets auszuführen.

  2. Melden Sie sich mithilfe des Cmdlets Connect-AzAccount bei Azure an.

Überprüfen der Bicep-Datei

In dieser Schnellstartanleitung wird die Bicep-Vorlage Erstellen von NSG-Datenflussprotokollen aus den Azure-Schnellstartvorlagenverwendet.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

In der Bicep-Datei werden die folgenden Ressourcen definiert:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

Der hervorgehobene Code im vorherigen Beispiel zeigt eine Ressourcendefinition für NSG-Flussprotokolle.

Bereitstellen der Bicep-Datei

In dieser Schnellstartanleitung wird davon ausgegangen, dass Sie über eine Netzwerksicherheitsgruppe verfügen, für die Sie die Datenflussprotokollierung aktivieren können.

1. Speichern Sie die Bicep-Datei als main.bicep auf Ihrem lokalen Computer.

2. Stellen Sie die Bicep-Datei entweder mit Azure CLI oder mit Azure PowerShell bereit.

   Azure-Befehlszeilenschnittstelle

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Sie werden aufgefordert, die Ressourcen-ID der vorhandenen Netzwerksicherheitsgruppe einzugeben. Die Syntax der Ressourcen-ID der Netzwerksicherheitsgruppe lautet folgendermaßen:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Nach Abschluss der Bereitstellung sollte eine Meldung mit dem Hinweis angezeigt werden, dass die Bereitstellung erfolgreich war.

Überprüfen der Bereitstellung

Sie haben zwei Möglichkeiten, um zu prüfen, ob Ihre Bereitstellung erfolgreich war:

• In der Konsole wird für ProvisioningState der Wert Succeeded angezeigt.
• Wechseln Sie zur Portalseite für NSG-Datenflussprotokolle, um Ihre Änderungen zu bestätigen.

Falls bei der Bereitstellung Probleme aufgetreten sind, lesen Sie den Artikel Beheben gängiger Azure-Bereitstellungsfehler mit Azure Resource Manager.

Bereinigen von Ressourcen

Sie können Azure-Ressourcen unter Verwendung des vollständigen Bereitstellungsmodus löschen. Zum Löschen einer Ressource des Datenflussprotokolls geben Sie eine Bereitstellung im Modus „Vollständig“ ohne Angabe der zu löschenden Ressource an. Erfahren Sie mehr über den Bereitstellungsmodus „Vollständig“.

Sie können ein NSG-Datenflussprotokoll auch im Azure-Portal deaktivieren:

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie Network Watcher aus den Suchergebnissen aus.

3. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

4. Wählen Sie in der Liste der Datenflussprotokolle das Datenflussprotokoll aus, das Sie deaktivieren möchten.

5. Wählen Sie Deaktivieren.

Zugehöriger Inhalt

Informationen zur Visualisierung der Daten Ihrer NSG-Datenflussprotokolle finden Sie unter:

• Visualisieren der NSG-Datenflussprotokolle mit Power BI.
• Visualisieren von NSG-Datenflussprotokollen mithilfe von Open Source-Tools.
• Traffic Analytics.