Erstellen, Ändern, Aktivieren, Deaktivieren oder Löschen von Datenflussprotokollen für virtuelle Netzwerke

Die Datenflussprotokollierung für ein virtuelles Netzwerk ist eine Funktion von Azure Network Watcher, mit der Informationen über den IP-Datenverkehr protokolliert werden können, der durch ein virtuelles Azure-Netzwerk fließt. Weitere Informationen zur Protokollierung des virtuellen Netzwerkflusses finden Sie in der Übersicht über virtuelle Netzwerkflussprotokolle.

In diesem Artikel erfahren Sie, wie Sie mithilfe des Azure-Portals, PowerShell und der Azure CLI ein virtuelles Netzwerkflussprotokoll erstellen, ändern, aktivieren, deaktivieren oder löschen.

Voraussetzungen

Portal

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Insights-Anbieter. Weitere Informationen finden Sie unter Registrieren des Insights-Anbieters.

• Ein virtuelles Netzwerk. Wenn Sie ein virtuelles Netzwerk erstellen müssen, lesen Sie das Erstellen eines virtuellen Netzwerks mithilfe des Azure-Portals.

• Ein Azure Storage-Konto Wenn Sie ein Speicherkonto erstellen müssen, lesen Sie das Erstellen eines Speicherkontos mithilfe des Azure-Portals.

PowerShell

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Insights-Anbieter. Weitere Informationen finden Sie unter Registrieren des Insights-Anbieters.

• Ein virtuelles Netzwerk. Wenn Sie ein virtuelles Netzwerk erstellen müssen, lesen Sie " Erstellen eines virtuellen Netzwerks mit PowerShell".

• Ein Azure Storage-Konto Wenn Sie ein Speicherkonto erstellen müssen, lesen Sie das Erstellen eines Speicherkontos mithilfe von PowerShell.

• Azure Cloud Shell oder Azure PowerShell.

  Die Schritte in diesem Artikel führen die Azure PowerShell-Cmdlets interaktiv in Azure Cloud Shell aus. Um die Cmdlets in der Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks "Cloud Shell öffnen " aus. Wählen Sie "Kopieren" aus, um den Code zu kopieren, und fügen Sie ihn dann in Cloud Shell ein, um ihn auszuführen. Sie können die Cloud Shell auch innerhalb des Azure-Portals ausführen.

  Sie können Azure PowerShell auch lokal installieren , um die Cmdlets auszuführen. Dieser Artikel erfordert die Azure PowerShell-Version 7.4.0 oder höher. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu finden. Wenn Sie PowerShell lokal ausführen, melden Sie sich mit dem Cmdlet Connect-AzAccount bei Azure an.

Azure CLI

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Insights-Anbieter. Weitere Informationen finden Sie unter Registrieren des Insights-Anbieters.

• Ein virtuelles Netzwerk. Wenn Sie ein virtuelles Netzwerk erstellen müssen, lesen Sie " Erstellen eines virtuellen Netzwerks mithilfe der Azure CLI".

• Ein Azure Storage-Konto Wenn Sie ein Speicherkonto erstellen müssen, lesen Sie das Erstellen eines Speicherkontos mithilfe der Azure CLI.

• Azure Cloud Shell oder Azure CLI.

  Die Schritte in diesem Artikel führen die Azure CLI-Befehle interaktiv in Azure Cloud Shell aus. Um die Befehle in der Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks "Cloud Shell öffnen " aus. Wählen Sie "Kopieren" aus, um den Code zu kopieren, und fügen Sie ihn in Cloud Shell ein, um ihn auszuführen. Sie können die Cloud Shell auch innerhalb des Azure-Portals ausführen.

  Sie können Azure CLI auch lokal installieren , um die Befehle auszuführen. Für diesen Artikel ist die Azure CLI-Version 2.39.0 oder höher erforderlich. Führen Sie den Befehl az --version aus, um die installierte Version zu finden. Wenn Sie Azure CLI lokal ausführen, melden Sie sich mit dem Az-Anmeldebefehl bei Azure an.

Registrieren von Insights-Anbietern

Portal

Der Microsoft.Insights-Anbieter muss registriert werden, um erfolgreich Datenverkehr zu protokollieren, der über ein virtuelles Netzwerk fließt. Wenn Sie nicht sicher sind, ob der Microsoft.Insights-Anbieter registriert ist, überprüfen Sie den Status im Azure-Portal, indem Sie die folgenden Schritte ausführen:

1. Geben Sie im Suchfeld oben im Portal Abonnements ein. Wählen Sie "Abonnements " aus den Suchergebnissen aus.

   

2. Wählen Sie das Azure-Abonnement aus, das Sie für den Anbieter in Abonnements aktivieren möchten.

3. Wählen Sie unter "Einstellungen" die Option "Ressourcenanbieter" aus.

4. Geben Sie Insight in das Filterfeld ein.

5. Bestätigen Sie, dass der Status des angezeigten Anbieters registriert ist. Wenn der Status "NotRegistered" lautet, wählen Sie den Microsoft.Insights-Anbieter und dann " Registrieren" aus.

   

PowerShell

Der Microsoft.Insights-Anbieter muss registriert werden, um erfolgreich datenverkehr in einem virtuellen Netzwerk zu protokollieren. Wenn Sie nicht sicher sind, ob der Microsoft.Insights-Anbieter registriert ist, verwenden Sie Register-AzResourceProvider , um ihn zu registrieren.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Azure CLI

Der Microsoft.Insights-Anbieter muss registriert werden, um erfolgreich datenverkehr in einem virtuellen Netzwerk zu protokollieren. Wenn Sie nicht sicher sind, ob der Microsoft.Insights-Anbieter registriert ist, verwenden Sie az provider register, um ihn zu registrieren.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

Erstellen eines Datenflussprotokolls

Erstellen Sie ein Flussprotokoll für Ihr virtuelles Netzwerk, Ihr Subnetz oder Ihre Netzwerkschnittstelle. Das Datenflussprotokoll wird in einem Azure-Speicherkonto gespeichert.

Portal

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. Wählen Sie im Network Watcher | Flussprotokolle die Option + Erstellen oder die blaue Schaltfläche Flussprotokoll erstellen.

   

4. Geben Sie auf der Registerkarte " Grundlagen" des Flussprotokolls die folgenden Werte ein, oder wählen Sie sie aus:

   Konfiguration	Wert
   Projektdetails
   Abonnement	Wählen Sie das Azure-Abonnement Ihres virtuellen Netzwerks aus, das Sie protokollieren möchten.
   Art des Datenflussprotokolls	Wählen Sie virtuelles Netzwerk und dann +Zielressource auswählen (verfügbare Optionen sind: virtuelles Netzwerk, Subnetz und Netzwerkschnittstelle). Wählen Sie die Ressourcen aus, für die Sie einen Flow-Log erstellen möchten, und wählen Sie dann Auswahl bestätigen aus.
   Name des Datenflussprotokolls	Geben Sie einen Namen für das Datenflussprotokoll ein, oder behalten Sie den Standardnamen bei. Das Azure-Portal verwendet {ResourceName}-{ResourceGroupName}-flowlog als Standardname für das Flussprotokoll.
   Instanzdetails
   Abonnement	Wählen Sie das Azure-Abonnement Ihres Speicherkontos aus.
   Speicherkonten	Wählen Sie das Speicherkonto aus, in dem Sie die Datenflussprotokolle speichern möchten. Wenn Sie ein neues Speicherkonto erstellen möchten, wählen Sie "Neues Speicherkonto erstellen" aus.
   Aufbewahrung (in Tagen)	Geben Sie eine Aufbewahrungszeit für die Protokolle ein (diese Option ist nur für Standard-V2-Speicherkonten verfügbar). Geben Sie "0" ein, wenn Sie die Flussprotokolldaten für immer im Speicherkonto aufbewahren möchten (bis Sie sie manuell aus dem Speicherkonto löschen). Informationen zum Preis finden Sie unter Azure Storage-Preise.

   

   Hinweis

   Wenn sich das Speicherkonto in einem anderen Abonnement befindet, müssen die Ressource, die Sie protokollieren (virtuelles Netzwerk, Subnetz oder Netzwerkschnittstelle) und das Speicherkonto mit demselben Microsoft Entra-Mandanten verbunden sein. Das Konto, das Sie für jedes Abonnement verwenden, muss über die erforderlichen Berechtigungen verfügen.

5. Um Die Datenverkehrsanalyse zu aktivieren, wählen Sie "Weiter: Analyse " aus, oder wählen Sie die Registerkarte " Analyse " aus. Geben Sie die folgenden Werte ein, oder wählen Sie sie aus:

   Konfiguration	Wert
   Aktivieren von Traffic Analytics	Aktivieren Sie das Kontrollkästchen, um die Datenverkehrsanalyse für Ihr Datenflussprotokoll zu aktivieren.
   Verarbeitungsintervall der Datenverkehrsanalyse	Wählen Sie das gewünschte Verarbeitungsintervall aus, die verfügbaren Optionen sind: Alle 1 Stunde und alle 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter "Datenverkehrsanalyse".
   Abonnement	Wählen Sie das Azure-Abonnement für Ihren Log Analytics-Arbeitsbereich aus.
   Log Analytics-Arbeitsbereich	Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. Standardmäßig erstellt Azure-Portal den Log Analytics-Arbeitsbereich DefaultWorkspace-{SubscriptionID}-{Region} in der Ressourcengruppe defaultresourcegroup-{Region}.

   

   Hinweis

   Informationen zum Erstellen und Auswählen eines anderen Log Analytics-Arbeitsbereichs als dem Standardarbeitsbereich finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs

   Vorsicht

   Die Datenverkehrsanalyse erstellt und verwaltet Ressourcen für eine Datensammlungsregel (DCR) und einen Datensammlungsendpunkt (DCE) in derselben Ressourcengruppe wie der Arbeitsbereich, mit dem Präfix NWTA. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet.

6. Wählen Sie "Überprüfen" und "Erstellen" aus.

7. Überprüfen Sie die Einstellungen, und wählen Sie dann "Erstellen" aus.

PowerShell

Verwenden Sie das Cmdlet New-AzNetworkWatcherFlowLog , um ein virtuelles Netzwerkflussprotokoll zu erstellen.

• Aktivieren von VNet-Datenflussprotokollen ohne Datenverkehrsanalysen

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2
  

• Aktivieren von virtuellen Netzwerkfluss-Protokollen und Datenverkehrsanalysen

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'EastUS'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10
  

  Vorsicht

  Die Datenverkehrsanalyse erstellt und verwaltet Ressourcen für eine Datensammlungsregel (DCR) und einen Datensammlungsendpunkt (DCE) in derselben Ressourcengruppe wie der Arbeitsbereich, mit dem Präfix NWTA. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet.

Azure CLI

Verwenden Sie den Befehl "az network watcher flow-log create" , um ein virtuelles Netzwerkflussprotokoll zu erstellen.

• Aktivieren von VNet-Datenflussprotokollen ohne Datenverkehrsanalysen

  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account 'myStorageAccount'
  

  # Create a VNet flow log (storage account is in a different resource group from the virtual network).
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'
  

• Aktivieren von virtuellen Netzwerkfluss-Protokollen und Datenverkehrsanalysen

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10
  

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics true --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10
  

  Vorsicht

  Die Datenverkehrsanalyse erstellt und verwaltet Ressourcen für eine Datensammlungsregel (DCR) und einen Datensammlungsendpunkt (DCE) in derselben Ressourcengruppe wie der Arbeitsbereich, mit dem Präfix NWTA. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet.

Aktivieren oder Deaktivieren von Datenverkehrsanalysen

Aktivieren Sie die Datenverkehrsanalyse für ein Datenflussprotokoll, um die Daten des Datenflussprotokolls zu analysieren. Datenverkehrsanalysen bieten Einblicke in die Datenverkehrsmuster Ihres virtuellen Netzwerks. Sie können die Datenverkehrsanalyse für ein Datenflussprotokoll jederzeit aktivieren oder deaktivieren.

Hinweis

Zusätzlich zur Aktivierung oder Deaktivierung von Datenverkehrsanalysen können Sie auch andere Ablaufprotokolleinstellungen ändern.

Portal

Führen Sie die folgenden Schritte aus, um die Datenverkehrsanalyse für ein Datenflussprotokoll zu aktivieren:

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. In Network Watcher | Ablaufprotokolle, wählen Sie das Flussprotokoll aus, für das Sie die Datenverkehrsanalyse aktivieren möchten.

4. Aktivieren Sie in den Ablaufprotokolleinstellungen unter "Datenverkehrsanalyse" das Kontrollkästchen "Datenverkehrsanalyse aktivieren ".

   

5. Geben Sie die folgenden Werte ein bzw. wählen Sie diese aus.

   Konfiguration	Wert
   Abonnement	Wählen Sie das Azure-Abonnement für Ihren Log Analytics-Arbeitsbereich aus.
   Log Analytics-Arbeitsbereich	Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. Standardmäßig erstellt Azure-Portal den Log Analytics-Arbeitsbereich DefaultWorkspace-{SubscriptionID}-{Region} in der Ressourcengruppe defaultresourcegroup-{Region}.
   Intervall der Datenverkehrsprotokollierung	Wählen Sie das gewünschte Verarbeitungsintervall aus, die verfügbaren Optionen sind: Alle 1 Stunde und alle 10 Minuten. Das Standardverarbeitungsintervall ist jede Stunde. Weitere Informationen finden Sie unter "Datenverkehrsanalyse".

   

6. Wählen Sie "Speichern" aus, um die Änderungen anzuwenden.

Um die Datenverkehrsanalyse für ein Flussprotokoll zu deaktivieren, führen Sie die vorherigen Schritte 1-3 aus, deaktivieren Sie dann das Kontrollkästchen "Datenverkehrsanalyse aktivieren ", und wählen Sie " Speichern" aus.

PowerShell

Verwenden Sie das Cmdlet Set-AzNetworkWatcherFlowLog , um die Datenverkehrsanalyse für eine Flussprotokollressource zu aktivieren.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

Verwenden Sie das Set-AzNetworkWatcherFlowLog-Cmdlet , um die Datenverkehrsanalyse für die Flussprotokollressource zu deaktivieren und weiterhin virtuelle Netzwerkflussprotokolle in Speicherkonto zu generieren und zu speichern.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

Azure CLI

Um die Datenverkehrsanalyse für eine Flussprotokollressource zu aktivieren, verwenden Sie den Befehl "az network watcher flow-log update ".

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

Um die Datenverkehrsanalyse für die Flussprotokollressource zu deaktivieren und weiterhin virtuelle Netzwerkflussprotokolle in einem Speicherkonto zu generieren und zu speichern, verwenden Sie den Befehl "az network watcher flow-log update ".

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

Vorsicht

Die Datenverkehrsanalyse erstellt und verwaltet Ressourcen für eine Datensammlungsregel (DCR) und einen Datensammlungsendpunkt (DCE) in derselben Ressourcengruppe wie der Arbeitsbereich, mit dem Präfix NWTA. Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet.

Auflisten aller Datenflussprotokolle

Sie können alle Ablaufprotokolle in einem Abonnement oder einer Gruppe von Abonnements (Azure-Portal) auflisten. Sie können auch alle Datenflussprotokolle in einer Region auflisten.

Portal

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. Wählen Sie den Filter Abonnement entspricht aus, um ein oder mehrere Ihrer Abonnements auszuwählen. Sie können andere Filter wie Ort gleich anwenden, um alle Flussprotokolle in einer Region aufzulisten.

   

PowerShell

Verwenden Sie das Cmdlet "Get-AzNetworkWatcherFlowLog ", um alle Flussprotokollressourcen in einer bestimmten Region in Ihrem Abonnement aufzulisten.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table

Azure CLI

Verwenden Sie den Befehl az network watcher flow-log list, um alle Flussprotokollressourcen in einer bestimmten Region in Ihrem Abonnement aufzulisten.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Details einer Flow-Log-Ressource anzeigen

Sie können die Details eines Datenflussprotokolls anzeigen.

Portal

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. In Network Watcher | Ablaufprotokolle, wählen Sie das Flussprotokoll aus, das Sie anzeigen möchten.

4. In den Ablaufprotokolleinstellungen können Sie die Einstellungen der Flussprotokollressource anzeigen.

   

5. Wählen Sie 'Abbrechen ' aus, um die Einstellungsseite zu schließen, ohne Änderungen vorzunehmen.

PowerShell

Verwenden Sie das Cmdlet "Get-AzNetworkWatcherFlowLog ", um Details einer Flussprotokollressource anzuzeigen.

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -Name 'myVNetFlowLog'

Azure CLI

Verwenden Sie az network watcher flow-log show, um Details einer Flow-Log-Ressource anzuzeigen.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Herunterladen eines Flowprotokolls

Sie können die Daten des Datenflussprotokolls aus dem Speicherkonto herunterladen, in dem Sie das Datenflussprotokoll gespeichert haben.

Portal

1. Geben Sie im Suchfeld oben im Portal Speicherkonten ein. Wählen Sie "Speicherkonten " aus den Suchergebnissen aus.

2. Wählen Sie das Speicherkonto aus, das Sie zum Speichern der Protokolle verwendet haben.

3. Wählen Sie unter "Datenspeicher" "Container" aus.

4. Wählen Sie insights-logs-flowlogflowevent-Container aus.

5. Navigieren Sie in insights-logs-flowlogflowevent in der Ordnerhierarchie, bis Sie zu der PT1H.json Datei gelangen, die Sie herunterladen möchten. Die Datenflussprotokolldateien für ein virtuelles Netzwerk haben folgenden Pfad:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Wählen Sie die Ellipsen ... rechts neben der PT1H.json Datei aus, und wählen Sie dann Herunterladen aus.

   

PowerShell

Verwenden Sie das Cmdlet "Get-AzStorageBlobContent ", um die Protokolle des virtuellen Netzwerkflusses aus Ihrem Speicherkonto herunterzuladen. Weitere Informationen finden Sie unter "Herunterladen eines Blobs".

VNet-Datenflussprotokolldateien werden im Speicherkonto unter dem folgenden Pfad gespeichert:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Azure CLI

Verwenden Sie den Befehl "az storage blob download ", um die Protokolle des virtuellen Netzwerkflusses aus Ihrem Speicherkonto herunterzuladen. Weitere Informationen finden Sie unter "Herunterladen eines Blobs".

VNet-Datenflussprotokolldateien werden im Speicherkonto unter dem folgenden Pfad gespeichert:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Hinweis

Sie können den Azure Storage-Explorer verwenden, um auf Datenflussprotokolle in Ihrem Speicherkonto zuzugreifen und diese herunterzuladen. Weitere Informationen finden Sie unter "Erste Schritte mit dem Speicher-Explorer " und " Herunterladen von Blobs mithilfe des Speicher-Explorers".

Informationen zur Struktur eines Flussprotokolls finden Sie im Protokollformat von Protokollen für virtuelle Netzwerkflussprotokolle.

Deaktivieren eines Datenflussprotokolls

Sie können das Datenflussprotokoll eines virtuellen Netzwerks vorübergehend deaktivieren, ohne es zu löschen. Durch das Deaktivieren eines Datenflussprotokolls wird die Datenflussprotokollierung für das zugeordnete virtuelle Netzwerk beendet. Die Datenflussprotokoll-Ressource bleibt jedoch mit all ihren Einstellungen und Zuordnungen erhalten. Sie können das Datenflussprotokoll jederzeit wieder aktivieren, um mit der Datenflussprotokollierung für das konfigurierte virtuelle Netzwerk fortzufahren.

Portal

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. In Network Watcher | Ablaufprotokolle, deaktivieren Sie das Kontrollkästchen für das Ablaufprotokoll, das Sie deaktivieren möchten.

4. Wählen Sie "Deaktivieren" aus.

   

Hinweis

Wenn die Datenverkehrsanalyse für ein Datenflussprotokoll aktiviert ist, müssen Sie sie deaktivieren, bevor Sie das Datenflussprotokoll deaktivieren können. Informationen zum Deaktivieren der Datenverkehrsanalyse finden Sie unter Aktivieren oder Deaktivieren der Datenverkehrsanalyse.

PowerShell

Verwenden Sie das Cmdlet Set-AzNetworkWatcherFlowLog , um ein Flussprotokoll zu deaktivieren.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Hinweis

Wenn Sie ein Flussprotokoll mit aktivierter Datenverkehrsanalyse deaktivieren, müssen Sie die Datenverkehrsanalyse entweder im selben Befehl deaktivieren oder zuerst deaktivieren, bevor Sie das Ablaufprotokoll deaktivieren.

Azure CLI

Verwenden Sie den Befehl "az network watcher flow-log update ", um ein Flussprotokoll zu deaktivieren.

# Update the VNet flow log.
az network watcher flow-log update --enabled false --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount'

Hinweis

Wenn Sie ein Flussprotokoll mit aktivierter Datenverkehrsanalyse deaktivieren, müssen Sie die Datenverkehrsanalyse entweder im selben Befehl deaktivieren oder zuerst deaktivieren, bevor Sie das Ablaufprotokoll deaktivieren.

Löschen eines Datenflussprotokolls

Sie können das Datenflussprotokoll eines virtuellen Netzwerks endgültig löschen. Beim Löschen eines Datenflussprotokolls werden alle zugehörigen Einstellungen und Zuordnungen gelöscht. Um mit der Ablaufprotokollierung für dieselbe Ressource erneut zu beginnen, müssen Sie dafür ein neues Ablaufprotokoll erstellen.

Portal

1. Geben Sie im Suchfeld oben im Portal die Netzwerküberwachung ein. Wählen Sie " Netzwerküberwachung" aus den Suchergebnissen aus.

2. Wählen Sie unter "Protokolle" die Option "Ablaufprotokolle" aus.

3. In Network Watcher | Flussprotokolle, wählen Sie das Kontrollkästchen des Flussprotokolls, das Sie löschen möchten.

4. Wählen Sie "Löschen" aus.

   

PowerShell

Verwenden Sie das Cmdlet Remove-AzNetworkWatcherFlowLog , um eine Ressource des virtuellen Netzwerkflussprotokolls zu löschen.

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myVNetFlowLog' -Location 'eastus'

Azure CLI

Verwenden Sie den Befehl "az network watcher flow-log delete", um eine Ressource für das Protokoll des virtuellen Netzwerkflusses zu löschen.

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'

Hinweis

Beim Löschen eines Datenflussprotokolls werden die Daten des Datenflussprotokolls nicht aus dem Speicherkonto gelöscht. Datenflussprotokolldaten, die im Speicherkonto gespeichert sind, folgen der konfigurierten Aufbewahrungsrichtlinie oder bleiben im Speicherkonto gespeichert, bis sie manuell gelöscht werden.

Verwandte Inhalte

• Prüfen und Bereitstellen von Flussprotokollen für virtuelle Netzwerke mithilfe von Azure-Richtlinien
• VNet-Datenflussprotokolle
• Datenverkehrsanalyse