Freigeben über

Lernprogramm: Protokollieren von Netzwerkdatenverkehr zu und von einem virtuellen Netzwerk über das Azure-Portal

Die Datenflussprotokollierung für ein virtuelles Netzwerk ist eine Funktion von Azure Network Watcher, mit der Informationen über den IP-Datenverkehr protokolliert werden können, der durch ein virtuelles Azure-Netzwerk fließt. Weitere Informationen zur Protokollierung des virtuellen Netzwerkflusses finden Sie in den Protokollen für virtuelle Netzwerkflusse.

In diesem Lernprogramm können Sie VNet-Flussprotokolle verwenden, um den Netzwerkdatenverkehr eines virtuellen Computers zu protokollieren, der über das virtuelle Netzwerk fließt.

Das Diagramm zeigt die im Tutorial erstellten Ressourcen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines virtuellen Netzwerks
  • Erstellen eines virtuellen Computers
  • Registrieren des Microsoft.insights-Anbieters
  • Aktivieren der Flussprotokollierung für ein virtuelles Netzwerk mithilfe von Network Watcher-Flussprotokollen
  • Herunterladen protokollierter Daten
  • Anzeigen protokollierter Daten

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen eines virtuellen Netzwerks

In diesem Abschnitt erstellen Sie das virtuelle Netzwerk myVNet mit einem Subnetz für den virtuellen Computer.

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

    Screenshot, der die Suche nach virtuellen Netzwerken im Azure-Portal zeigt.

  3. Wählen Sie + Erstellen aus. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Allgemein die folgenden Werte ein, oder wählen Sie diese aus:

    Konfiguration Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie "Neu erstellen" aus.
    Geben Sie myResourceGroup unter Name ein.
    Wählen Sie OK aus.
    Instanzdetails
    Name Geben Sie myVNet ein.
    Region Wählen Sie (USA) USA, Osten aus.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

Erstellen eines virtuellen Computers

In diesem Abschnitt erstellen Sie eine myVM-VM.

  1. Geben Sie im Suchfeld oben im Portal den Begriff VM ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie +Erstellen und dann virtuellen Computer aus.

  3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Werte ein (bzw. wählen Sie sie aus):

    Konfiguration Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie myResourceGroup aus.
    Instanzdetails
    Name des virtuellen Computers Geben Sie myVM ein.
    Region Wählen Sie (USA) USA, Osten aus.
    Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus.
    Sicherheitstyp Wählen Sie "Standard" aus.
    Image Wählen Sie das gewünschte Bild aus. Dieses Lernprogramm verwendet Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Size Wählen Sie eine VM-Größe aus, oder lassen Sie die Standardeinstellung.
    Administratorkonto
    Nutzername Geben Sie einen Benutzernamen ein.
    Passwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.

  4. Wählen Sie die Registerkarte Netzwerk aus, oder wählen Sie Weiter: Datenträger und anschließend Weiter: Netzwerk aus.

  5. Wählen Sie auf der Registerkarte „Netzwerk“ die folgenden Werte aus:

    Konfiguration Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie myVNet aus.
    Subnetz Wählen Sie mySubnet aus.
    Öffentliche IP-Adresse Wählen Sie (new) myVM-ip aus.
    NIC-Netzwerksicherheitsgruppe Wählen Sie "Einfach" aus.
    Öffentliche Eingangsports Wählen Sie Ausgewählte Ports zulassen aus.
    Eingangsanschlüsse auswählen Wählen Sie RDP (3389) aus.

    Vorsicht

    RDP-Ports für das Internet offen zu lassen, wird nur für Tests empfohlen. Für Produktionsumgebungen wird empfohlen, den Zugriff auf den RDP-Port auf eine bestimmte IP-Adresse oder einen bestimmten IP-Adressbereich zu beschränken. Sie können den Internetzugriff auf den RDP-Port auch blockieren und Azure Bastion verwenden, um eine sichere Verbindung mit Ihrem virtuellen Computer über das Azure-Portal herzustellen.

  6. Klicken Sie auf Überprüfen + erstellen.

  7. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

  8. Wenn die Bereitstellung abgeschlossen ist, wählen Sie Zur Ressource wechseln aus, um zur Seite Übersicht von myVM zu wechseln.

  9. Wählen Sie Verbinden und dann RDP aus.

  10. Wählen Sie die Option RDP-Datei herunterladen aus, und öffnen Sie die heruntergeladene Datei.

  11. Wählen Sie Verbinden aus, und geben Sie dann den Benutzernamen und das Kennwort ein, die Sie in den vorherigen Schritten erstellt haben. Akzeptieren Sie das Zertifikat, wenn Sie dazu aufgefordert werden.

Registrieren von Insights-Anbietern

Die Ablaufprotokollierung erfordert den Microsoft.Insights-Anbieter . Um ihren Status zu überprüfen, führen Sie diese Schritte aus:

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Abonnements ein. Wählen Sie in den Suchergebnissen Abonnements aus.

  2. Wählen Sie unter Abonnements das Azure-Abonnement aus, für das Sie den Anbieter aktivieren möchten.

  3. Klicken Sie unter Einstellungen auf Ressourcenanbieter.

  4. Geben Sie Insight in das Filterfeld ein.

  5. Vergewissern Sie sich, dass der angezeigte Status des Anbieters Registriert lautet. Wenn der Status NotRegistered lautet, wählen Sie den Microsoft.Insights-Anbieter aus und dann Registrieren.

    Screenshot, der zeigt, wie Sie den Microsoft Insights-Anbieter im Azure-Portal registrieren.

Speicherkonto erstellen

In diesem Abschnitt erstellen Sie ein Speicherkonto, um es zum Speichern der Datenflussprotokolle zu verwenden.

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonten ein. Wählen Sie "Speicherkonten " aus den Suchergebnissen aus.

  2. Wählen Sie + Erstellen aus. Geben Sie unter Speicherkonto erstellen die folgenden Werte auf der Registerkarte Allgemein ein, oder wählen Sie diese aus:

    Konfiguration Wert
    Projektdetails
    Abonnement Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie myResourceGroup aus.
    Instanzdetails
    Speicherkontoname Geben Sie einen eindeutigen Namen ein. In diesem Lernprogramm wird das nwteststorageaccount verwendet.
    Region Wählen Sie (USA) USA, Osten aus. Das Speicherkonto muss sich in derselben Region wie die VM und ihre Netzwerksicherheitsgruppe befinden.
    Primärer Dienst Wählen Sie Azure Blob Storage oder Azure Data Lake Storage Gen 2 aus.
    Leistung Wählen Sie "Standard" aus. Ablaufprotokolle unterstützen nur Speicherkonten auf Standardebene.
    Redundanz Wählen Sie die von Ihnen bevorzugte Redundanz aus. In diesem Lernprogramm wird lokal redundanter Speicher (LRS) verwendet.

  3. Wählen Sie die Registerkarte Überprüfen aus, oder wählen Sie die Schaltfläche Überprüfen am unteren Rand aus.

  4. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

Erstellen eines Datenflussprotokolls

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerkflussprotokoll, das im zuvor im Lernprogramm erstellten Speicherkonto gespeichert ist.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie Network Watcher aus den Suchergebnissen aus.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle aus.

  3. Wählen Sie in Network Watcher | Datenflussprotokolle die blaue Schaltfläche + Erstellen oder Datenflussprotokoll erstellen aus.

    Screenshot der Datenflussprotokolle des Network Watcher im Azure-Portal.

  4. Geben Sie unter Datenflussprotokoll erstellen die folgenden Werte ein, oder wählen Sie diese aus:

    Konfiguration Wert
    Projektdetails
    Abonnement Wählen Sie das Azure-Abonnement Ihrer Netzwerksicherheitsgruppe aus, das Sie protokollieren möchten.
    Art des Datenflussprotokolls Wählen Sie Virtuelles Netzwerk aus.
    Virtuelles Netzwerk Wählen Sie +Zielressource auswählen.
    Wählen Sie in "Virtuelles Netzwerk auswählen" "myVNet" aus. Wählen Sie anschließend Auswahl bestätigen aus.
    Name des Datenflussprotokolls Lassen Sie die Standardeinstellung von myVNet-myresourcegroup-flowlog.
    Instanzdetails
    Abonnement Wählen Sie das Azure-Abonnement Ihres Speicherkontos aus.
    Speicherkonten Wählen Sie das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
    Aufbewahrungsdauer (Tage) Geben Sie 10 ein, um die Ablaufprotokolldaten für 10 Tage im Speicherkonto aufzubewahren. Geben Sie "0" ein, um die Ablaufprotokolldaten für immer im Speicherkonto zu speichern (bis Sie sie löschen). Informationen zu Speicherpreisen finden Sie unter Preise für Azure Storage.

    Screenshot der Seite

    Hinweis

    Das Azure-Portal erstellt Protokolle für den virtuellen Netzwerkfluss in der NetworkWatcherRG-Ressourcengruppe .

  5. Klicken Sie auf Überprüfen + erstellen.

  6. Überprüfen Sie die Einstellungen, und wählen Sie dann die Option Erstellen.

  7. Nach Abschluss der Bereitstellung wählen Sie Gehe zu Ressource aus, um das auf der Seite Datenflussprotokolle erstellte und aufgeführte Datenflussprotokoll zu bestätigen.

    Screenshot der Seite „Datenflussprotokolle“ im Azure-Portal mit dem neu erstellten Datenflussprotokoll.

  8. Kehren Sie zu Ihrer RDP-Sitzung mit dem virtuellen Computer myVM zurück.

  9. Öffnen Sie Microsoft Edge, und wechseln Sie zu www.bing.com.

Herunterladen des Datenflussprotokolls

In diesem Abschnitt wechseln Sie zum zuvor ausgewählten Speicherkonto, und laden Sie das im vorherigen Abschnitt erstellte Ablaufprotokoll herunter.

  1. Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonten ein. Wählen Sie "Speicherkonten " aus den Suchergebnissen aus.

  2. Wählen Sie "nwteststorageaccount" oder das Speicherkonto aus, das Sie zuvor erstellt und ausgewählt haben, um die Protokolle zu speichern.

  3. Wählen Sie unter Datenspeicher die Option Container aus.

  4. Wählen Sie insights-logs-flowlogflowevent-Container aus.

  5. Navigieren Sie im Container in der Ordnerhierarchie, bis Sie zu der PT1H.json Datei gelangen, die Sie herunterladen möchten. Protokolldateien für den virtuellen Netzwerkfluss folgen dem folgenden Pfad::

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Wählen Sie rechts neben der Datei „PT1H.json“ die Auslassungspunkte ... und dann Herunterladen aus.

    Screenshot, der zeigt, wie Sie virtuelle Netzwerk-Flussprotokolldaten aus dem Speicherkonto im Azure-Portal herunterladen.

Hinweis

Sie können Azure Storage-Explorer verwenden, um auf Datenflussprotokolle in Ihrem Speicherkonto zuzugreifen und diese herunterzuladen. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Anzeigen des Datenflussprotokolls

Öffnen Sie die heruntergeladene PT1H.json-Datei mit einem Text-Editor Ihrer Wahl. Das folgende Beispiel ist ein Abschnitt aus der heruntergeladenen PT1H.json-Datei, der einen von der Regel DefaultRule_AllowInternetOutBound verarbeiteten Datenfluss zeigt.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Die durch Kommas getrennten Informationen für flowTuples sind:

Beispieldaten Was Daten darstellen Erklärung
1754512773 Zeitstempel Der Zeitstempel für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX EPOCH-Format. Im vorherigen Beispiel wird das Datum in den 06. August 2025 um 08:39:33 Uhr UTC/GMT konvertiert.
10.0.0.4 Quell-IP-Adresse Die Quell-IP-Adresse, von der der Datenfluss stammte. 10.0.0.4 ist die private IP-Adresse der VM, die Sie zuvor erstellt haben.
13.107.21.200 IP-Zieladresse Die Ziel-IP-Adresse, für die der Datenfluss bestimmt war. 13.107.21.200 ist die IP-Adresse von www.bing.com. Da der Datenverkehr außerhalb von Azure bestimmt ist, hat die Sicherheitsregel DefaultRule_AllowInternetOutBound den Datenfluss verarbeitet.
49982 Quellport Der Quellport, von dem der Datenfluss stammte.
443 Zielport Der Zielport, für den der Datenfluss bestimmt war.
6 Protokoll Layer-4-Protokoll des Datenflusses in durch die IANA zugewiesenen Werten: 6: TCP.
O Direction Die Richtung des Flusses. O: Outbound (ausgehend).
C Flussstatus Der Status des Datenflusses. C: Fortlaufende Fortsetzung eines laufenden Flows.
NX Ablaufverschlüsselung Die Verbindung ist unverschlüsselt.
7 Gesendete Pakete Die Gesamtanzahl von TCP-Paketen, die seit dem letzten Update zum Ziel gesendet wurden.
1158 Gesendete Bytes Die Gesamtanzahl von TCP-Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden. Paketbytes enthalten den Paketheader und die Nutzlast.
12 Empfangene Pakete Die Gesamtanzahl von TCP-Paketen, die seit dem letzten Update vom Ziel erhalten wurden.
8143 Empfangene Bytes Die Gesamtanzahl von TCP-Paketbytes, die seit dem letzten Update vom Ziel erhalten wurden. Paketbytes enthalten den Paketheader und die Nutzlast.

Bereinigen von Ressourcen

Löschen Sie die Ressourcengruppe myResourceGroup mit allen enthaltenen Ressourcen, wenn Sie diese nicht mehr benötigen:

  1. Geben Sie oben im Portal im Suchfeld myResourceGroup ein. Wählen Sie in den Suchergebnissen myResourceGroup aus.

  2. Wählen Sie die Option Ressourcengruppe löschen.

  3. Geben Sie in "Ressourcegruppe löschen" "myResourceGroup" ein, und wählen Sie dann "Löschen" aus.

  4. Wählen Sie "Löschen" aus, um das Löschen der Ressourcengruppe und aller zugehörigen Ressourcen zu bestätigen.

Hinweis

Die ressource NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog befindet sich in der NetworkWatcherRG-Ressourcengruppe , wird aber nach dem Löschen des virtuellen myVNet-Netzwerks gelöscht (durch Löschen der Ressourcengruppe myResourceGroup ).

Verwandte Inhalte

  • Last updated on