Tutorial: Registro del tráfico de red de entrada y salida de una máquina virtual mediante Azure Portal

Un grupo de seguridad de red (NSG) le permite filtrar el tráfico entrante y el tráfico saliente en una máquina virtual (VM). Puede registrar el tráfico de red que fluye a través de un NSG gracias a la capacidad de registro de flujos de NSG de Network Watcher.

En este tutorial, aprenderá a:

  • Crear un grupo de seguridad de red con una máquina virtual.
  • Habilitar Network Watcher y registrar un proveedor de Microsoft.Insights.
  • Habilitar un registro de flujo de tráfico para un NSG, mediante la capacidad de registro de flujos de NSG de Network Watcher.
  • Descargar los datos registrados.
  • Ver los datos registrados.

Requisitos previos

Creación de una máquina virtual

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. Seleccione Máquinas virtuales.

  3. En Máquinas virtuales, seleccione + Crear y, a continuación, Máquina virtual.

  4. En Crear una máquina virtual, escriba o seleccione esta información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione Crear nuevo.
    Escriba myResourceGroup en Nombre.
    Seleccione Aceptar.
    Detalles de instancia
    Nombre de la máquina virtual Escriba myVM.
    Region Seleccione (EE. UU.) Este de EE. UU. .
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Deje el valor predeterminado Estándar.
    Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - Gen2.
    Instancia de Azure Spot deje el valor predeterminado.
    Size Seleccione un tamaño.
    Cuenta de administrador
    Tipo de autenticación Seleccione Clave pública SSH.
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmación de la contraseña Confirme la contraseña.
    Reglas de puerto de entrada
    Puertos de entrada públicos Deje el valor predeterminado Permitir los puertos seleccionados.
    Selección de puertos de entrada Deje el valor predeterminado, RDP (3389) .
  5. Seleccione Revisar + crear.

  6. Seleccione Crear.

La creación de la máquina virtual tarda algunos minutos. No continúe con los pasos restantes hasta que la VM haya finalizado el proceso de creación. Además de crear la máquina virtual, el portal también crea un grupo de seguridad de red denominado myVM-nsg y lo asocia a la interfaz de red de la máquina virtual.

Habilitación de Network Watcher

Si ya dispone de un monitor de red habilitado en la región este de EE. UU., vaya al Registro del proveedor de Insights.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Network Watcher. En los resultados de la búsqueda, seleccione Network Watcher.

  2. En la página de información general de Network Watcher, seleccione + Agregar.

    Screenshot of enable network watcher in portal.

  3. En Agregar Network Watcher, seleccione su suscripción. En Región, seleccione (EE. UU.) Este de EE. UU.

  4. Seleccione Agregar.

Registro del proveedor de Insights

Para iniciar sesión en el flujo de NSG, es necesario recurrir al proveedor Microsoft.Insights. Para registrar el proveedor, realice los pasos siguientes:

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Suscripciones. En los resultados de la búsqueda, seleccione Suscripciones.

  2. En Suscripciones, seleccione la suscripción para la que quiera habilitar el proveedor.

  3. En la sección Ajustes de la suscripción, seleccione Proveedores de recursos.

  4. En el cuadro de filtro, escriba Microsoft.Insights.

  5. Confirme que el estado que se muestra para el proveedor es Registrado. Si el estado es Sin registrar, seleccione el proveedor y luego seleccione Registrar.

Habilitar el registro de flujos de NSG

Los datos del registro de flujos de NSG se escriben en una cuenta de Azure Storage. Complete los pasos siguientes para crear una cuenta de almacenamiento para los datos de registro.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. En Cuentas de almacenamiento, seleccione + Crear.

  3. En Crear una cuenta de almacenamiento, escriba o seleccione la siguiente información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione myResourceGroup.
    Detalles de instancia
    Nombre de la cuenta de almacenamiento Escriba un nombre para la cuenta de almacenamiento.
    Debe tener entre 3 y 24 caracteres de longitud y solo puede contener letras minúsculas y números; asimismo, debe ser único para todas las instancias de Azure Storage.
    Region Seleccione (EE. UU.) Este de EE. UU..
    Rendimiento Deje el valor predeterminado Estándar.
    Redundancia Deje el valor predeterminado de Almacenamiento con redundancia geográfica (GRS).
  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

La cuenta de almacenamiento tardará unos minutos en crearse. No continúe con los pasos restantes hasta que haya creado la cuenta de almacenamiento. En cualquier caso, la cuenta de almacenamiento debe estar en la misma región que el grupo de seguridad de red.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Network Watcher. En los resultados de la búsqueda, seleccione Network Watcher.

  2. En Registros, seleccione Registros de flujo de NSG.

  3. En Network Watcher | Registros de flujo de NSG, seleccione + Crear.

    Screenshot of create Network Security Group flow log.

  4. En Crear un registro de flujo, escriba o seleccione la siguiente información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Grupo de seguridad de red Seleccione myVM-nsg.
    Nombre del registro de flujo Deje el valor predeterminado myVM-nsg-myResourceGroup-flowlog.
    Detalles de instancia
    Selección de la cuenta de almacenamiento
    Suscripción Seleccione su suscripción.
    Cuentas de almacenamiento Seleccione la cuenta de almacenamiento que creó en los pasos previos.
    Retención (días) Escriba un período de retención para los registros.
  5. Seleccione Revisar + crear.

  6. Seleccione Crear.

Descargar el registro de flujos

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

  2. Seleccione la cuenta de almacenamiento que creó en los pasos previos.

  3. En Almacenamiento de datos, seleccione Contenedores.

  4. Seleccione el contenedor insights-logs-networksecuritygroupflowevent.

  5. En el contenedor, desplácese por la jerarquía de carpetas hasta llegar a un archivo PT1H.json. Los archivos de registro se escriben en una jerarquía de carpetas que sigue la convención de nomenclatura siguiente:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Seleccione ... a la derecha del archivo PT1H.json y luego seleccione Descargar.

    Screenshot of download Network Security Group flow log.

Ver el registro de flujos

El siguiente JSON de ejemplo muestra los datos que verá en el archivo PT1H.json para cada flujo registrado:

Evento de registro de flujo de la versión 1

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<Id>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "000D3A170C69",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

Evento de registro de flujo de la versión 2

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "000D3AF87856",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

El valor de mac en la salida anterior es la dirección MAC de la interfaz de red que se creó cuando creó la máquina virtual. La información separada por comas de flowTuples tiene el siguiente aspecto:

Datos de ejemplo Qué representan los datos Explicación
1542110377 Marca de tiempo La marca de tiempo de cuando se produjo el flujo en formato UNIX EPOCH. En el ejemplo anterior, la fecha se convierte en el 1 de mayo de 2018 a las 2:59:05 P.M. GMT.
10.0.0.4 Dirección IP de origen La dirección IP de origen en la que se ha originado el flujo. 10.0.0.4 es la dirección IP privada de la máquina virtual que creó en el paso Crear una máquina virtual.
13.67.143.118 Dirección IP de destino La dirección IP de destino a la que se destina el flujo.
44931 Puerto de origen El puerto de origen en el que se ha originado el flujo.
443 Puerto de destino El puerto de destino al que se destina el flujo. Puesto que el tráfico se destinó al puerto 443, la regla denominada UserRule_default-allow-rdp, en el archivo de registro, es la que procesa el flujo.
T Protocolo Si el protocolo del flujo es TCP (T) o UDP (U).
O Dirección Si el tráfico es entrante (I) o saliente (O).
A Acción Si el tráfico está permitido (A) o si está denegado (D).
C Estado de flujo solo versión 2 Captura el estado del flujo. Los estados posibles sonB: Begin (Comienzo), cuando se crea el flujo. No se proporcionan las estadísticas. C: Continuación de un flujo en curso. Las estadísticas se proporcionan a intervalos de cinco minutos. E: final, cuando finaliza el flujo. Se proporcionan las estadísticas.
30 Paquetes enviados: origen a destino solo versión 2 El número total de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización.
16978 Bytes enviados: origen a destino solo versión 2 El número total de bytes de paquetes TCP o UDP enviados desde el origen al destino desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete.
24 Paquetes enviados: destino a origen solo versión 2 El número total de paquetes TCP o UDP enviados desde el destino al origen desde la última actualización.
14008 Bytes enviados: destino a origen solo versión 2 El número total de bytes de paquetes TCP y UDP enviados desde el destino al origen desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete.

Pasos siguientes

En este tutorial, ha aprendido a:

  • Habilitación del registro de flujo de NSG para un NSG
  • Descargue y vea los datos registrados en un archivo.

Los datos sin procesar del archivo json pueden ser difíciles de interpretar. Para visualizar datos de los registros de flujo, puede usar Análisis de tráfico de Azure y Microsoft Power BI.

Para ver métodos alternativos de habilitar los registros de flujos de los grupos de seguridad de red, consulte PowerShell, la CLI de Azure, la API de REST y las plantillas de Resource Manager.

Avance al siguiente artículo para aprender a supervisar la comunicación de red entre dos máquinas virtuales: