Administración de registros de flujo de NSG mediante Azure Portal
Los registros de flujo de grupos de seguridad de red son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico de IP que pasa por un grupo de seguridad de red. Para obtener más información sobre el registro de flujo del grupo de seguridad de red, consulte Información general sobre registros de flujo de NSG.
En este artículo se proporciona información sobre cómo crear, cambiar, deshabilitar o eliminar un registro de flujo de NSG mediante Azure Portal. Puede aprender a administrar un registro de flujo de NSG mediante PowerShell, la CLI de Azure, la API de REST o una plantilla de ARM.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Proveedor de Insights. Para más información, consulte Registro del proveedor de Insights.
Un grupo de seguridad de red. Si necesita crear un grupo de seguridad de red, vea Crear, cambiar o eliminar un grupo de seguridad de red.
Una cuenta de almacenamiento de Azure. Si necesita crear una cuenta de almacenamiento, consulte Crear una cuenta de almacenamiento mediante PowerShell.
Registro del proveedor de Insights
Se debe registrar el proveedor de Microsoft.Insights para registrar correctamente el tráfico que fluye mediante un grupo de seguridad de red. Si no está seguro de si el proveedor de Microsoft.Insights está registrado, compruebe el estado:
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba suscripciones. En los resultados de la búsqueda, seleccione Suscripciones.
Seleccione la suscripción de Azure para la que quiere habilitar el proveedor en Suscripciones.
En Configuración, seleccione Proveedores de recursos.
Escriba insight en el cuadro de filtro.
Confirme que el estado que se muestra para el proveedor es Registrado. Si el estado es NotRegistered, seleccione el proveedor Microsoft.Insights. Después, seleccione Registrar.
Creación de un registro de flujo
Cree un registro de flujo para el grupo de seguridad de red. Este registro de flujo de NSG se guarda en una cuenta de almacenamiento de Azure.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione + Crear o el botón azul Crear registro de flujo.
En Crear un registro de flujo, escriba o seleccione estos valores:
Configuración Value Detalles del proyecto Subscription Seleccione la suscripción de Azure del grupo de seguridad de red que desea registrar. Grupo de seguridad de red Seleccione + Seleccionar recurso.
En Seleccionar grupo de seguridad de red, seleccione myNSG. A continuación, seleccione Confirmar selección.Nombre del registro de flujo Escriba un nombre para el registro de flujo o deje el nombre predeterminado. myNSG-myResourceGroup-flowlog es el nombre predeterminado de este ejemplo. Detalles de instancia Suscripción Seleccione la suscripción de Azure de la cuenta de almacenamiento. Cuentas de almacenamiento Seleccione la cuenta de almacenamiento en la que desea guardar los registros de flujo. Si desea crear una nueva cuenta de almacenamiento, seleccione Crear una nueva cuenta de almacenamiento. Retención (días) Escriba un período de retención para los registros. Escriba 0 si desea conservar los datos de los registros de flujo en la cuenta de almacenamiento para siempre (hasta que los elimine de la cuenta de almacenamiento). Para obtener información sobre los precios, consulte Precios de Azure Storage. 
Nota
Si la cuenta de almacenamiento está en otra suscripción, tanto el grupo de seguridad de red como la cuenta de almacenamiento deben estar asociadas al mismo inquilino de Azure Active Directory. La cuenta que utilice para cada suscripción debe tener los permisos necesarios.
Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Creación de un área de trabajo de análisis de tráfico y registro de flujo
Cree un registro de flujo para el grupo de seguridad de red y habilite el análisis de tráfico. El registro de flujo de NSG se guarda en una cuenta de almacenamiento de Azure.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione + Crear o el botón azul Crear registro de flujo.
En Crear un registro de flujo, escriba o seleccione estos valores:
Configuración Value Detalles del proyecto Subscription Seleccione la suscripción de Azure del grupo de seguridad de red que desea registrar. Grupo de seguridad de red Seleccione + Seleccionar recurso.
En Seleccionar grupo de seguridad de red, seleccione myNSG. A continuación, seleccione Confirmar selección.Nombre del registro de flujo Escriba un nombre para el registro de flujo o deje el nombre predeterminado. De manera predeterminada, Azure Portal crea el registro de flujo {network-security-group}-{resource-group}-flowlog en el grupo de recursos NetworkWatcherRG. Detalles de instancia Suscripción Seleccione la suscripción de Azure de la cuenta de almacenamiento. Cuentas de almacenamiento Seleccione la cuenta de almacenamiento en la que desea guardar los registros de flujo. Si desea crear una nueva cuenta de almacenamiento, seleccione Crear una nueva cuenta de almacenamiento. Retención (días) Escriba un período de retención para los registros. Escriba 0 si desea conservar los datos de los registros de flujo en la cuenta de almacenamiento para siempre (hasta que los elimine de la cuenta de almacenamiento). Para obtener información sobre los precios, consulte Precios de Azure Storage. 
Nota
Si la cuenta de almacenamiento está en otra suscripción, tanto el grupo de seguridad de red como la cuenta de almacenamiento deben estar asociadas al mismo inquilino de Azure Active Directory. La cuenta que utilice para cada suscripción debe tener los permisos necesarios.
Seleccione el botón Siguiente: análisis o seleccione la pestaña Análisis. Después, escriba o seleccione los siguientes valores:
Configuración Value Versión de los registros de flujo Seleccione la versión del registro de flujos. La versión 2 se selecciona de manera predeterminada al crear un registro de flujo mediante Azure Portal. Para obtener información sobre las versiones del registro de flujo, consulte Formato de registro de los registros de flujo de NSG. Análisis de tráfico Habilitación del análisis de tráfico Active la casilla para habilitar el análisis de tráfico para el registro de flujo. Intervalo de procesamiento de Análisis de tráfico Seleccione el intervalo de procesamiento que prefiera; las opciones disponibles son: Cada 1 hora y Cada 10 minutos. El intervalo de procesamiento determinado es cada hora. Para más información, consulte Análisis de tráfico. Subscription Seleccione la suscripción de Azure para el área de trabajo de Log Analytics. Área de trabajo de Log Analytics Seleccione el área de trabajo de Log Analytics. De manera predeterminada, Azure Portal crea y selecciona el área de trabajo de Log Analytics DefaultWorkspace-{subscription-id}-{region} en el grupo de recursos defaultresourcegroup-{Region}. 
Seleccione Revisar + crear.
Revise la configuración y, a continuación, seleccione Crear.
Cambiar un registro de flujo
Puede cambiar las propiedades de un registro de flujo después de crearlo. Por ejemplo, puede cambiar la versión del registro de flujo o deshabilitar el análisis de tráfico.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione el registro de flujo que desea cambiar.
En Configuración de registros de flujo, puede cambiar cualquiera de las siguientes opciones:
- Versión de los registros de flujo: cambie la versión del registro de flujo. Las versiones disponibles son: versión 1 y versión 2. La versión 2 se selecciona de manera predeterminada al crear un registro de flujo mediante Azure Portal. Para obtener información sobre las versiones del registro de flujo, consulte Formato de registro de los registros de flujo de NSG.
- Cuenta de almacenamiento: cambie la cuenta de almacenamiento en la que desea guardar los registros de flujo. Si desea crear una nueva cuenta de almacenamiento, seleccione Crear una nueva cuenta de almacenamiento.
- Retención (días): cambie el tiempo de retención en la cuenta de almacenamiento. Escriba 0 si desea conservar los datos de los registros de flujo en la cuenta de almacenamiento para siempre (hasta que elimine manualmente los datos de la cuenta de almacenamiento).
- Análisis de tráfico: habilite o deshabilite el análisis de tráfico para el registro de flujo. Para más información, consulte Análisis de tráfico.
- Intervalo de procesamiento del análisis de tráfico: cambie el intervalo de procesamiento del análisis de tráfico (si el análisis de tráfico está habilitado). Las opciones disponibles son: una hora y 10 minutos. El intervalo de procesamiento determinado es cada hora. Para más información, consulte Análisis de tráfico.
- Área de trabajo de Log Analytics: cambie el área de trabajo de Log Analytics en la que desea guardar los registros de flujo (si el análisis de tráfico está habilitado).
Enumeración de todos los registros de flujo
Puede enumerar todos los registros de flujo de una suscripción o un grupo de suscripciones. También puede enumerar todos los registros de flujo de una región.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
Seleccione el filtro Igualdad de suscripción para elegir una o varias de las suscripciones. Puede aplicar otros filtros como Igualdad de ubicación para enumerar todos los registros de flujo de una región.
Visualización de los detalles de un recurso de registro de flujo
Puede ver los detalles de un registro de flujo en una suscripción o un grupo de suscripciones. También puede enumerar todos los registros de flujo de una región.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione el registro de flujo que desea ver.
En Configuración de registros de flujo, puede ver la configuración del recurso de registro de flujo.
Descarga de un registro de flujo
La ubicación de almacenamiento de un registro de flujo se define en el momento de la creación. Para acceder y descargar registros de flujo desde la cuenta de almacenamiento, puede usar el Explorador de Azure Storage. Para más información, vea Introducción al Explorador de Storage.
Los archivos de registro de flujo del NSG guardados en una cuenta de almacenamiento siguen esta ruta:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Para obtener información sobre la estructura de un registro de flujo, consulte Formato de registro o Registros de flujo de NSG.
Deshabilitar un registro de flujo
Puede deshabilitar temporalmente un registro de flujo de NSG sin eliminarlo. Al deshabilitar un registro de flujo, este se detiene para el grupo de seguridad de red asociado. Sin embargo, el recurso del registro de flujo permanece con todas sus configuraciones y asociaciones. Puede volver a habilitarlo en cualquier momento para reanudar el registro de flujo para el grupo de seguridad de red configurado.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione la casilla del registro de flujo que desea deshabilitar.
Seleccione Deshabilitar.
Nota
Si el análisis de tráfico está habilitado para un registro de flujo, hay que deshabilitarlo para poder deshabilitar el registro de flujo. Para deshabilitar el análisis de tráfico, consulte Cambiar un registro de flujo.
Eliminación de un registro de flujo
Puede eliminar permanentemente un registro de flujo de NSG. Al eliminar un registro de flujo, se eliminan todas sus configuraciones y asociaciones. Para volver a iniciar el registro de flujo para el mismo grupo de seguridad de red, debe crear un nuevo registro de flujo para este.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En Network Watcher | Registros de flujo, seleccione la casilla del registro de flujo que desea eliminar.
Seleccione Eliminar.
Nota
La eliminación de un registro de flujo no elimina los datos del registro de flujo de la cuenta de almacenamiento. Los datos de los registros de flujo almacenados en la cuenta de almacenamiento siguen la directiva de retención configurada o permanecen almacenados en la cuenta de almacenamiento hasta que se eliminen manualmente (en caso de que no se configure ninguna directiva de retención).
Pasos siguientes
- Para descubrir cómo usar directivas integradas de Azure a fin de auditar o implementar registros de flujo de NSG, vea Administración de registros de flujo de NSG mediante Azure Policy.
- Para más información sobre el análisis de tráfico, vea Análisis de tráfico.