Inicio rápido: configurar registros de flujo de NSG de Azure Network Watcher mediante un archivo Bicep
En este inicio rápido, aprenderá a habilitar registros de flujo de NSG mediante un archivo Bicep.
Bicep es un lenguaje específico de dominio (DSL) que usa una sintaxis declarativa para implementar recursos de Azure. Brinda sintaxis concisa, seguridad de tipos confiable y compatibilidad con la reutilización de código. Bicep ofrece la mejor experiencia de creación para sus soluciones de infraestructura como código en Azure.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta gratuita antes de empezar.
Para implementar los archivos de Bicep, se instaló la CLI de Azure o PowerShell.
Instalar la CLI de Azure localmente para ejecutar los comandos.
Inicie sesión en Azure mediante el comando az login.
Revisión del archivo de Bicep
En este inicio rápido se usan los registros de flujo de Creación de registros de flujo de NSG plantilla de Bicep desde Plantillas de inicio rápido de Azure.
@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'
@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'
@description('Region where you resources are located')
param location string = resourceGroup().location
@description('Resource ID of the target NSG')
param existingNSG string
@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0
@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
1
2
])
param flowLogsVersion int = 2
@description('Storage Account type')
@allowed([
'Standard_LRS'
'Standard_GRS'
'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'
var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'
resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
name: storageAccountName
location: location
sku: {
name: storageAccountType
}
kind: 'StorageV2'
properties: {}
}
resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
name: networkWatcherName
location: location
properties: {}
}
resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
name: '${networkWatcherName}/${flowLogName}'
location: location
properties: {
targetResourceId: existingNSG
storageId: storageAccount.id
enabled: true
retentionPolicy: {
days: retentionDays
enabled: true
}
format: {
type: 'JSON'
version: flowLogsVersion
}
}
}
Los siguientes recursos se definen en el archivo de Bicep:
- Microsoft.Storage/storageAccounts
- Microsoft.Network networkWatchers
- Microsoft.Network networkWatchers/flowLogs
El código resaltado en el ejemplo anterior muestra una definición de recursos de registro de flujo de NSG.
Implementación del archivo de Bicep
En este inicio rápido se supone que tiene un grupo de seguridad de red en el que puede habilitar el registro de flujo.
Guarde el archivo de Bicep como main.bicep en el equipo local.
Implemente el archivo de Bicep mediante la CLI de Azure o Azure PowerShell.
az group create --name exampleRG --location eastus az deployment group create --resource-group exampleRG --template-file main.bicep
Se le pedirá que escriba el identificador de recurso del grupo de seguridad de red existente. La sintaxis del id. de recurso del grupo de seguridad de red es:
"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
Una vez finalizada la implementación, debería mostrarse un mensaje indicando que la implementación se realizó correctamente.
Validación de la implementación
Tiene dos opciones para ver si la implementación se realizó correctamente:
- La consola muestra
ProvisioningState
comoSucceeded
. - Vaya a la página del portal de registros de flujo del grupo de seguridad de red para confirmar los cambios.
Si hay problemas con la implementación, consulte Solucionar problemas comunes de implementación de Azure con Azure Resource Manager.
Limpieza de recursos
Puede eliminar recursos de Azure mediante el modo de implementación completo. Para eliminar un recurso de registros de flujo, especifique una implementación en modo completo sin incluir el recurso que quiere eliminar. Más información sobre el modo de implementación completo.
También puede deshabilitar un registro de flujo del grupo de seguridad de red en Azure Portal:
Inicie sesión en Azure Portal.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.
En Registros, seleccione Registros de flujo.
En la lista de registros de flujo, seleccione el registro de flujo que desea deshabilitar.
Seleccione Deshabilitar.
Contenido relacionado
Para obtener información sobre cómo visualizar los datos de los registros de flujo de NSG, consulte: