Gérer les journaux de flux NSG avec Azure CLI
Les journaux de flux NSG sont une fonctionnalité d’Azure Network Watcher qui vous permet de journaliser des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Si vous souhaitez obtenir plus d’informations sur la journalisation de flux du groupe de sécurité réseau, voir Vue d’ensemble des journaux de flux NSF.
Dans cet article, vous allez apprendre à créer, modifier, désactiver ou supprimer un journal de flux NSG à l’aide de Azure CLI. Vous pouvez apprendre à gérer un journal de flux NSG à l’aide du Portail Azure, de PowerShell, de l’API REST ou du modèle ARM.
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Fournisseur d’insights. Pour plus d’informations, consultez Inscrire le fournisseur Insights.
Un groupe de sécurité réseau. Si vous devez créer un groupe de sécurité réseau, consultez Créer, modifier ou supprimer un groupe de sécurité réseau.
Un compte de stockage Azure. Si vous devez créer un compte de stockage, consultez Créer un compte de stockage avec PowerShell.
Azure Cloud Shell ou Azure CLI installé localement.
Dans les étapes de cet article, vous exécutez les commandes Azure CLI de manière interactive dans Azure Cloud Shell. Pour exécuter les commandes dans le Cloud Shell, sélectionnez Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Sélectionnez Copier pour copier le code, puis collez-le dans Cloud Shell pour l’exécuter. Vous pouvez également exécuter le Cloud Shell à partir du Portail Azure.
Vous pouvez également installer Azure CLI localement afin d’exécuter les commandes. Si vous exécutez Azure CLI localement, connectez-vous à Azure à l’aide de la commande az login.
Inscription du fournisseur Insights
Le fournisseur Microsoft.Insights doit être inscrit pour enregistrer correctement le trafic transitant par un groupe de sécurité réseau. Si vous ne savez pas si le fournisseur Microsoft.Insights est inscrit, utilisez az provider register pour l’inscrire.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Créer un journal de flux
Créez un journal de flux à l’aide de la commande az network watcher flow-log create. Le journal de flux est créé dans le Network Watcher groupe de ressources par défaut NetworkWatcherRG.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Notes
- Si le compte de stockage se trouve dans un autre abonnement, le groupe de sécurité réseau et le compte de stockage doivent être associés au même locataire Azure Active Directory. Le compte que vous utilisez pour chaque abonnement doit avoir les autorisations nécessaires.
- Si le compte de stockage se trouve dans un autre groupe de ressources ou un autre abonnement, spécifiez l’ID complet du compte de stockage plutôt que son nom. Par exemple, si le compte de stockage myStorageAccount se trouve dans un groupe de ressources nommé StorageRG alors que le groupe de sécurité réseau se trouve dans le groupe de ressources myResourceGroup, vous devez utiliser
/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccountpour--storage-accountle paramètre au lieu demyStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Créer un journal de flux et un espace de travail Traffic Analytics
Créez un espace de travail Log Analytics à l’aide de la commande az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'Créez un journal de flux à l’aide de la commande az network watcher flow-log create. Le journal de flux est créé dans le Network Watcher groupe de ressources par défaut NetworkWatcherRG.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Notes
- Le compte de stockage ne peut pas avoir de règles réseau qui limitent l’accès réseau pour les services Microsoft ou des réseaux virtuels spécifiques uniquement.
- Si le compte de stockage se trouve dans un autre abonnement, le groupe de sécurité réseau et le compte de stockage doivent être associés au même locataire Azure Active Directory. Le compte que vous utilisez pour chaque abonnement doit avoir les autorisations nécessaires.
- Si le compte de stockage se trouve dans un autre groupe de ressources ou abonnement, l’ID complet du compte de stockage doit être utilisé. Par exemple, si le compte de stockage myStorageAccount se trouve dans un groupe de ressources nommé StorageRG alors que le groupe de sécurité réseau se trouve dans le groupe de ressources myResourceGroup, vous devez utiliser
/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccountpour--storage-accountle paramètre au lieu demyStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Modifier un journal de flux
Vous pouvez utiliser az network watcher flow-log update pour modifier les propriétés d’un journal de flux. Par exemple, vous pouvez modifier la version du journal de flux ou désactiver l’analyse du trafic.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Répertorier tous les journaux de flux d’une région
Utilisez az network watcher flow-log list pour répertorier toutes les ressources de journal de flux NSG dans une région particulière de votre abonnement.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Afficher les détails d’une ressource de journal de flux
Utilisez az network watcher flow-log show pour afficher les détails d’une ressource de journal de flux.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Télécharger un journal de flux
L’emplacement de stockage d’un journal de flux est défini au moment de la création. Pour accéder aux journaux de flux et les télécharger à partir de votre compte de stockage, vous pouvez utiliser Explorateur Stockage Azure. Pour plus d’informations, consultez Prise en main de l’Explorateur Stockage.
Les fichiers journal de flux NSG enregistrés dans un compte de stockage suivent le chemin d’accès suivant :
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Pour plus d’informations sur la structure d’un journal de flux, consultez Journaux de flux NSG format journal.
Désactiver un journal de flux
Pour désactiver temporairement un journal de flux sans le supprimer, utilisez la commande az network watcher flow-log update . La désactivation d’un journal de flux arrête la journalisation des flux pour le groupe de sécurité réseau associé. Toutefois, la ressource journal de flux est conservée avec tous ses paramètres et associations. Vous pouvez le réactiver à tout moment pour reprendre la journalisation des flux pour le groupe de sécurité réseau configuré.
Notes
Si l’analytique du trafic est activée pour un journal de flux, elle doit être désactivée avant que vous puissiez désactiver le journal de flux.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Supprimer un journal de flux
Pour supprimer définitivement un journal de flux, utilisez la commande az network watcher flow-log delete . La suppression d’un journal de flux supprime tous ses paramètres et associations. Pour recommencer la journalisation des flux pour le même groupe de sécurité réseau, vous devez créer un journal de flux pour celui-ci.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Notes
La suppression d’un journal de flux ne supprime pas les données du journal de flux du compte de stockage. Les données des journaux de flux stockées dans le compte de stockage suivent la stratégie de rétention configurée.
Étapes suivantes
- Pour savoir comment utiliser des stratégies intégrées Azure pour auditer ou déployer des journaux de flux NSG, consultez Gérer les journaux de flux NSG à l’aide d’Azure Policy.
- Pour en savoir plus sur l'analyse du trafic, voir Analyse du trafic.