Gérer les journaux de flux NSG avec le portail Azure

Les journaux de flux NSG sont une fonctionnalité d’Azure Network Watcher qui vous permet de journaliser des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Si vous souhaitez obtenir plus d’informations sur la journalisation de flux du groupe de sécurité réseau, voir Vue d’ensemble des journaux de flux NSG.

Dans cet article, vous allez apprendre à créer, modifier, désactiver ou supprimer un journal de flux NSG à l’aide du portail Azure. Vous pouvez apprendre à gérer un journal de flux NSG à l’aide de PowerShell, d’Azure CLI, de l’API REST ou du modèle ARM.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Fournisseur d’insights. Pour plus d’informations, consultez Inscrire le fournisseur Insights.

• Un groupe de sécurité réseau. Si vous devez créer un groupe de sécurité réseau, consultez Créer, modifier ou supprimer un groupe de sécurité réseau.

• Un compte de stockage Azure. Si vous devez créer un compte de stockage, consultez Créer un compte de stockage avec PowerShell.

Inscription du fournisseur Insights

Le fournisseur Microsoft.Insights doit être inscrit pour enregistrer correctement le trafic transitant par un groupe de sécurité réseau. Si vous ne savez pas si le fournisseur Microsoft.Insights est inscrit, vérifiez son état :

1. Dans la zone de recherche située en haut du portail, entrez abonnements. Sélectionnez Abonnements dans les résultats de la recherche.

2. Sélectionnez l’abonnement Azure pour lequel vous souhaitez activer le fournisseur dans Abonnements.

3. Sous Paramètres, sélectionnez Fournisseurs de ressources.

4. Entrez insight dans la zone de filtre.

5. Confirmez que l’état du fournisseur affiché est Inscrit. Si l’état est NotRegistered, sélectionnez le fournisseur Microsoft.Insights, puis Inscrire.

   

Créer un journal de flux

Créez un journal de flux pour votre groupe de sécurité réseau. Ce journal de flux NSG est enregistré dans un compte de stockage Azure.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, sélectionnez + Créer ou le bouton bleu Créer un journal de flux.

   

4. Entrez ou sélectionnez les valeurs suivantes dans Créer un journal de flux :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez l’abonnement Azure de votre groupe de sécurité réseau que vous souhaitez consigner.
   Un groupe de sécurité réseau	Sélectionnez + Sélectionner une ressource. Dans Sélectionner un groupe de sécurité réseau, sélectionnez myNSG. Sélectionnez ensuite Confirmer la sélection.
   Nom du journal de flux	Entrez un nom pour le journal de flux ou conservez le nom par défaut. myNSG-myResourceGroup-flowlog est le nom par défaut de cet exemple.
   Détails de l’instance
   Abonnement	Sélectionnez l’abonnement Azure de votre compte de stockage.
   Comptes de stockage	Sélectionnez le compte de stockage dans lequel vous souhaitez enregistrer les journaux de flux. Si vous souhaitez créer un compte de stockage, sélectionnez Créer un compte de stockage.
   Rétention (en jours)	Entrez une durée de conservation pour les journaux. Entrez 0 si vous souhaitez conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous les supprimiez du compte de stockage). Pour plus d’informations sur la tarification, consultez la page Tarification du Stockage Azure.

   

   Notes

   Si le compte de stockage se trouve dans un autre abonnement, le groupe de sécurité réseau et le compte de stockage doivent être associés au même locataire Azure Active Directory. Le compte que vous utilisez pour chaque abonnement doit avoir les autorisations nécessaires.

5. Sélectionnez Revoir + créer.

6. Passez en revue les paramètres, puis sélectionnez Créer.

Créer un journal de flux et un espace de travail Traffic Analytics

Créez un journal de flux pour votre groupe de sécurité réseau et activez l’analyse du trafic. Le journal de flux NSG est enregistré dans un compte de stockage Azure.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, sélectionnez + Créer ou le bouton bleu Créer un journal de flux.

   

4. Entrez ou sélectionnez les valeurs suivantes dans Créer un journal de flux :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez l’abonnement Azure de votre groupe de sécurité réseau que vous souhaitez consigner.
   Un groupe de sécurité réseau	Sélectionnez + Sélectionner une ressource. Dans Sélectionner un groupe de sécurité réseau, sélectionnez myNSG. Sélectionnez ensuite Confirmer la sélection.
   Nom du journal de flux	Entrez un nom pour le journal de flux ou conservez le nom par défaut. Par défaut, le portail Azure crée le journal de flux {network-security-group}-{resource-group}-flowlog dans le groupe de ressources NetworkWatcherRG.
   Détails de l’instance
   Abonnement	Sélectionnez l’abonnement Azure de votre compte de stockage.
   Comptes de stockage	Sélectionnez le compte de stockage dans lequel vous souhaitez enregistrer les journaux de flux. Si vous souhaitez créer un compte de stockage, sélectionnez Créer un compte de stockage.
   Rétention (en jours)	Entrez une durée de conservation pour les journaux. Entrez 0 si vous souhaitez conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous les supprimiez du compte de stockage). Pour plus d’informations sur la tarification, consultez la page Tarification du Stockage Azure.

   

   Notes

   Si le compte de stockage se trouve dans un autre abonnement, le groupe de sécurité réseau et le compte de stockage doivent être associés au même locataire Azure Active Directory. Le compte que vous utilisez pour chaque abonnement doit avoir les autorisations nécessaires.

5. Sélectionnez le bouton Suivant : Analyse ou sélectionnez l’onglet Analyse, puis entrez ou sélectionnez les valeurs suivantes :

   Paramètre	Valeur
   Version des journaux de flux	Sélectionnez la version de journal de flux. La version 2 est sélectionnée par défaut lorsque vous créez un journal de flux à l’aide du portail Azure. Pour plus d’informations sur les versions des journaux de flux, consultez Format de journal des journaux de flux NSG.
   Analyse du trafic
   Activer Traffic Analytics	Cochez la case pour activer l’analyse du trafic pour votre journal de flux.
   Intervalle de traitement de Traffic Analytics	Sélectionnez l’intervalle de traitement que vous préférez. Les options disponibles sont : Toutes les heures et Toutes les 10 minutes. L’intervalle de traitement par défaut est toutes les heures. Pour plus d’informations, consultez Traffic Analytics.
   Abonnement	Sélectionnez l’abonnement Azure pour votre espace de travail Log Analytics.
   Espace de travail Log Analytics	Sélectionnez votre espace de travail Log Analytics. Par défaut, le portail Azure crée et sélectionne l’espace de travail Log Analytics DefaultWorkspace-{subscription-id}-{region} dans le groupe de ressources defaultresourcegroup-{Region}.

   

6. Sélectionnez Revoir + créer.

7. Passez en revue les paramètres, puis sélectionnez Créer.

Modifier un journal de flux

Vous pouvez modifier les propriétés d’un journal de flux après l’avoir créé. Par exemple, vous pouvez modifier la version du journal de flux ou désactiver l’analyse du trafic.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, sélectionnez le journal de flux que vous souhaitez modifier.

4. Dans Paramètres des journaux de flux, vous pouvez modifier n’importe lequel des paramètres suivants :

   • Version des journaux de flux : modifiez la version du journal de flux. Les versions disponibles sont les suivantes : version 1 et version 2. La version 2 est sélectionnée par défaut lorsque vous créez un journal de flux à l’aide du portail Azure. Pour plus d’informations sur les versions des journaux de flux, consultez Format de journal des journaux de flux NSG.
   • Compte de stockage : modifiez le compte de stockage dans lequel vous souhaitez enregistrer les journaux de flux. Si vous souhaitez créer un compte de stockage, sélectionnez Créer un compte de stockage.
   • Rétention (jours) : modifiez le temps de rétention dans le compte de stockage. Entrez 0 si vous souhaitez conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous supprimiez manuellement les données du compte de stockage).
   • Traffic Analytics : activez ou désactivez l’analyse du trafic pour votre journal de flux. Pour plus d’informations, consultez Traffic Analytics.
   • Intervalle de traitement Traffic Analytics : modifiez l’intervalle de traitement de l’analyse du trafic (si l’analyse du trafic est activée). Les options disponibles sont les suivantes : une heure et 10 minutes. L’intervalle de traitement par défaut est toutes les heures. Pour plus d’informations, consultez Traffic Analytics.
   • Espace de travail Log Analytics : modifiez l’espace de travail Log Analytics dans lequel vous souhaitez enregistrer les journaux de flux (si l’analyse du trafic est activée).

   

Répertorier tous les journaux de flux

Vous pouvez répertorier tous les journaux de flux dans un abonnement ou un groupe d’abonnements. Vous pouvez également répertorier tous les journaux de flux dans une région.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Sélectionnez le filtre Abonnement égal pour choisir un ou plusieurs de vos abonnements. Vous pouvez appliquer d’autres filtres comme Emplacement égal pour répertorier tous les journaux de flux dans une région.

   

Afficher les détails d’une ressource de journal de flux

Vous pouvez afficher les détails d’un journal de flux dans un abonnement ou un groupe d’abonnements. Vous pouvez également répertorier tous les journaux de flux dans une région.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, sélectionnez le journal de flux que vous souhaitez voir.

4. Dans Paramètres des journaux de flux, vous pouvez afficher les paramètres de la ressource de journal de flux.

   

Télécharger un journal de flux

L’emplacement de stockage d’un journal de flux est défini au moment de la création. Pour accéder aux journaux de flux et les télécharger à partir de votre compte de stockage, vous pouvez utiliser Explorateur Stockage Azure. Pour plus d’informations, consultez Prise en main de l’Explorateur Stockage.

Les fichiers journal de flux NSG enregistrés dans un compte de stockage suivent le chemin d’accès suivant :

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Pour plus d’informations sur la structure d’un journal de flux, consultez Journaux de flux NSG format journal.

Désactiver un journal de flux

Vous pouvez désactiver temporairement un journal de flux NSG sans le supprimer. La désactivation d’un journal de flux arrête la journalisation des flux pour le groupe de sécurité réseau associé. Toutefois, la ressource journal de flux est conservée avec tous ses paramètres et associations. Vous pouvez le réactiver à tout moment pour reprendre la journalisation des flux pour le groupe de sécurité réseau configuré.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, cochez la case du journal de flux que vous souhaitez désactiver.

4. Sélectionnez Désactiver.

   

Notes

Si l’analyse du trafic est activée pour un journal de flux, elle doit être désactivée avant que vous puissiez désactiver le journal de flux. Pour désactiver l’analyse du trafic, consultez Modifier un journal de flux.

Supprimer un journal de flux

Vous pouvez supprimer définitivement un journal de flux NSG. La suppression d’un journal de flux supprime tous ses paramètres et associations. Pour recommencer la journalisation des flux pour le même groupe de sécurité réseau, vous devez créer un journal de flux pour celui-ci.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

2. Sous Journaux, sélectionnez Journaux de flux.

3. Dans Network Watcher | Journaux de flux, cochez la case du journal de flux que vous souhaitez supprimer.

4. Sélectionnez Supprimer.

   

Notes

La suppression d’un journal de flux ne supprime pas les données du journal de flux du compte de stockage. Les données de journaux de flux stockées dans le compte de stockage suivent la stratégie de rétention configurée ou restent stockées dans le compte de stockage jusqu’à ce qu’elles soient supprimées manuellement (au cas où aucune stratégie de rétention n’est configurée).

Étapes suivantes

• Pour savoir comment utiliser des stratégies intégrées Azure pour auditer ou déployer des journaux de flux NSG, consultez Gérer les journaux de flux NSG à l’aide d’Azure Policy.
• Pour en savoir plus sur l'analyse du trafic, voir Analyse du trafic.