Partage via


Migration des journaux de flux des groupes de sécurité réseau vers les journaux de flux des réseaux virtuels

Important

Le 30 septembre 2027, les journaux de flux de groupe de sécurité réseau (NSG) seront mis hors service. Dans le cadre de cette mise hors service, vous ne pourrez plus créer de journaux de flux de NSG à compter du 30 juin 2025. Nous vous recommandons de migrer vers des journaux de flux de réseau virtuel, qui surmontent les limitations des journaux de flux de NSG. Après la date de mise hors service, l’analytique du trafic activée avec les journaux de flux de NSG ne sera plus prise en charge, et les ressources de journaux de flux de NSG existantes dans vos abonnements seront supprimées. Toutefois, les enregistrements des journaux de flux de NSG ne seront pas supprimés et continueront de suivre leurs stratégies de rétention respectives. Pour plus d’informations, consultez l’annonce officielle.

Dans cet article, vous découvrez comment migrer les journaux de flux de votre groupe de sécurité réseau existant vers des journaux de flux de réseau virtuel en utilisant un script de migration. Les journaux de flux des réseaux virtuels permettent de surmonter certaines limitations des journaux de flux des groupes de sécurité du réseau. Pour en savoir plus, consultez Journaux de flux de réseau virtuel.

Remarque

Utilisez le script de migration :

  • quand la journalisation des flux n’est pas activée sur toutes les interfaces réseau ou tous les sous-réseaux d’un réseau virtuel, et que vous ne voulez pas activer la journalisation des flux de réseau virtuel sur chacun d’entre eux, ou
  • quand les journaux des flux de groupe de sécurité réseau d’un réseau virtuel ont des configurations différentes et que vous voulez créer des journaux de flux de réseau virtuel avec ces différentes configurations en tant que journaux de flux de groupe de sécurité réseau.

Utilisez Azure Policy :

  • quand le même groupe de sécurité réseau est appliqué à toutes les interfaces réseau ou à tous les sous-réseaux d’un réseau virtuel,
  • quand les configurations des journaux de flux de groupe de sécurité réseau sont identiques pour toutes les interfaces réseau ou tous les sous-réseaux d’un réseau virtuel, ou
  • quand vous voulez activer la journalisation des flux de réseau virtuel au niveau du réseau virtuel.

Pour plus d’informations, consultez Déployer et configurer des journaux de flux de réseau virtuel en utilisant une stratégie intégrée.

Prérequis

Générer un script de migration

Dans cette section, vous découvrirez comment générer et télécharger les fichiers de migration pour les journaux de flux des groupes de sécurité réseau que vous souhaitez migrer.

  1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

    Capture d’écran montrant comment rechercher Network Watcher dans le portail Azure.

  2. Sous Journaux, sélectionnez Migrer des journaux de flux.

    Capture d’écran illustrant la page de migration des journaux de flux des groupes de sécurité réseau dans le Portail Azure.

  3. Sélectionnez les abonnements qui contiennent les journaux de flux du groupe de sécurité du réseau que vous souhaitez migrer.

  4. Pour chaque abonnement, sélectionnez les régions qui contiennent les journaux de flux que vous souhaitez migrer. Nombre total de journaux de flux NSG indique le nombre total de journaux de flux qui se trouvent dans les abonnements sélectionnés. Journaux de flux NSG sélectionnés indique le nombre de journaux de flux dans les régions sélectionnées.

  5. Après avoir choisi les abonnements et les régions, sélectionnez Télécharger le script et le fichier JSON pour télécharger les fichiers de migration en tant que fichier zip.

    Capture d’écran montrant comment générer un script de migration dans le Portail Azure.

  6. Extraire le fichier MigrateFlowLogs.zip sur votre ordinateur local. Le fichier zip contient les deux fichiers suivants :

    • Un fichier de script : MigrationFromNsgToAzureFlowLogging.ps1
    • un fichier JSON : RegionSubscriptionConfig.json.

Exécuter le script de migration

Dans cette section, vous découvrirez comment utiliser le fichier script que vous avez téléchargé dans la section précédente pour migrer les journaux de flux de votre groupe de sécurité réseau.

Important

Une fois que vous avez commencé à exécuter le script, vous ne devez apporter aucune modification à la topologie dans les régions et les abonnements des journaux de flux que vous migrez.

  1. Exécutez le fichier de script MigrationFromNsgToAzureFlowLogging.ps1.

  2. Entrez 1 pour l’option Exécuter l’analyse.

    .\MigrationFromNsgToAzureFlowLogging.ps1
    
    Select one of the following options for flowlog migration:
    1. Run analysis
    2. Delete NSG flowlogs
    3. Quit
    
  3. Entrez le nom du fichier JSON.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
    
  4. Entrez le nombre de threads ou laissez vide pour utiliser la valeur par défaut, 16.

    Please enter the number of threads you would like to use, press enter for using default value of 16:    
    

    Une fois l’analyse terminée, vous verrez le rapport d’analyse à l’écran et dans un fichier html dans le même répertoire que les fichiers de migration. Le rapport indique le nombre de journaux de flux de groupes de sécurité réseau qui seront désactivés et le nombre de journaux de flux de réseaux virtuels qui seront créés pour les remplacer. Le nombre de journaux de flux de réseaux virtuels créés dépend du type de migration choisi. Par exemple, si le groupe de sécurité réseau dont vous migrez le journal de flux est associé à trois interfaces réseau dans le même réseau virtuel, vous pouvez choisir la migration avec agrégation pour qu’une seule ressource de journal de flux de réseau virtuel soit appliquée au réseau virtuel. Vous pouvez également choisir la migration sans agrégation pour disposer de trois journaux de flux réseau virtuels (une ressource de journal de flux réseau virtuel par interface réseau).

    Remarque

    Consultez le fichier AnalysisReport-<subscriptionId>-<region>-<time>.html pour obtenir un rapport complet de l’analyse que vous avez effectuée. Le fichier est disponible dans le même répertoire que le script.

  5. Entrez 2 ou 3 pour choisir le type de migration que vous voulez effectuer.

    Select one of the following options for flowlog migration:
    1. Re-Run analysis
    2. Proceed with migration with aggregation
    3. Proceed with migration without aggregation
    4. Quit
    
  6. Une fois que vous voyez le résumé de la migration à l’écran, vous pouvez annuler la migration et rétablir les modifications. Pour accepter et poursuivre l’entrée de migration, entrez n, sinon entrez y. Une fois que vous avez accepté les modifications, vous ne pouvez pas les rétablir.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
    

    Remarque

    Conservez les fichiers de script et de rapport d’analyse pour référence si vous rencontrez des problèmes avec la migration.

  7. Vérifiez le portail Azure pour certifier que l’état des journaux de flux de groupe de sécurité réseau que vous avez migrés a été désactivé. Vérifiez également les journaux de flux de réseau virtuel nouvellement créés suite au processus de migration.

    Capture d’écran illustrant le journal de flux du réseau virtuel nouvellement créé à la suite de la migration du journal de flux du groupe de sécurité du réseau.

  8. Ajoutez un filtre pour lister uniquement les journaux de flux de groupe de sécurité réseau à partir des abonnements et régions que vous choisissez. Vous pouvez ignorer cette étape si vous avez migré seulement quelques journaux de flux de groupe de sécurité réseau.

    Capture d’écran montrant comment utiliser un filtre pour répertorier uniquement les journaux de flux de groupe de sécurité réseau.

  9. Sélectionnez les journaux de flux à supprimer, puis sélectionnez Supprimer

    Capture d’écran montrant comment sélectionner et supprimer les journaux de flux de groupe de sécurité réseau migrés.

  10. Entrez supprimer , puis sélectionnez Supprimer pour confirmer la suppression.

    Capture d’écran montrant comment confirmer la suppression des journaux de flux migrés.

À propos de l’installation

  • Groupe identique avec un équilibreur de charge : le script de migration active la journalisation des flux de réseau virtuel sur le sous-réseau qui a les machines virtuelles du groupe identique.

    Remarque

    Si la journalisation des flux de groupe de sécurité réseau n’est pas activée sur toutes les interfaces réseau du groupe identique ou si les interfaces réseau ne partagent pas le même journal des flux de groupe de sécurité réseau, un journal des flux de réseau virtuel est créé sur le sous-réseau avec les mêmes configurations que celles d’une des interfaces réseau du groupe identique.

  • PaaS : le script de migration ne prend pas en charge les environnements avec des solutions PaaS qui ont des journaux de flux de groupe de sécurité réseau dans l’abonnement d’un utilisateur, mais dont les ressources cibles se trouvent dans des abonnements différents. Pour ces environnements, vous devez activer manuellement la journalisation des flux de réseau virtuel sur le réseau virtuel ou le sous-réseau de la solution PaaS.