Gérer les journaux de flux NSG avec le portail Azure
Les journaux de flux NSG sont une fonctionnalité d’Azure Network Watcher qui vous permet de journaliser des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Si vous souhaitez obtenir plus d’informations sur la journalisation de flux du groupe de sécurité réseau, voir Vue d’ensemble des journaux de flux NSG.
Dans cet article, vous allez apprendre à créer, modifier, désactiver ou supprimer un journal de flux NSG à l’aide du portail Azure. Vous pouvez apprendre à gérer un journal de flux NSG à l’aide de PowerShell, d’Azure CLI, de l’API REST ou du modèle ARM.
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Fournisseur d’insights. Pour plus d’informations, consultez Inscrire le fournisseur Insights.
Un groupe de sécurité réseau. Si vous devez créer un groupe de sécurité réseau, consultez Créer, modifier ou supprimer un groupe de sécurité réseau.
Un compte de stockage Azure. Pour créer un compte de stockage, consultez Créer un compte de stockage avec le portail Azure.
Inscription du fournisseur Insights
Le fournisseur Microsoft.Insights doit être inscrit pour enregistrer correctement le trafic transitant par un groupe de sécurité réseau. Si vous ne savez pas si le fournisseur Microsoft.Insights est inscrit, vérifiez son état en procédant comme suit :
Dans la zone de recherche située en haut du portail, entrez abonnements. Sélectionnez Abonnements dans les résultats de recherche.
Sélectionnez l’abonnement Azure pour lequel vous souhaitez activer le fournisseur dans Abonnements.
Sous Paramètres, sélectionnez Fournisseurs de ressources.
Entrez insight dans la zone de filtre.
Confirmez que l’état du fournisseur affiché est Inscrit. Si l’état est NotRegistered, sélectionnez le fournisseur Microsoft.Insights, puis Inscrire.
Créer un journal de flux
Créez un journal de flux pour votre groupe de sécurité réseau. Ce journal de flux NSG est enregistré dans un compte de stockage Azure.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, sélectionnez + Créer ou le bouton bleu Créer un journal de flux.
Sous l’onglet Informations de base de la page Créer un journal de flux, saisissez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez l’abonnement Azure de votre groupe de sécurité réseau que vous souhaitez consigner. Type du journal de flux Sélectionnez Groupe de sécurité réseau, puis + Sélectionner la ressource cible.
Sélectionnez le groupe de sécurité réseau visé par le journal de flux, puis sélectionnez Confirmer la sélection.Nom du journal de flux Entrez un nom pour le journal de flux ou conservez le nom par défaut. Le portail Azure utilise {NomRessource}-{NomGroupeRessource}-flowlog comme nom par défaut pour le journal des flux. myNSG-myResourceGroup-flowlog est le nom par défaut utilisé dans cet article. Détails de l’instance Abonnement Sélectionnez l’abonnement Azure de votre compte de stockage. Comptes de stockage Sélectionnez le compte de stockage dans lequel vous souhaitez enregistrer les journaux de flux. Si vous souhaitez créer un compte de stockage, sélectionnez Créer un compte de stockage. Rétention (en jours) Entrez une durée de conservation pour les journaux (cette option est disponible uniquement avec les comptes de stockage à usage général standard v2). Entrez 0 si vous souhaitez conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous les supprimiez du compte de stockage). Pour plus d’informations sur la tarification, consultez la page Tarification du Stockage Azure. 
Remarque
Si le compte de stockage se trouve dans un autre abonnement, le groupe de sécurité réseau et le compte de stockage doivent être associés au même locataire Microsoft Entra. Le compte que vous utilisez pour chaque abonnement doit avoir les autorisations nécessaires.
Pour activer l’analytique du trafic, sélectionnez le bouton Suivant : Analytique ou sélectionnez l’onglet Analytique. Entrez ou sélectionnez les valeurs suivantes :
Paramètre Valeur Version des journaux de flux Sélectionnez la version du journal de flux du groupe de sécurité réseau. Les options disponibles sont : Version 1 et Version 2. La version par défaut est la version 2. Pour plus d’informations, consultez Journalisation des flux pour des groupes de sécurité réseau. Activer Traffic Analytics Cochez la case pour activer l’analyse du trafic pour votre journal de flux. Intervalle de traitement de l’analytique du trafic Sélectionnez l’intervalle de traitement que vous préférez. Les options disponibles sont : Toutes les heures et Toutes les 10 minutes. L’intervalle de traitement par défaut est toutes les heures. Pour plus d’informations, consultez Analytique du trafic. Abonnement Sélectionnez l’abonnement Azure pour votre espace de travail Log Analytics. Espace de travail Log Analytics Sélectionnez votre espace de travail Log Analytics. Par défaut, le portail Azure crée l’espace de travail Log Analytics DefaultWorkspace-{id-abonnement}-{région} dans le groupe de ressources defaultresourcegroup-{Région}. 
Remarque
Pour créer un espace de travail Log Analytics différent de celui par défaut, consultez Créer un espace de travail Log Analytics.
Sélectionnez Revoir + créer.
Passez en revue les paramètres, puis sélectionnez Créer.
Activer/Désactiver l’analytique du trafic
Activez l’analytique du trafic d’un journal de flux pour analyser les données du journal de flux. L’analytique du trafic fournit des insights sur vos schémas de trafic. Activez ou désactivez à tout moment l’analytique du trafic d’un journal de flux.
Pour activer l’analytique du trafic d’un journal de flux, procédez comme suit :
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, cochez la case du journal de flux pour lequel activer l’analytique du trafic.
Dans Paramètres des journaux de flux, cochez la case Activer l’analytique du trafic.
Sélectionnez les valeurs suivantes :
Paramètre Valeur Abonnement Sélectionnez l’abonnement Azure pour votre espace de travail Log Analytics. Espace de travail Log Analytics Sélectionnez votre espace de travail Log Analytics. Par défaut, le portail Azure crée l’espace de travail Log Analytics DefaultWorkspace-{id-abonnement}-{région} dans le groupe de ressources defaultresourcegroup-{Région}. Intervalle de journalisation du trafic Sélectionnez l’intervalle de traitement que vous préférez. Les options disponibles sont : Toutes les heures et Toutes les 10 minutes. L’intervalle de traitement par défaut est toutes les heures. Pour plus d’informations, consultez Analytique du trafic. 
Sélectionnez Enregistrer pour appliquer la modification.
Pour désactiver l’analytique du trafic d’un journal de flux, répétez les étapes 1 à 3 ci-dessus, décochez la case Activer l’analytique du trafic, puis cliquez sur Enregistrer.
Modifier les paramètres du journal de flux
Vous pouvez modifier les paramètres d’un journal de flux une fois que vous l’avez créé. Par exemple, vous pouvez modifier la version du journal de flux ou désactiver l’analyse du trafic.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, sélectionnez le journal de flux que vous souhaitez modifier.
Dans Paramètres des journaux de flux, vous pouvez modifier n’importe lequel des paramètres suivants :
Paramètre Valeur Compte de stockage Abonnement Changez l’abonnement Azure du compte de stockage que vous souhaitez utiliser. Compte de stockage Changez le compte de stockage dans lequel vous souhaitez enregistrer les journaux de flux. Si vous souhaitez créer un compte de stockage, sélectionnez Créer un compte de stockage. Rétention (en jours) Changez la durée de conservation dans le compte de stockage. Entrez 0 si vous souhaitez conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous supprimiez manuellement les données du compte de stockage). Analyse du trafic Activer Traffic Analytics Activez ou désactivez l’analytique du trafic en cochant ou décochant la case. Abonnement Changez l’abonnement Azure de l’espace de travail Log Analytics que vous souhaitez utiliser. Espace de travail Log Analytics Changez l’espace de travail Log Analytics dans lequel vous voulez enregistrer les journaux de flux (si l’analytique du trafic est activée). Intervalle de journalisation du trafic Changez l’intervalle de traitement de l’analytique du trafic (si l’analytique du trafic est activée). Les options disponibles sont les suivantes : une heure et 10 minutes. L’intervalle de traitement par défaut est toutes les heures. Pour plus d’informations, consultez Traffic Analytics. 
Sélectionnez Enregistrer pour appliquer les modifications ou Annuler pour quitter sans les enregistrer.
Répertorier tous les journaux de flux
Vous pouvez répertorier tous les journaux de flux dans un abonnement ou un groupe d’abonnements. Vous pouvez également répertorier tous les journaux de flux dans une région.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Sélectionnez le filtre Abonnement égal pour choisir un ou plusieurs de vos abonnements. Vous pouvez appliquer d’autres filtres comme Emplacement égal pour répertorier tous les journaux de flux dans une région.
Afficher les détails d’une ressource de journal de flux
Vous pouvez afficher les détails d’un journal de flux dans un abonnement ou un groupe d’abonnements. Vous pouvez également répertorier tous les journaux de flux dans une région.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, sélectionnez le journal de flux que vous souhaitez voir.
Dans Paramètres des journaux de flux, vous pouvez afficher les paramètres de la ressource de journal de flux.
Sélectionnez Ignorer pour fermer la page des paramètres sans apporter de modification.
Télécharger un journal de flux
L’emplacement de stockage d’un journal de flux est défini au moment de la création. Pour accéder aux journaux de flux et les télécharger à partir de votre compte de stockage, vous pouvez utiliser Explorateur Stockage Azure. Pour plus d’informations, consultez Prise en main de l’Explorateur Stockage.
Les fichiers journal de flux NSG enregistrés dans un compte de stockage suivent le chemin d’accès suivant :
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Pour plus d’informations sur la structure d’un journal de flux, consultez Journaux de flux NSG format journal.
Désactiver un journal de flux
Vous pouvez désactiver temporairement un journal de flux NSG sans le supprimer. La désactivation d’un journal de flux arrête la journalisation des flux pour le groupe de sécurité réseau associé. Toutefois, la ressource journal de flux est conservée avec tous ses paramètres et associations. Vous pouvez le réactiver à tout moment pour reprendre la journalisation des flux pour le groupe de sécurité réseau configuré.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, cochez la case du journal de flux que vous souhaitez désactiver.
Sélectionnez Désactiver.
Remarque
Si l’analyse du trafic est activée pour un journal de flux, elle doit être désactivée avant que vous puissiez désactiver le journal de flux. Pour désactiver l’analyse du trafic, consultez Modifier un journal de flux.
Supprimer un journal de flux
Vous pouvez supprimer définitivement un journal de flux NSG. La suppression d’un journal de flux supprime tous ses paramètres et associations. Pour recommencer la journalisation des flux pour le même groupe de sécurité réseau, vous devez créer un journal de flux pour celui-ci.
Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.
Sous Journaux, sélectionnez Journaux de flux.
Dans Network Watcher | Journaux de flux, cochez la case du journal de flux que vous souhaitez supprimer.
Sélectionnez Supprimer.
Notes
La suppression d’un journal de flux ne supprime pas les données du journal de flux du compte de stockage. Les données de journaux de flux stockées dans le compte de stockage suivent la stratégie de rétention configurée ou restent stockées dans le compte de stockage jusqu’à ce qu’elles soient supprimées manuellement (au cas où aucune stratégie de rétention n’est configurée).
Contenu connexe
- Pour savoir comment utiliser des stratégies intégrées Azure pour auditer ou déployer des journaux de flux NSG, consultez Gérer les journaux de flux NSG à l’aide d’Azure Policy.
- Pour en savoir plus sur l'analyse du trafic, voir Analyse du trafic.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour