Partager via


Journaux de flux du réseau virtuel

Les journaux de flux du réseau virtuel sont une fonctionnalité d’Azure Network Watcher. Vous pouvez les utiliser pour enregistrer des informations sur le trafic IP du réseau virtuel.

Les données de flux issues de journaux de flux du réseau virtuel sont envoyées au stockage Azure. De là, vous pouvez accéder aux données et les exporter vers n’importe quel outil de visualisation, solution SIEM (Gestion des informations et des événements de sécurité) ou système de détection des intrusions (IDS). Les journaux de flux des réseaux virtuels permettent de surmonter certaines limitations des journaux de flux des groupes de sécurité du réseau.

Pourquoi utiliser des journaux de flux ?

Il est important de surveiller, de gérer et de connaître votre réseau afin de le protéger et de l’optimiser. Essayez de vous informer de l’état actuel du réseau, de vérifier qui se connecte et la localisation des utilisateurs connectés. Essayez aussi de savoir quels sont les ports ouverts vers Internet, quel est le comportement attendu du réseau, quel comportement est inhabituel et quand le trafic augmente soudainement.

Les journaux de flux sont la source fidèle pour toute activité réseau au sein de votre environnement cloud. Que vous soyez dans une jeune entreprise qui essaie d’optimiser les ressources ou une grande entreprise qui souhaite détecter les intrusions, les journaux de flux peuvent vous aider. Vous pouvez vous en servir pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions et bien plus encore.

Cas d’utilisation courants

Analyse du réseau

  • identifiez le trafic inconnu ou indésirable.
  • Surveillez les niveaux de trafic et l’utilisation de la bande passante.
  • Filtrer les journaux de flux par adresse IP et par port pour comprendre le comportement de l’application.
  • Exportez les journaux de flux vers les outils d’analyse et de visualisation de votre choix pour configurer des tableaux de bord de la surveillance.

Supervision et optimisation de l’utilisation

  • Identifiez les meilleurs acteurs de votre réseau.
  • Exploitez les données de géolocalisation des adresses IP (GeoIP) pour identifier le trafic entre les régions.
  • Acquérez une compréhension de la croissance du trafic pour la prévision de capacité.
  • Utilisez les données pour supprimer les règles de trafic très restrictives.

Conformité

  • utilisez les données de flux pour vérifier l’isolement réseau et la conformité aux règles d’accès d’entreprise.

Analyse de la sécurité et de l’analyse de la sécurité du réseau

  • analysez les flux réseau en provenance d’adresses IP et d’interfaces réseau compromises.
  • Exportez les journaux de flux vers les outils de SIEM ou IDS de votre choix.

Comparaison des journaux de flux du réseau virtuel et des journaux de flux du groupe de sécurité réseau

Les journaux de flux des réseaux virtuels et les journaux de flux des groupes de sécurité réseau enregistrent tous deux le trafic IP, mais ils diffèrent par leur comportement et leurs capacités.

Les journaux de flux du réseau virtuel simplifient l’étendue de l’analyse du trafic, car vous pouvez activer l’enregistrement sur réseaux virtuels. Le trafic via toutes les charges de travail prises en charge au sein d’un réseau virtuel est enregistré.

Les journaux de flux du réseau virtuel évitent également la nécessité d’activer l’enregistrement de flux à plusieurs niveaux, comme dans les journaux de flux du groupe de sécurité réseau. Dans les journaux de flux du groupe de sécurité réseau, les groupes de sécurité réseau sont configurés à la fois sur le sous-réseau et sur l’interface réseau.

En plus de la prise en charge existante de l’identification du trafic autorisé ou refusé en vertu des règles de groupe de sécurité réseau, les journaux de flux du réseau virtuel prennent en charge l’identification du trafic autorisé ou refusé en vertu des règles d’administration de sécurité d’Azure Virtual Network Manager. Les journaux de flux du réseau virtuel prennent également en charge l’évaluation de l’état de chiffrement de votre trafic dans les scénarios où vous utilisez le chiffrement du réseau virtuel.

Important

Nous recommandons de désactiver les journaux de flux du groupe de sécurité réseau avant d’activer les journaux de flux du réseau virtuel sur les mêmes charges de travail sous-jacente afin d’éviter l’enregistrement du trafic en double et les coûts supplémentaires.

Si vous activez les journaux de flux du groupe de sécurité réseau sur le groupe de sécurité réseau d’un sous-réseau, puis que vous activez les journaux de flux du réseau virtuel sur le même sous-réseau ou réseau virtuel parent, vous risquez d’obtenir un doublon de journalisation ou uniquement des journaux de flux du réseau virtuel.

Le fonctionnement de la journalisation

Les propriétés majeures des journaux de flux du réseau virtuel sont les suivantes :

  • Les journaux de flux fonctionnent au niveau de la couche 4 du modèle OSI (Open Systems Interconnection) et enregistrent tous les flux IP transitant par un réseau virtuel.
  • Les journaux d’activité sont collectés toutes les minutes par la plateforme Azure. Ils n’affectent ni vos ressources Azure, ni votre trafic.
  • Les journaux d'activité sont rédigés au format JSON (JavaScript Object Notation).
  • Chaque enregistrement de journal contient l’interface réseau à laquelle le flux s’applique, les informations de quintuplet, la direction du trafic, l’état du flux, l’état du chiffrement et les informations sur le débit.
  • Tous les flux de trafic de votre réseau sont évalués par le biais des règles de groupe de sécurité réseau applicables ou des règles d’administration de sécurité d’Azure Virtual Network Manager.

Format de journal

Les flux de journaux de réseau virtuel incluent les propriétés suivantes :

  • time : Heure à laquelle l’événement a été journalisé.
  • flowLogVersion : version du journal de flux.
  • flowLogGUID: GUID de ressource de la FlowLog ressource.
  • macAddress : adresse MAC de l’interface réseau où l’événement a été capturé.
  • category : Catégorie de l’événement. La catégorie est toujours FlowLogFlowEvent.
  • flowLogResourceID : ID de ressource de la FlowLog ressource.
  • targetResourceID: ID de ressource de la ressource cible associée à la FlowLog ressource.
  • operationName: Toujours FlowLogFlowEvent.
  • flowRecords : collection d’enregistrements de flux.
    • flows : Une collection de flux. Cette propriété comporte plusieurs entrées pour des listes de contrôle d’accès (ACL) :
      • aclID : identificateur de la ressource évaluant le trafic, soit un groupe de sécurité réseau, soit un manager de réseau virtuel. Pour le trafic refusé en raison du chiffrement, cette valeur est de unspecified.
      • flowGroups : collection d’enregistrements de flux au niveau de la règle :
        • rule : nom de la règle qui a autorisé ou refusé le trafic. Pour le trafic refusé en raison du chiffrement, cette valeur est de unspecified.
        • flowTuples : Chaîne qui contient plusieurs propriétés séparées par des virgules pour le tuple de flux :
          • Time Stamp : Indique la date et l’heure de survenue du flux au format UNIX EPOCH.
          • Source IP : Adresse IP source.
          • Destination IP : Adresse IP de destination.
          • Source port : port source.
          • Destination port : Port de destination.
          • Protocol : protocole de couche 4 du flux, exprimé en valeurs attribuées par l’IANA.
          • Flow direction : Direction du flux de trafic. Les valeurs valides sont I pour le trafic entrant et O pour le trafic sortant.
          • Flow state: État du flux. Les états possibles sont :
            • B : Début, lors de la création d’un flux. Aucune statistique n’est fournie.
            • C : Continuation d’un flux en cours. Des statistiques sont fournies toutes les cinq minutes.
            • E : Fin, quand un flux est arrêté. Des statistiques sont fournies.
            • D : refus, quand un flux est refusé.
          • Flow encryption : état de chiffrement du flux. Le tableau suivant cette liste décrit les valeurs possibles.
          • Packets sent : nombre total de paquets envoyés de la source à la destination depuis la dernière mise à jour.
          • Bytes sent : nombre total d’octets de paquets envoyés de la source à la destination depuis la dernière mise à jour. Les octets de paquets incluent l’en-tête et la charge utile du paquet.
          • Packets received : nombre total de paquets envoyés de la destination à la source depuis la dernière mise à jour.
          • Bytes received : nombre total d’octets de paquets envoyés de la destination à la source depuis la dernière mise à jour. Les octets de paquets incluent l’en-tête et la charge utile du paquet.

La propriété Flow encryption a les états de chiffrement possibles suivants :

État de chiffrement Description
X La connexion est chiffrée. Le chiffrement est configuré et la plateforme a chiffré la connexion.
NX La connexion n’est pas chiffrée. Cet événement est journalisé dans deux scénarios :
- Quand le chiffrement n’est pas configuré.
- Quand une machine virtuelle chiffrée communique avec un point de terminaison qui n’a pas de chiffrement (par exemple, un point de terminaison Internet).
NX_HW_NOT_SUPPORTED Le matériel n’est pas pris en charge. Le chiffrement est configuré, mais la machine virtuelle s’exécute sur un hôte qui ne prend pas en charge le chiffrement. Ce problème se produit généralement, parce que le tableau de portes programmables par champ (FPGA) n’est pas joint à l’hôte ou est défectueux. Veuillez signaler ce problème à Microsoft pour examen.
NX_SW_NOT_READY Le logiciel n’est pas prêt. Le chiffrement est configuré, mais le composant logiciel (GFT) dans la pile réseau hôte n’est pas prêt à traiter les connexions chiffrées. Ce problème peut se produire lorsque la machine virtuelle démarre pour la première fois, qu’elle redémarre ou qu’elle est redéployée. Il peut également survenir, s’il existe une mise à jour des composants réseau sur l’hôte où la machine virtuelle est exécutée. Dans tous ces scénarios, le paquet est annulé. Le problème devrait être temporaire. Le chiffrement doit commencer à fonctionner une fois que la machine virtuelle est entièrement opérationnelle ou que la mise à jour de logiciel sur l’hôte est terminée. Si ce problème persiste plus longtemps, veuillez le signaler à Microsoft pour examen.
NX_NOT_ACCEPTED Abandon en raison de l’absence de chiffrement. Le chiffrement est configuré sur les points de terminaison source et de destination avec l’annulation en cas de non chiffrement. Si le chiffrement du trafic échoue, le paquet est annulé.
NX_NOT_SUPPORTED La détection n’est pas prise en charge. Le chiffrement est configuré, mais la session de chiffrement n’a pas été établie, car la détection n’est pas prise en charge par la pile de mise en réseau hôte. Dans ce cas, le paquet est annulé. Si vous rencontrez ce problème, veuillez le signaler à Microsoft pour examen.
NX_LOCAL_DST La destination se trouve sur le même hôte. Le chiffrement est configuré, mais les machines virtuelles source et de destination s’exécutent sur le même hôte Azure. Dans ce cas, la connexion n’est pas chiffrée par conception.
NX_FALLBACK Retour à l’absence de chiffrement. Le chiffrement est configuré avec la stratégie d’autorisation d’absence de chiffrement pour les points de terminaison source et de destination. Le système a tenté le chiffrement, mais a rencontré un problème. Dans ce cas, la connexion est autorisée sans être chiffrée. Par exemple, la machine virtuelle a initialement atterri sur un nœud qui prend en charge le chiffrement, mais cette prise en charge a été supprimée ultérieurement.

Par défaut, le trafic dans vos réseaux virtuels est non chiffré (NX). Pour un trafic chiffré, voir le chiffrement du réseau virtuel.

Exemple d’enregistrement de journal

Dans l’exemple suivant de journal de flux du réseau virtuel, plusieurs enregistrements respectent la liste de propriétés décrite précédemment.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Tuple de journal et calcul de bande passante

Le tableau suivant montre le format d’un journal de flux du réseau virtuel.

Voici un exemple de calcul de bande passante pour les tuples de flux provenant d'une conversation TCP entre 203.0.113.105:35370 et 10.0.0.5:23 :

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Pour les états de flux de continuation (C) et de fin (E), les décomptes d'octets et de paquets sont des valeurs agrégées à partir du moment de l'enregistrement du tuple du flux précédent. Dans l’exemple de conversation précédent, le nombre total de paquets transférés est de 1,021 + 52 + 8,005 + 47 = 9,125. Le nombre total d’octets transférés est de 588,096 + 29,952 + 4,610,880 + 27,072 = 5,256,000.

Considérations relatives aux journaux de flux de réseau virtuel

Compte de stockage

  • Localisation : le compte de stockage doit se trouver dans la même région que le réseau virtuel.
  • Abonnement: le compte de stockage doit se trouver dans le même abonnement du réseau virtuel ou dans un abonnement associé au même locataire Microsoft Entra de l’abonnement du réseau virtuel.
  • Niveau de performance : Le compte de stockage doit être standard. Les comptes de stockage Premium ne sont pas pris en charge.
  • Rotation des clés autogérée : Si vous modifiez (ou effectuez la rotation) des clés d’accès à votre compte de stockage, les journaux de flux du réseau virtuel cessent de fonctionner. Pour corriger ce problème, vous devez désactiver puis réactiver les journaux de flux du réseau virtuel.

Trafic du point de terminaison privé

Le trafic ne peut pas être enregistré sur le point de terminaison privé lui-même. Vous pouvez capturer le trafic vers un point de terminaison privé sur la machine virtuelle source. Le trafic est enregistré avec l’adresse IP source de la machine virtuelle et l’adresse IP de destination du point de terminaison privé. Vous pouvez utiliser le champ PrivateEndpointResourceId pour identifier le trafic transitant vers un point de terminaison privé. Pour plus d’informations, consultez le schéma Analyse de trafic.

Tarification

  • Les journaux de flux du réseau virtuel sont facturés par gigaoctet de journaux de flux réseau collectés et sont proposés gratuitement à hauteur de 5 Go/mois par abonnement.

  • Si l’analyse du trafic est activée avec les journaux de flux du réseau virtuel, les tarifs de l’analyse du trafic s’appliquent aux taux de traitement par gigaoctet. L’analyse du trafic n’est pas proposée à un niveau gratuit. Pour plus d’informations, consultez Tarification Network Watcher.

  • Le stockage des journaux est soumis à un tarif distinct. Pour plus d’informations, consultez Stockage Blob Azure - Tarifs.

Scénarios pris en charge

Le tableau suivant décrit l’étendue de prise en charge des journaux de flux.

Étendue Journaux de flux de groupe de sécurité réseau Journaux de flux du réseau virtuel
Octets et paquets dans les flux sans état Non pris en charge Pris en charge
Identification du chiffrement de réseau virtuel Non pris en charge Pris en charge
Gestion des API Azure Non pris en charge Pris en charge
Azure Application Gateway Non pris en charge Pris en charge
Azure Virtual Network Manager Non pris en charge Pris en charge
Passerelle ExpressRoute Non pris en charge Pris en charge
Groupes de machines virtuelles identiques Prise en charge Pris en charge
Passerelle VPN Non pris en charge Pris en charge

Disponibilité

Les journaux de flux du réseau virtuel sont généralement disponibles dans toutes les régions publiques Azure et sont actuellement en avant-première dans Azure Government.