Migration des journaux de flux des groupes de sécurité réseau vers les journaux de flux des réseaux virtuels

Important

Le 30 septembre 2027, les journaux de flux de groupe de sécurité réseau (NSG) seront mis hors service. Dans le cadre de cette mise hors service, vous ne pourrez plus créer de journaux de flux de NSG à compter du 30 juin 2025. Nous vous recommandons de migrer vers des journaux de flux de réseau virtuel, qui surmontent les limitations des journaux de flux de NSG. Après la date de mise hors service, l’analytique du trafic activée avec les journaux de flux de NSG ne sera plus prise en charge, et les ressources de journaux de flux de NSG existantes dans vos abonnements seront supprimées. Toutefois, les enregistrements des journaux de flux de NSG ne seront pas supprimés et continueront de suivre leurs stratégies de rétention respectives. Pour plus d’informations, consultez l’annonce officielle.

Dans cet article, vous découvrez comment migrer les journaux de flux de votre groupe de sécurité réseau existant vers des journaux de flux de réseau virtuel en utilisant un script de migration. Les journaux de flux des réseaux virtuels permettent de surmonter certaines limitations des journaux de flux des groupes de sécurité du réseau. Pour en savoir plus, consultez Journaux de flux de réseau virtuel.

Remarque

Utilisez le script de migration :

• quand la journalisation des flux n’est pas activée sur toutes les interfaces réseau ou tous les sous-réseaux d’un réseau virtuel, et que vous ne voulez pas activer la journalisation des flux de réseau virtuel sur chacun d’entre eux, ou
• quand les journaux des flux de groupe de sécurité réseau d’un réseau virtuel ont des configurations différentes et que vous voulez créer des journaux de flux de réseau virtuel avec ces différentes configurations en tant que journaux de flux de groupe de sécurité réseau.

Utilisez Azure Policy :

• quand le même groupe de sécurité réseau est appliqué à toutes les interfaces réseau ou à tous les sous-réseaux d’un réseau virtuel,
• quand les configurations des journaux de flux de groupe de sécurité réseau sont identiques pour toutes les interfaces réseau ou tous les sous-réseaux d’un réseau virtuel, ou
• quand vous voulez activer la journalisation des flux de réseau virtuel au niveau du réseau virtuel.

Pour plus d’informations, consultez Déployer et configurer des journaux de flux de réseau virtuel en utilisant une stratégie intégrée.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.

• PowerShell 7 installé sur votre ordinateur. Pour plus d’informations, consultez Installer PowerShell sur Windows, Linux et macOS. Cet article nécessite le module Az PowerShell. Pour plus d’informations, consultez Comment installer Azure PowerShell. Pour trouver la version installée, exécutez Get-Module -ListAvailable Az.

• Autorisations de contrôle d’accès en fonction du rôle (RBAC) nécessaires pour les abonnements des journaux de flux et des espaces de travail Log Analytics (si l’analyse du trafic est activée pour l’un des journaux de flux du groupe de sécurité du réseau). Pour plus d’informations, consultez Autorisations Network Watcher.

• Journaux de flux du groupe de sécurité du réseau dans une région ou plus. Pour plus d’informations, consultez Créer des journaux de flux pour les groupes de sécurité réseau.

Générer un script de migration

Dans cette section, vous découvrirez comment générer et télécharger les fichiers de migration pour les journaux de flux des groupes de sécurité réseau que vous souhaitez migrer.

1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

   

2. Sous Journaux, sélectionnez Migrer des journaux de flux.

   

3. Sélectionnez les abonnements qui contiennent les journaux de flux du groupe de sécurité du réseau que vous souhaitez migrer.

4. Pour chaque abonnement, sélectionnez les régions qui contiennent les journaux de flux que vous souhaitez migrer. Nombre total de journaux de flux NSG indique le nombre total de journaux de flux qui se trouvent dans les abonnements sélectionnés. Journaux de flux NSG sélectionnés indique le nombre de journaux de flux dans les régions sélectionnées.

5. Après avoir choisi les abonnements et les régions, sélectionnez Télécharger le script et le fichier JSON pour télécharger les fichiers de migration en tant que fichier zip.

   

6. Extraire le fichier MigrateFlowLogs.zip sur votre ordinateur local. Le fichier zip contient les deux fichiers suivants :

   • Un fichier de script : MigrationFromNsgToAzureFlowLogging.ps1
   • un fichier JSON : RegionSubscriptionConfig.json.

Exécuter le script de migration

Dans cette section, vous découvrirez comment utiliser le fichier script que vous avez téléchargé dans la section précédente pour migrer les journaux de flux de votre groupe de sécurité réseau.

Important

Une fois que vous avez commencé à exécuter le script, vous ne devez apporter aucune modification à la topologie dans les régions et les abonnements des journaux de flux que vous migrez.

1. Exécutez le fichier de script MigrationFromNsgToAzureFlowLogging.ps1.

2. Entrez 1 pour l’option Exécuter l’analyse.

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Entrez le nom du fichier JSON.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Entrez le nombre de threads ou laissez vide pour utiliser la valeur par défaut, 16.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Une fois l’analyse terminée, vous verrez le rapport d’analyse à l’écran et dans un fichier html dans le même répertoire que les fichiers de migration. Le rapport indique le nombre de journaux de flux de groupes de sécurité réseau qui seront désactivés et le nombre de journaux de flux de réseaux virtuels qui seront créés pour les remplacer. Le nombre de journaux de flux de réseaux virtuels créés dépend du type de migration choisi. Par exemple, si le groupe de sécurité réseau dont vous migrez le journal de flux est associé à trois interfaces réseau dans le même réseau virtuel, vous pouvez choisir la migration avec agrégation pour qu’une seule ressource de journal de flux de réseau virtuel soit appliquée au réseau virtuel. Vous pouvez également choisir la migration sans agrégation pour disposer de trois journaux de flux réseau virtuels (une ressource de journal de flux réseau virtuel par interface réseau).

   Remarque

   Consultez le fichier AnalysisReport-<subscriptionId>-<region>-<time>.html pour obtenir un rapport complet de l’analyse que vous avez effectuée. Le fichier est disponible dans le même répertoire que le script.

5. Entrez 2 ou 3 pour choisir le type de migration que vous voulez effectuer.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Une fois que vous voyez le résumé de la migration à l’écran, vous pouvez annuler la migration et rétablir les modifications. Pour accepter et poursuivre l’entrée de migration, entrez n, sinon entrez y. Une fois que vous avez accepté les modifications, vous ne pouvez pas les rétablir.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Remarque

   Conservez les fichiers de script et de rapport d’analyse pour référence si vous rencontrez des problèmes avec la migration.

7. Vérifiez le portail Azure pour certifier que l’état des journaux de flux de groupe de sécurité réseau que vous avez migrés a été désactivé. Vérifiez également les journaux de flux de réseau virtuel nouvellement créés suite au processus de migration.

   

8. Ajoutez un filtre pour lister uniquement les journaux de flux de groupe de sécurité réseau à partir des abonnements et régions que vous choisissez. Vous pouvez ignorer cette étape si vous avez migré seulement quelques journaux de flux de groupe de sécurité réseau.

   

9. Sélectionnez les journaux de flux à supprimer, puis sélectionnez Supprimer

   

10. Entrez supprimer , puis sélectionnez Supprimer pour confirmer la suppression.

    

À propos de l’installation

• Groupe identique avec un équilibreur de charge : le script de migration active la journalisation des flux de réseau virtuel sur le sous-réseau qui a les machines virtuelles du groupe identique.

  Remarque

  Si la journalisation des flux de groupe de sécurité réseau n’est pas activée sur toutes les interfaces réseau du groupe identique ou si les interfaces réseau ne partagent pas le même journal des flux de groupe de sécurité réseau, un journal des flux de réseau virtuel est créé sur le sous-réseau avec les mêmes configurations que celles d’une des interfaces réseau du groupe identique.

• PaaS : le script de migration ne prend pas en charge les environnements avec des solutions PaaS qui ont des journaux de flux de groupe de sécurité réseau dans l’abonnement d’un utilisateur, mais dont les ressources cibles se trouvent dans des abonnements différents. Pour ces environnements, vous devez activer manuellement la journalisation des flux de réseau virtuel sur le réseau virtuel ou le sous-réseau de la solution PaaS.

Contenu connexe

• Journaux de flux du groupe de sécurité du réseau
• Journaux de flux du réseau virtuel
• Gérer des journaux de flux de réseaux virtuels – Portail Azure