Oktatóanyag: Virtuális gép bejövő és kimenő hálózati forgalmának naplózása az Azure Portal használatával

A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.

Ez az oktatóanyag segít az NSG-folyamatnaplók használatával naplózni egy virtuális gép hálózati forgalmát, amely a hálózati adapterhez társított hálózati biztonsági csoporton halad át.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Virtuális hálózat létrehozása
• Virtuális gép létrehozása a hálózati adapterhez társított hálózati biztonsági csoporttal
• Microsoft.insights-szolgáltató regisztrálása
• Hálózati biztonsági csoportok folyamatnaplózásának engedélyezése a Network Watcher folyamatnaplóinak használatával
• Naplózott adatok letöltése
• Naplózott adatok megtekintése

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Ha még nincs előfizetése, hozzon létre egy ingyenes fiókot, mielőtt hozzákezd.

Virtuális hálózat létrehozása

Ebben a szakaszban a virtuális gép egy alhálózatával hozza létre a myVNet virtuális hálózatot.

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a virtuális hálózatokat. Válassza ki a virtuális hálózatokat a keresési eredmények közül.

   

3. Válassza a +Létrehozás lehetőséget. A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget. Írja be a myResourceGroup nevet. Válassza az OK gombot.
   Példány részletei
   Név	Adja meg a myVNet értéket.
   Régió	Válassza az USA keleti régióját.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása

Ebben a szakaszban a myVM virtuális gépet hozza létre.

1. A portál tetején található keresőmezőbe írja be a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények közül.

2. Válassza a + Létrehozás lehetőséget, majd válassza az Azure-beli virtuális gépet.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány részletei
   Virtuális gép neve	Adja meg a myVM-et.
   Régió	Válassza az USA keleti régióját.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Kép	Válassza a Windows Server 2022 Datacenter: Azure Edition – x64 Gen2 lehetőséget.
   Méret	Válasszon egy méretet, vagy hagyja meg az alapértelmezett beállítást.
   Rendszergazda istrator-fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	Jelszó újraküldése.

4. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon válassza ki a következő értékeket:

   Beállítás	Érték
   Hálózati adapter
   Virtuális hálózat	Válassza ki a myVNetet.
   Alhálózat	Válassza a mySubnet lehetőséget.
   Nyilvános IP-cím	Válassza az (új) myVM-ip lehetőséget.
   Hálózati hálózati biztonsági csoport	Válassza az Alapszintű lehetőséget. Ez a beállítás létrehoz egy myVM-nsg nevű hálózati biztonsági csoportot, és társítja azt a myVM virtuális gép hálózati adapteréhez.
   Nyilvános bejövő portok	Válassza a Kijelölt portok engedélyezése lehetőséget.
   Bejövő portok kiválasztása	Válassza az RDP (3389) lehetőséget.

   Figyelemfelhívás

   Az RDP-port internetes nyitva hagyása csak teszteléshez ajánlott. Éles környezetekben ajánlott korlátozni az RDP-porthoz való hozzáférést egy adott IP-címre vagy IP-címtartományra. Az RDP-porthoz való internetkapcsolatot is letilthatja, és az Azure Bastion használatával biztonságosan csatlakozhat a virtuális géphez az Azure Portalról.

6. Válassza az Áttekintés + létrehozás lehetőséget.

7. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

8. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget a myVM Áttekintés lapjának megnyitásához.

9. Válassza a Csatlakozás, majd az RDP lehetőséget.

10. Válassza az RDP-fájl letöltése lehetőséget, és nyissa meg a letöltött fájlt.

11. Válassza Csatlakozás, majd adja meg az előző lépésekben létrehozott felhasználónevet és jelszót. Ha a rendszer kéri, fogadja el a tanúsítványt.

Insights-szolgáltató regisztrálása

Az NSG-folyamatnaplózáshoz a Microsoft.insights szolgáltató szükséges. Állapotának ellenőrzéséhez kövesse az alábbi lépéseket:

1. A portál tetején található keresőmezőbe írja be az előfizetéseket. Válassza ki az Előfizetések lehetőséget a keresési eredmények között.

2. Válassza ki azt az Azure-előfizetést, amelyhez engedélyezni szeretné a szolgáltatót az Előfizetésekben.

3. Válassza ki az erőforrás-szolgáltatókat az előfizetés Gépház alatt.

4. Adja meg az elemzést a szűrőmezőben.

5. Ellenőrizze, hogy a megjelenített szolgáltató állapota regisztrálva van-e. Ha az állapot nincs regisztrálva, válassza a Microsoft.Elemzések szolgáltatót, majd válassza a Regisztráció lehetőséget.

   

Tárfiók létrehozása

Ebben a szakaszban létrehoz egy tárfiókot a folyamatnaplók tárolásához.

1. A portál tetején található keresőmezőbe írja be a tárfiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Válassza a +Létrehozás lehetőséget. A Tárfiók létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapszintű beállítások lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány részletei
   Tárfiók neve	Adjon meg egy egyedi nevet. Ez az oktatóanyag a mynwstorageaccount-ot használja.
   Régió	Válassza az USA keleti régióját. A tárfióknak ugyanabban a régióban kell lennie, mint a virtuális gépnek és a hálózati biztonsági csoportnak.
   Teljesítmény	Válassza a Standard lehetőséget. Az NSG-folyamatnaplók csak a standard szintű tárfiókokat támogatják.
   Redundancia	Válassza a helyileg redundáns tárolást (LRS) vagy a tartóssági követelményeknek megfelelő különböző replikációs stratégiát.

3. Válassza a Véleményezés lapot, vagy kattintson az alul található Véleményezés gombra.

4. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

NSG-folyamatnapló létrehozása

Ebben a szakaszban létrehoz egy NSG-folyamatnaplót, amely az oktatóanyagban korábban létrehozott tárfiókba van mentve.

1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

2. A Naplók területen válassza a Flow-naplók lehetőséget.

3. A Network Watcherben | Folyamatnaplók, válassza a + Folyamatnapló létrehozása vagy létrehozása kék gombot.

   

4. Adja meg vagy válassza ki a következő értékeket a folyamatnapló létrehozásakor:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki a naplózni kívánt hálózati biztonsági csoport Azure-előfizetését.
   Hálózati biztonsági csoport	Válassza a + Erőforrás kiválasztása lehetőséget. A Hálózati biztonsági csoport kiválasztása területen válassza a myVM-nsg lehetőséget. Ezután válassza a Kijelölés megerősítése lehetőséget.
   Folyamatnapló neve	Hagyja meg a myVM-nsg-myResourceGroup-flowlog alapértelmezett értékét.
   Példány részletei
   Előfizetés	Válassza ki a tárfiók Azure-előfizetését.
   Storage-fiókok	Válassza ki az előző lépésekben létrehozott tárfiókot. Ez az oktatóanyag a mynwstorageaccount-ot használja.
   Megőrzés (nap)	Adja meg a 0 értéket, hogy a tárfiókban lévő folyamatnaplók adatait örökre megőrizze (amíg nem törli a tárfiókból). Adatmegőrzési szabályzat alkalmazásához adja meg a megőrzési időt napokban. A tárolási díjszabással kapcsolatos információkért lásd az Azure Storage díjszabását.

   

   Feljegyzés

   Az Azure Portal NSG-folyamatnaplókat hoz létre a NetworkWatcherRG erőforráscsoportban.

5. Válassza az Áttekintés + létrehozás lehetőséget.

6. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

7. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget a létrehozott és a Folyamatnaplók lapon felsorolt folyamatnapló megerősítéséhez.

   

8. Térjen vissza az RDP-munkamenethez a myVM virtuális géppel.

9. Nyissa meg a Microsoft Edge-et, és lépjen a lapra www.bing.com.

A folyamatnapló letöltése

Ebben a szakaszban a korábban kiválasztott tárfiókra lép, és letölti az előző szakaszban létrehozott NSG-folyamatnaplót.

1. A portál tetején található keresőmezőbe írja be a tárfiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Válassza ki a mynwstorageaccount vagy a korábban létrehozott és kiválasztott tárfiókot a naplók tárolásához.

3. Az Adattárolás területen válassza a Tárolók lehetőséget.

4. Válassza ki az insights-logs-networksecuritygroupflowevent tárolót .

5. A tárolóban navigáljon a mappahierarchiában, amíg el nem jut a PT1H.json fájlhoz. Az NSG-naplófájlok a következő elnevezési konvenciót követő mappahierarchiába vannak írva:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
   

6. Válassza a három pontot ... a PT1H.json fájltól jobbra, majd válassza a Letöltés lehetőséget.

   

Feljegyzés

Az Azure Storage Explorerrel elérheti és letöltheti a tárfiók folyamatnaplóit. További információ: A Storage Explorer használatának első lépései.

A folyamatnapló megtekintése

Nyissa meg a letöltött PT1H.json fájlt egy tetszőleges szövegszerkesztővel. Az alábbi példa egy, a letöltött PT1H.json fájlból vett szakasz, amely a szabály DefaultRule_AllowInternetOutBound által feldolgozott folyamatot mutatja be.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

A flowTuples vesszővel tagolt információi a következők:

Példaadatok	Az adatok jelentése	Magyarázat
1677455097	Időbélyegző	Annak időbélyege, amikor a folyamat UNIX EPOCH formátumban történt. Az előző példában a dátum 2023. február 26., 11:44:57 (UTC/GMT) lesz.
10.0.0.4	Forrás IP-címe	A forrás IP-cím, ahonnan a forgalom érkezett. A 10.0.0.4 a korábban létrehozott virtuális gép privát IP-címe.
13.107.21.200	Cél IP-cím	A cél IP-cím, amelybe a folyamat irányult. A 13.107.21.200 a www.bing.com. Mivel a forgalom az Azure-on kívülre irányul, a biztonsági szabály DefaultRule_AllowInternetOutBound feldolgozni a folyamatot.
49982	Forrásport	A forrásport, ahonnan a forgalom érkezett.
443	Célport	A célport, ahová a forgalom tartott.
T	Protokoll	A folyamat protokollja. T: TCP.
O	Irány	A folyamat iránya. O: Kimenő.
A	Döntés	A biztonsági szabály által hozott döntés. Válasz: Engedélyezett.
C	Csak a 2. folyamatállapot-verzió	A folyamat állapota. C: Folyamatos folyamat folytatása.
7	Csak a 2. verziót küldött csomagok	A célba küldött TCP-csomagok teljes száma az utolsó frissítés óta.
1158	Csak a 2. verziót küldött bájtok	A forrásból a célba küldött TCP-csomagok bájtjainak teljes száma az utolsó frissítés óta. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.
12	Csak a 2. verziót kapott csomagok	A célhelyről az utolsó frissítés óta fogadott TCP-csomagok teljes száma.
8143	Csak a 2. verziót kapott bájtok	A legutóbbi frissítés óta a céltól kapott TCP-csomagok bájtjainak teljes száma. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje a myResourceGroup erőforráscsoportot és a benne lévő összes erőforrást:

1. Írja be a myResourceGroup nevet a portál tetején lévő keresőmezőbe. Válassza ki a myResourceGroup elemet a keresési eredmények közül.

2. Válassza az Erőforráscsoport törlése elemet.

3. Az erőforráscsoport törlése mezőbe írja be a myResourceGroup nevet, majd válassza a Törlés lehetőséget.

4. Válassza a Törlés lehetőséget az erőforráscsoport és az összes erőforrás törlésének megerősítéséhez.

Feljegyzés

A myVM-nsg-myResourceGroup-flowlog folyamatnapló a NetworkWatcherRG erőforráscsoportban található, de a myVM-nsg hálózati biztonsági csoport törlése után (a myResourceGroup erőforráscsoport törlésével) törlődik.

Kapcsolódó tartalom

• Az NSG-folyamatnaplókkal kapcsolatos további információkért tekintse meg a hálózati biztonsági csoportok folyamatnaplózását.
• Az NSG-folyamatnaplók létrehozásáról, módosításáról, engedélyezéséről, letiltásáról vagy törléséről az NSG-folyamatnaplók kezelése című témakörben olvashat.
• A Traffic Analyticsről további információt a Traffic Analytics áttekintésében talál.