NSG-folyamatnaplók kezelése az Azure CLI használatával

  • Cikk

A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.

Ebben a cikkben megtudhatja, hogyan hozhat létre, módosíthat, tilthat le vagy törölhet NSG-folyamatnaplókat az Azure CLI használatával. Megtudhatja, hogyan kezelheti az NSG-folyamatnaplókat az Azure Portal, a PowerShell, a REST API vagy az ARM-sablon használatával.

Előfeltételek

  • Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.

  • Elemzések szolgáltató. További információ: Elemzések szolgáltató regisztrálása.

  • Hálózati biztonsági csoport. Ha hálózati biztonsági csoportot kell létrehoznia, olvassa el a hálózati biztonsági csoport létrehozását, módosítását vagy törlését.

  • Egy Azure-tárfiók. Ha tárfiókot szeretne létrehozni, tekintse meg a tárfiók PowerShell-lel való létrehozását.

  • Helyileg telepített Azure Cloud Shell vagy Azure CLI.

    • A cikk lépései interaktív módon futtatják az Azure CLI-parancsokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.

    • A parancsok futtatásához helyileg is telepítheti az Azure CLI-t. Ha helyileg futtatja az Azure CLI-t, jelentkezzen be az Azure-ba az az login paranccsal.

Insights-szolgáltató regisztrálása

Microsoft. Elemzések szolgáltatót regisztrálni kell a hálózati biztonsági csoporton áthaladó forgalom sikeres naplózásához. Ha nem biztos abban, hogy a Microsoft.Elemzések szolgáltató regisztrálva van-e, az az provider register használatával regisztrálja azt.

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

Folyamatnapló létrehozása

Hozzon létre egy folyamatnaplót az az network watcher flow-log create használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.

# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'

Feljegyzés

  • Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.
  • Ha a tárfiók egy másik erőforráscsoportban vagy előfizetésben található, a tárfiók teljes azonosítóját kell megadnia ahelyett, hogy csak a nevét adja meg. Ha például a myStorageAccount storage-fiók egy StorageRG nevű erőforráscsoportban található, míg a hálózati biztonsági csoport a myResourceGroup erőforráscsoportban van, akkor a paraméter helyett a paramétert --storage-account kell használnia /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccountmyStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa

Folyamatnapló- és forgalomelemzési munkaterület létrehozása

  1. Hozzon létre egy Log Analytics-munkaterületet az az monitor log-analytics-munkaterület létrehozásával.

    # Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

  2. Hozzon létre egy folyamatnaplót az az network watcher flow-log create használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.

    # Create a version 1 NSG flow log and enable traffic analytics for it.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'

Feljegyzés

  • A tárfiók nem rendelkezhet olyan hálózati szabályokkal, amelyek csak Microsoft-szolgáltatások vagy adott virtuális hálózatokhoz korlátozzák a hálózati hozzáférést.
  • Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.
  • Ha a tárfiók egy másik erőforráscsoportban vagy előfizetésben található, a tárfiók teljes azonosítóját kell használni. Ha például a myStorageAccount storage-fiók egy StorageRG nevű erőforráscsoportban található, míg a hálózati biztonsági csoport a myResourceGroup erőforráscsoportban van, akkor a paraméter helyett a paramétert --storage-account kell használnia /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccountmyStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'

Folyamatnapló módosítása

Az az network watcher flow-log update használatával módosíthatja a folyamatnapló tulajdonságait. Módosíthatja például a folyamatnapló verzióját, vagy letilthatja a forgalomelemzést.

# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'

Egy régió összes folyamatnaplójának listázása

Az az network watcher flow-log listával listázhatja az előfizetés egy adott régiójában található NSG-folyamatnapló-erőforrásokat.

# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Folyamatnapló-erőforrás részleteinek megtekintése

Az az network watcher flow-log show használatával megtekintheti a folyamatnapló-erőforrás részleteit.

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Folyamatnapló letöltése

A folyamatnapló tárolási helye a létrehozáskor van meghatározva. A folyamatnaplók tárfiókból való eléréséhez és letöltéséhez használhatja az Azure Storage Explorert. További információ: A Storage Explorer használatának első lépései.

A tárfiókba mentett NSG-folyamat naplófájljai az alábbi elérési utat követik:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

A folyamatnaplók szerkezetével kapcsolatos információkért lásd az NSG-folyamatnaplók naplóformátumát.

Folyamatnapló letiltása

Ha ideiglenesen le szeretne tiltani egy folyamatnaplót törlés nélkül, használja az az network watcher flow-log update parancsot. A folyamatnapló letiltása leállítja a társított hálózati biztonsági csoport folyamatnaplózását. A folyamatnapló-erőforrás azonban továbbra is az összes beállításával és társításával együtt marad. Bármikor újra engedélyezheti a folyamatnaplózás folytatásához a konfigurált hálózati biztonsági csoport számára.

Feljegyzés

Ha a forgalomelemzés engedélyezve van egy folyamatnaplóhoz, le kell tiltani, mielőtt letilthatja a folyamatnaplót.

# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'

Folyamatnapló törlése

A folyamatnapló végleges törléséhez használja az az network watcher flow-log delete parancsot. A folyamatnapló törlése törli az összes beállítást és társítást. Ahhoz, hogy újra elindítsa a folyamatnaplózást ugyanazon hálózati biztonsági csoporthoz, létre kell hoznia egy új folyamatnaplót.

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'

Feljegyzés

A folyamatnapló törlése nem törli a folyamatnapló adatait a tárfiókból. A folyamat naplózza a tárfiókban tárolt adatokat a konfigurált megőrzési szabályzatot követve.

Következő lépések

  • Ha tudni szeretné, hogyan használhatja az Azure beépített szabályzatait az NSG-folyamatnaplók naplózására vagy üzembe helyezésére, olvassa el az NSG-folyamatnaplók Azure Policy használatával történő kezelését ismertető témakört.
  • A forgalomelemzéssel kapcsolatos további információkért lásd : Traffic analytics.