Hálózati biztonsági csoportok forgalmának naplózása
A hálózati biztonsági csoport (NSG) folyamatnaplózása az Azure Network Watcher egyik funkciója, amely lehetővé teszi a hálózati biztonsági csoporton áthaladó IP-forgalom adatainak naplózását. A rendszer elküldi a folyamatadatokat az Azure Storage-ba, ahonnan elérheti és exportálhatja azokat bármilyen vizualizációs eszközre, biztonsági információra és eseménykezelési (SIEM) megoldásra, vagy a behatolásészlelési rendszerre (IDS).
Miért érdemes folyamatnaplókat használni?
Fontos a saját hálózat figyelése, kezelése és ismerete, hogy védhesse és optimalizálhassa azt. Ismernie kell a hálózat aktuális állapotát, hogy ki csatlakozik, és honnan csatlakoznak a felhasználók. Azt is tudnia kell, hogy mely portok vannak nyitva az interneten, milyen hálózati viselkedés várható, milyen hálózati viselkedés szabálytalan, és amikor hirtelen megnő a forgalom.
A forgalomnaplók a felhőkörnyezetben zajló valamennyi hálózati tevékenységgel kapcsolatos tények forrásai. Akár egy olyan startupban van, amely erőforrásokat próbál optimalizálni, vagy egy nagyvállalat, amely megpróbálja észlelni a behatolást, a folyamatnaplók segíthetnek. Ezeket használhatja a hálózati folyamatok optimalizálásához, az átviteli sebesség figyeléséhez, a megfelelőség ellenőrzéséhez, a behatolások észleléséhez stb.
Gyakori alkalmazási helyzetek
Hálózatfigyelés
- Ismeretlen vagy nem kívánt forgalom azonosítása.
- A forgalomszintek és a sávszélesség-felhasználás monitorozása.
- Szűrje a folyamatnaplókat IP-cím és port szerint az alkalmazás viselkedésének megértéséhez.
- Folyamatnaplók exportálása tetszőleges elemzési és vizualizációs eszközökre a figyelési irányítópultok beállításához.
Használat monitorozása és optimalizálása
- Azonosítsa a hálózat legfontosabb beszédfelelőseit.
- GeoIP-adatokkal kombinálva azonosíthatja a régiók közötti forgalmat.
- A kapacitás-előrejelzés forgalomnövekedésének ismertetése.
- Adatok használatával távolítsa el a túlságosan korlátozó forgalmi szabályokat.
Megfelelőség
- Folyamatadatok használatával ellenőrizze a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést.
Hálózati kriminalisztika és biztonsági elemzés
- A feltört IP-címekről és hálózati adapterekről származó hálózati folyamatok elemzése.
- Folyamatnaplók exportálása tetszőleges SIEM- vagy IDS-eszközre.
Az NSG-folyamatnaplók működése
Az NSG-folyamatnaplók fő tulajdonságai a következők:
- A folyamatnaplók az Open Systems-összekapcsolási (OSI) modell 4. rétegében működnek, és rögzítik a hálózati biztonsági csoportokba be- és kifelé irányuló összes IP-folyamatot.
- A naplók gyűjtése 1 perces időközönként történik az Azure platformon keresztül. Ezek semmilyen módon nem befolyásolják az Azure-erőforrásokat vagy a hálózati teljesítményt.
- A naplók JSON formátumban vannak megírva, és hálózati biztonsági csoportszabályonként jelenítik meg a kimenő és bejövő folyamatokat.
- Minden naplórekord tartalmazza a folyamat által érintett hálózati adaptert (NIC), az 5 rekordos adatokat, a forgalmi döntést és (csak a 2- es verzió esetében) az átviteli sebesség adatait.
- Az NSG-folyamatnaplók olyan adatmegőrzési funkcióval rendelkeznek, amely lehetővé teszi a naplók automatikus törlését akár egy évvel a létrehozásuk után.
Feljegyzés
A megőrzés csak akkor érhető el, ha általános célú v2-tárfiókokat használ.
A folyamatnaplók alapvető fogalmai a következők:
- A szoftveralapú hálózatok virtuális hálózatok és alhálózatok köré vannak rendszerezve. Ezeknek a virtuális hálózatoknak és alhálózatoknak a biztonságát hálózati biztonsági csoportokkal kezelheti.
- A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a hálózati forgalmat azon Azure-erőforrások felé vagy onnan, amelyekhez a hálózati biztonsági csoport csatlakozik. A hálózati biztonsági csoport társítható egy virtuális gép (VM) alhálózatához vagy hálózati adapteréhez. További információ: Hálózati biztonsági csoport áttekintése.
- A hálózatban lévő összes forgalom kiértékelése a vonatkozó hálózati biztonsági csoport szabályai alapján történik. Ezeknek az értékeléseknek az eredménye az NSG-folyamatnaplók.
- Az NSG-folyamatnaplók az Azure platformon keresztül gyűjthetők össze, és nem igényelnek módosítást az Azure-erőforrásokon.
- A hálózati biztonsági csoport szabályainak két típusa létezik: a megszüntetés és a megszüntetés megszüntetése. Mindegyik különböző naplózási viselkedéssel rendelkezik:
- A megtagadási szabályok megszűnnek. Az a hálózati biztonsági csoport, amely megtagadja a forgalmat, naplózza azt a folyamatnaplókban. Ebben az esetben a feldolgozás leáll, miután az NSG tagadja a forgalmat.
- A szabályok engedélyezése nem megszűnik. Ha a hálózati biztonsági csoport engedélyezi a forgalmat, a feldolgozás a következő hálózati biztonsági csoportra folytatódik. Az utolsó hálózati biztonsági csoport, amely lehetővé teszi, hogy a forgalom naplózza a forgalmat a folyamatnaplókba.
- Az NSG-folyamatnaplók tárfiókokba vannak írva. Az NSG-folyamatnaplókat exportálhatja, feldolgozhatja, elemezheti és vizualizálhatja olyan eszközökkel, mint a Network Watcher forgalomelemzése, a Splunk, a Grafana és a Stealthwatch.
Naplóformátum
Az NSG-folyamatnaplók a következő tulajdonságokat tartalmazzák:
time: Az esemény naplózásának időpontja UTC-ben.systemId: A hálózati biztonsági csoport rendszerazonosítója.category: Az esemény kategóriája. A kategória mindigNetworkSecurityGroupFlowEvent.resourceid: A hálózati biztonsági csoport erőforrás-azonosítója.operationName: MindigNetworkSecurityGroupFlowEvents.properties: A folyamat tulajdonságainak gyűjteménye:Version: A folyamatnapló eseményséma verziószáma.flows: Folyamatok gyűjteménye. Ez a tulajdonság több bejegyzést tartalmaz a különböző szabályokhoz.rule: Szabály, amelyre a folyamatok fel vannak sorolva.flows: Folyamatok gyűjteménye.mac: Annak a virtuális gépnek a MAC-címe, ahol a folyamatot gyűjtötték.flowTuples: Vesszővel tagolt formában több tulajdonságot tartalmazó karakterlánc:Time stamp: Annak időbélyege, amikor a folyamat UNIX epoch formátumban történt.Source IP: Forrás IP-címe.Destination IP: Cél IP-címe.Source port: Forrásport.Destination port: Célport.Protocol: A folyamat protokollja. Az érvényes értékek aTTCP ésUaz UDP esetében érvényesek.Traffic flow: A forgalom iránya. Az érvényes értékek a bejövő ésOa kimenő értékekreIérvényesek.Traffic decision: Azt jelzi, hogy a forgalom engedélyezve vagy megtagadva volt-e. Az érvényes értékek engedélyezettekAésDmegtagadva.Flow State - Version 2 Only: A folyamat állapota. Lehetséges állapotok a következők:B: Kezdés, folyamat létrehozásakor. A statisztikák nincsenek megadva.C: Folyamatos folyamat folytatása. A statisztikák 5 perces időközönként jelennek meg.E: Vége, amikor egy folyamat leáll. A statisztikák meg vannak adva.
Packets sent - Version 2 Only: A forrásból a célba küldött TCP-csomagok teljes száma az utolsó frissítés óta.Bytes sent - Version 2 Only: A forrásból a célba küldött TCP-csomagok bájtjainak teljes száma az utolsó frissítés óta. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.Packets received - Version 2 Only: A forrásnak küldött TCP-csomagok teljes száma a legutóbbi frissítés óta.Bytes received - Version 2 Only: Az utolsó frissítés óta a célról a forrásra küldött TCP-csomagok bájtjainak teljes száma. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.
Az NSG-folyamatnaplók 2. verziója bemutatja a folyamatállapot fogalmát. Konfigurálhatja a folyamatnaplók melyik verzióját.
A folyamat állapota B a folyamat indításakor lesz rögzítve. A folyamat állapota C és a folyamat állapota E olyan állapot, amely egy folyamat és egy folyamatvégzítés folytatását jelöli. Mind C az E állapotok tartalmazzák a forgalom sávszélességét.
Mintanapló-rekordok
Az NSG-folyamatnapló alábbi példáiban több rekord követi a korábban ismertetett tulajdonságlistát.
Feljegyzés
A tulajdonság értékei flowTuples vesszővel tagolt lista.
1-es verzió
Íme egy példa egy 1-es verziójú NSG-folyamatnapló formátumára:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
2-es verzió
Íme egy példa egy 2-es verziójú NSG-folyamatnapló formátumára:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Naplózási és sávszélesség-számítás
Íme egy példa sávszélesség-számítás a 185.170.185.105:35370 és a 10.2.0.4:23 közötti TCP-beszélgetésből származó folyamatokra:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
A folytatási (C) és a záró (E) folyamatállapotok esetében a bájtok és a csomagok száma az előző folyamat rekordjának időpontjától számított összesített szám. A példabeszélgetésben az átvitt csomagok teljes száma 1021+52+8005+47 = 9125. Az átvitt bájtok teljes száma 588096+29952+4610880+27072 = 5256000.
NSG-folyamatnaplók kezelése
Az NSG-folyamatnaplók létrehozásának, módosításának, letiltásának vagy törlésének megismeréséhez tekintse meg az alábbi útmutatók egyikét:
Folyamatnaplók használata
Folyamatnaplók olvasása és exportálása
Az NSG-folyamatnaplók olvasásával és exportálásával kapcsolatban tekintse meg az alábbi útmutatók egyikét:
- Folyamatnaplók letöltése és megtekintése a portálról
- Folyamatnaplók olvasása PowerShell-függvényekkel
- NSG-folyamatnaplók exportálása Splunkba
Az NSG-folyamat naplófájljai egy tárfiókban vannak tárolva az alábbi elérési úton:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Folyamatnaplók vizualizációja
Az NSG-folyamatnaplók vizualizációjának megismeréséhez tekintse meg az alábbi útmutatók egyikét:
- NSG-folyamatnaplók vizualizációja a Network Watcher forgalomelemzéssel
- NSG-folyamatnaplók vizualizációja a Power BI használatával
- NSG-folyamatnaplók vizualizációja az Elastic Stack használatával
- NSG-folyamatnaplók kezelése és elemzése a Grafana használatával
- NSG-folyamatnaplók kezelése és elemzése a Graylog használatával
Az NSG-folyamatnaplók szempontjai
Tárfiók
- Hely: A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak.
- Előfizetés: A tárfióknak a hálózati biztonsági csoport ugyanazon előfizetésében vagy a hálózati biztonsági csoport előfizetésének ugyanazon Microsoft Entra-bérlőjével társított előfizetésben kell lennie.
- Teljesítményszint: A tárfióknak standardnak kell lennie. A prémium szintű tárfiókok nem támogatottak.
- Ön által felügyelt kulcsváltás: Ha módosítja vagy elforgatja a tárfiók hozzáférési kulcsait, az NSG-folyamatnaplók működése leáll. A probléma megoldásához le kell tiltania, majd újra engedélyeznie kell az NSG-folyamatnaplókat.
Költség
Az NSG-folyamatnaplózás számlázása a létrehozott naplók mennyiségén történik. A nagy forgalmú kötet nagy folyamatnapló-kötetet eredményezhet, ami növeli a kapcsolódó költségeket.
Az NSG-folyamatnapló díjszabása nem tartalmazza a tárolás alapjául szolgáló költségeket. Az NSG-folyamat naplóinak megőrzése örökre vagy az adatmegőrzési szabályzat funkció használatával hosszabb ideig tartó tárolási költségekkel jár.
Nem alapértelmezett bejövő TCP-szabályok
A hálózati biztonsági csoportok állapotalapú tűzfalként vannak implementálva. A jelenlegi platformkorlátozások miatt azonban a hálózati biztonsági csoport nem alapértelmezett biztonsági szabályai, amelyek hatással vannak a bejövő TCP-folyamatokra, állapot nélküli módon vannak implementálva.
A nem alapértelmezett bejövő szabályok által érintett folyamatok nem lesznek megszüntetve. Emellett a bájtok és a csomagok száma nem lesz rögzítve ezekhez a folyamatokhoz. Ezen tényezők miatt az NSG-forgalomnaplókban (és a Network Watcher forgalomelemzésében) jelentett bájtok és csomagok száma eltérhet a tényleges számoktól.
Ezt a különbséget úgy oldhatja meg, hogy a FlowTimeoutInMinutes társított virtuális hálózatok tulajdonságát nem null értékre állítja. Az alapértelmezett állapotalapú viselkedést 4 percre állíthatja FlowTimeoutInMinutes be. Olyan hosszú ideig futó kapcsolatok esetén, ahol nem szeretné, hogy a folyamatok lecsatlakozjanak egy szolgáltatásról vagy célhelyről, legfeljebb 30 perces értéket állíthat be FlowTimeoutInMinutes . A Set-AzVirtualNetwork használatával állítsa be FlowTimeoutInMinutes a következő tulajdonságot:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Az internetes IP-címekről a nyilvános IP-címek nélküli virtuális gépekre naplózott bejövő folyamatok
Azok a virtuális gépek (virtuális gépek), amelyek nem rendelkeznek a hálózati adapterhez példányszintű nyilvános IP-címként társított nyilvános IP-címmel, vagy amelyek egy alapszintű terheléselosztó háttérkészletének részei, alapértelmezett SNAT-t használnak. Az Azure ip-címet rendel ezekhez a virtuális gépekhez a kimenő kapcsolatok megkönnyítése érdekében. Ennek eredményeképpen megjelenhetnek az internetes IP-címekről származó folyamatok folyamatnapló-bejegyzései, ha a folyamat az SNAT-hez rendelt portok tartományában lévő portra van szánva.
Bár az Azure nem engedélyezi ezeket a folyamatokat a virtuális gépnek, a rendszer naplózza a kísérletet, és terv szerint megjelenik a Network Watcher NSG folyamatnaplójában. Javasoljuk, hogy kifejezetten tiltsa le a nem kívánt bejövő internetes forgalmat egy hálózati biztonsági csoporttal.
Hálózati biztonsági csoport egy ExpressRoute-átjáró alhálózatán
Nem javasoljuk, hogy az Azure ExpressRoute-átjáró alhálózatán naplózza a folyamatokat, mert a forgalom megkerülheti az ilyen típusú átjárókat (például FastPath). Ha egy NSG egy ExpressRoute-átjáró alhálózatához van csatolva, és az NSG-folyamatnaplók engedélyezve vannak, akkor előfordulhat, hogy a virtuális gépekre irányuló kimenő folyamatok nem lesznek rögzítve. Ezeket a folyamatokat a virtuális gép alhálózatán vagy hálózati adapterén kell rögzíteni.
Privát végpont felé történő forgalom
A privát végpontok felé történő forgalom csak a forrás virtuális gépen rögzíthető. A rendszer a forgalmat a virtuális gép forrás IP-címével és a privát végpont cél IP-címével rögzíti. A privát végponton a forgalom nem rögzíthető platformkorlátozások miatt.
Az Application Gateway v2 alhálózathoz társított hálózati biztonsági csoportok támogatása
Az Azure-alkalmazás átjáró V2 alhálózatához társított hálózati biztonsági csoportok NSG-folyamatnaplói jelenleg nem támogatottak. Az Application Gateway V1 alhálózathoz társított hálózati biztonsági csoportok NSG-folyamatnaplói támogatottak.
Inkompatibilis szolgáltatások
Ezek az Azure-szolgáltatások jelenleg nem támogatják az NSG-folyamatnaplókat:
- Azure Container Instances
- Azure Logic Apps
- Azure Functions
- Azure DNS Private Resolver
- App Service
- Azure Database for MariaDB
- Azure Database for MySQL
- Azure Database for PostgreSQL
Feljegyzés
Az Azure-alkalmazás Service-csomagban üzembe helyezett appszolgáltatások nem támogatják az NSG-folyamatnaplókat. További információ: Hogyan működik a virtuális hálózat integrációja?
Ajánlott eljárások
NSG-folyamatnaplók engedélyezése kritikus alhálózatokon: Ajánlott naplózási és biztonsági ajánlott eljárásként engedélyezni a folyamatnaplókat az előfizetés összes kritikus alhálózatán.
NSG-folyamatnaplók engedélyezése az erőforráshoz csatlakoztatott összes hálózati biztonsági csoporton: az NSG-folyamatnaplók hálózati biztonsági csoportokon vannak konfigurálva. Egy folyamat csak egy hálózati biztonsági csoportszabályhoz van társítva. Olyan esetekben, amikor több hálózati biztonsági csoportot használ, javasoljuk, hogy engedélyezze az NSG-folyamatnaplók engedélyezését az erőforrás alhálózatán és hálózati adapterén (NIC) alkalmazott összes hálózati biztonsági csoporton annak érdekében, hogy az összes forgalom rögzítve legyen. További információt a hálózati biztonsági csoportok hálózati forgalmának szűrése című témakörben talál.
Íme néhány gyakori forgatókönyv:
- Több hálózati adapter egy virtuális gépen: Ha több hálózati adapter van csatlakoztatva egy virtuális géphez, mindegyiken engedélyeznie kell a folyamatnaplókat.
- Hálózati biztonsági csoport a hálózati adapter és az alhálózat szintjén is: Ha a hálózati adapter és az alhálózat szintjén van konfigurálva egy hálózati biztonsági csoport, mindkét hálózati biztonsági csoportban engedélyeznie kell a folyamatnaplókat. A hálózati hálózati és alhálózati szintű hálózati biztonsági csoportok által történő szabályfeldolgozás pontos sorrendje platformfüggő, és esettől függően változhat. A forgalomfolyamatok naplózása a legutóbb feldolgozott hálózati biztonsági csoporton történik. A platform állapota módosítja a feldolgozási sorrendet. Mindkét folyamatnaplót ellenőriznie kell.
- Azure Kubernetes Service (AKS) fürtalhálózat: Az AKS hozzáad egy alapértelmezett hálózati biztonsági csoportot a fürt alhálózatához. Engedélyeznie kell az NSG-folyamatnaplókat ezen a hálózati biztonsági csoporton.
Tároló kiépítése: A tárterület kiépítése a folyamatnaplók várható mennyiségével összhangban.
Elnevezés: A hálózati biztonsági csoport nevének legfeljebb 80 karakternek kell lennie, a hálózati biztonsági csoport szabályának neve pedig legfeljebb 65 karakter lehet. Ha a nevek túllépik a karakterkorlátjukat, előfordulhat, hogy a naplózás során csonkolja őket.
Gyakori problémák elhárítása
Nem tudom engedélyezni az NSG-folyamatnaplókat
Előfordulhat, hogy AuthorizationFailed vagy GatewayAuthenticationFailed hibaüzenet jelenik meg, ha nem engedélyezte a Microsoft.Elemzések erőforrás-szolgáltatót az előfizetésében, mielőtt megkísérelné engedélyezni az NSG-folyamatnaplókat. További információ: Elemzések szolgáltató regisztrálása.
Engedélyeztem az NSG-folyamatnaplókat, de nem látom az adatokat a tárfiókomban
Ez a probléma a következőhöz kapcsolódhat:
Beállítási idő: Az NSG-folyamatnaplók akár 5 percet is igénybe vehetnek a tárfiókban való megjelenéshez (ha megfelelően vannak konfigurálva). Megjelenik egy PT1H.json fájl. További információ: Folyamatnapló letöltése.
A hálózati biztonsági csoportok forgalmának hiánya: Előfordulhat, hogy nem látja a naplókat, mert a virtuális gépek nem aktívak, vagy mert az Application Gateway vagy más eszközök felsőbb rétegbeli szűrői blokkolják a hálózati biztonsági csoportok felé irányuló forgalmat.
Díjszabás
Az NSG-folyamatnaplók az összegyűjtött hálózati folyamatnaplók gigabájtonkénti díjai, és előfizetésenként 5 GB/hónap ingyenes csomaggal érhetők el.
Ha a forgalomelemzés NSG-folyamatnaplókkal van engedélyezve, a traffic analytics díjszabása gigabájtonkénti feldolgozási sebességre vonatkozik. A forgalomelemzés nem érhető el ingyenes tarifacsomaggal. További információkért lásd a Network Watcher díjszabását.
A naplók tárolása külön díjköteles. További információkért tekintse meg az Azure Blob Storage díjszabását.
Kapcsolódó tartalom
- Az NSG-folyamatnaplók kezelésének megismeréséhez tekintse meg az NSG-folyamatnaplók létrehozását, módosítását, letiltását vagy törlését az Azure Portalon.
- Az NSG-folyamatnaplókkal kapcsolatos leggyakoribb kérdésekre adott válaszokért tekintse meg a Flow-naplókkal kapcsolatos gyakori kérdéseket.
- A forgalomelemzéssel kapcsolatos további információkért tekintse meg a Traffic Analytics áttekintését.