Oktatóanyag: Virtuális gép bejövő és kimenő hálózati forgalmának naplózása az Azure Portal használatával

A hálózati biztonsági csoportok (NSG-k) lehetővé teszik a virtuális gépek bejövő és kimenő forgalmának szűrését. A Network Watcher NSG-folyamatnaplózási funkciójával naplózhatja az egyes hálózati biztonsági csoportokon áthaladó hálózati forgalmat.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Hálózati biztonsági csoporttal rendelkező virtuális gép létrehozása
  • A Network Watcher engedélyezése és a Microsoft.Insights szolgáltató regisztrálása
  • Forgalom naplózásának engedélyezése egy hálózati biztonsági csoport esetében a Network Watcher NSG-folyamatnaplózási funkciójának használatával
  • Naplózott adatok letöltése
  • Naplózott adatok megtekintése

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Előfeltételek

  • Egy Azure-fiók, aktív előfizetéssel.

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Virtuális gép létrehozása

  1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza a Virtuális gépek lehetőséget.

  2. A Virtuális gépek területen válassza a + Létrehozás majd + Azure virtuális gép lehetőséget.

  3. Adja meg vagy válassza ki a következő adatokat a Virtuális gép létrehozása területen.

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget.
    Adja meg a myResourceGroupnevet.
    Kattintson az OK gombra.
    Példány adatai
    Virtuális gép neve Írja be a myVM-et.
    Régió Válassza az USA keleti régióját.
    Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára.
    Biztonság típusa Hagyja meg az alapértelmezett Standard értéket.
    Kép Válassza a Windows Server 2022 Datacenter: Azure Edition – Gen2 lehetőséget.
    Azure Spot-példány Hagyja meg az alapértelmezett értéket.
    Méret Válasszon egy méretet.
    Rendszergazdai fiók
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.
    Jelszó megerősítése Erősítse meg a jelszót.
    Bejövő portszabályok
    Nyilvános bejövő portok Hagyja meg a kijelölt portok engedélyezésének alapértelmezett beállítását.
    Válassza ki a bejövő portokat Hagyja meg az RDP (3389) alapértelmezett értékét.
  4. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  5. Válassza a Létrehozás lehetőséget.

A virtuális gép létrehozása néhány percet vesz igénybe. Ne folytassa a hátralévő lépésekkel, amíg a virtuális gép nem végzett a létrehozással. Miközben a portál létrehozza a virtuális gépet, létrehoz egy myVM-nsg nevű hálózati biztonsági csoportot is, és társítja azt a virtuális gép hálózati adapteréhez.

A Network Watcher engedélyezése

Ha már engedélyezve van a Network Watcher az USA keleti régiójában, folytassa az Insights-szolgáltató regisztrálása szakasszal.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza Network Watcher a keresési eredmények között.

  2. A Network WatcherÁttekintés lapján válassza a + Hozzáadás lehetőséget.

    Képernyőkép a Network Watcher engedélyezéséről a portálon.

  3. Válassza ki előfizetését a Network Watcher hozzáadása lapon. Válassza az USA keleti régióját a régióban.

  4. Válassza a Hozzáadás lehetőséget.

Insights-szolgáltató regisztrálása

Az NSG-folyamatnaplózáshoz a Microsoft.insights szolgáltató szükséges. A szolgáltató regisztrálásához hajtsa végre a következő lépéseket:

  1. A portál tetején található keresőmezőbe írja be az előfizetéseket. Válassza az Előfizetések lehetőséget a keresési eredmények között.

  2. Válassza ki azt az előfizetést, amelyhez engedélyezni szeretné a szolgáltatót az Előfizetésekben.

  3. Válassza ki az erőforrás-szolgáltatókat az előfizetés beállításai között .

  4. Írja be a Microsoft.Insights kifejezést a szűrőmezőbe.

  5. Győződjön meg arról, hogy a megjelenített szolgáltató állapota Regisztrálva. Ha az állapot nincs regisztrálva, válassza ki a szolgáltatót, majd válassza a Regisztráció lehetőséget.

    Képernyőkép a Microsoft Insights-szolgáltató regisztrálásáról.

NSG-folyamatnapló engedélyezése

A rendszer az NSG-folyamatnapló adatait egy Azure Storage-fiókba fogja írni. A következő lépésekkel hozzon létre egy tárfiókot a naplóadatokhoz.

  1. A portál tetején található keresőmezőbe írja be a tárfiókot. A keresési eredmények között válassza ki a Storage-fiókokat .

  2. A Storage-fiókokban válassza a + Létrehozás lehetőséget.

  3. Adja meg vagy válassza ki a következő adatokat a Tárfiók létrehozása területen.

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget.
    Példány adatai
    Tárfiók neve Adja meg a tárfiók nevét.
    3–24 karakter hosszúságúnak kell lennie, és csak kisbetűket és számokat tartalmazhat, és egyedinek kell lennie az összes Azure Storage-ban.
    Régió Válassza az USA keleti régióját.
    Teljesítmény Hagyja meg az alapértelmezett Standard értéket.
    Redundancia Hagyja meg az alapértelmezett georedundáns tárolást (GRS).
  4. Válassza a Véleményezés lehetőséget.

  5. Válassza a Létrehozás lehetőséget.

A tárfiók létrehozása körülbelül egy percet vehet igénybe. Ne folytassa a többi lépéssel, amíg létre nem hozza a tárfiókot. A tárfióknak minden esetben ugyanabban a régióban kell lennie, mint az NSG-nek.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza Network Watcher a keresési eredmények között.

  2. Válassza ki az NSG-forgalom naplóit a Naplókban.

  3. A Network Watcher | NSG-folyamatnaplók, válassza a + Létrehozás lehetőséget.

    Képernyőkép a hálózati biztonsági csoport folyamatnaplójának létrehozásáról.

  4. Adja meg vagy válassza ki a következő adatokat a Folyamatnapló létrehozása területen.

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Hálózati biztonsági csoport Válassza ki a myVM-nsg elemet.
    Folyamatnapló neve Hagyja meg a myVM-nsg-myResourceGroup-flowlog alapértelmezett értékét.
    Példány adatai
    Adattároló fiók kiválasztása
    Előfizetés Válassza ki előfizetését.
    Storage-fiókok Válassza ki az előző lépésekben létrehozott tárfiókot.
    Megőrzés (nap) Adja meg a naplók megőrzési idejét.
  5. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  6. Válassza a Létrehozás lehetőséget.

Folyamatnapló letöltése

  1. A portál tetején található keresőmezőbe írja be a tárfiókot. A keresési eredmények között válassza ki a Storage-fiókokat .

  2. Válassza ki az előző lépésekben létrehozott tárfiókot.

  3. Az Adattárban válassza a Tárolók lehetőséget.

  4. Válassza ki az insights-logs-networksecuritygroupflowevent tárolót.

  5. A tárolóban navigáljon a mappahierarchiában, amíg el nem jut egy PT1H.json fájlhoz. A naplófájlokat a rendszer a következő elnevezési konvenciók szerint egy mappahierarchiába írja:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Válassza a PT1H.json fájltól jobbra található ... lehetőséget, majd a Letöltés lehetőséget.

    Képernyőkép a hálózati biztonsági csoport folyamatnaplójának letöltéséről.

Folyamatnapló megtekintése

Az alábbi JSON-példa azokat az adatokat jeleníti meg, amelyeket a PT1H.json fájlban fog látni az egyes naplózott folyamatokhoz:

1. verziójú folyamatnapló eseménye

{
    "time": "2018-05-01T15:00:02.1713710Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 1,
        "flows": [
            {
                "rule": "UserRule_default-allow-rdp",
                "flows": [
                    {
                        "mac": "<macAddress>",
                        "flowTuples": [
                            "1525186745,192.168.1.4,10.0.0.4,55960,3389,T,I,A"
                        ]
                    }
                ]
            }
        ]
    }
}

2. verziójú folyamatnapló eseménye

{
    "time": "2018-11-13T12:00:35.3899262Z",
    "systemId": "<Id>",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/<subscriptionId>/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_DenyAllInBound",
                "flows": [
                    {
                        "mac": "<macAddress>",
                        "flowTuples": [
                            "1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
                            "1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
                            "1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
                        ]
                    }
                ]
            },
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "<macAddress>",
                        "flowTuples": [
                            "1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
                            "1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
                            "1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
                            "1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
                        ]
                    }
                ]
            }
        ]
    }
}

A mac érték az előző kimenetben azon hálózati adapter MAC-címét jelöli, amely a virtuális gép létrehozásakor lett létrehozva. A flowTuples vesszővel tagolt információi a következők:

Példaadatok Az adatok jelentése Magyarázat
1542110377 Időbélyeg Az az időpont, amikor a forgalom jelentkezett, UNIX EPOCH formátumban. Az előzőben példában látható dátum átalakítva: 2018. május 1. 14:59:05 GMT.
10.0.0.4 Forrás IP-címe A forrás IP-cím, ahonnan a forgalom érkezett. A 10.0.0.4 a virtuális gép létrehozása során létrehozott virtuális gép magánhálózati IP-címe.
13.67.143.118 Cél IP-cím A cél IP-cím, ahová a forgalom tartott.
44931 Forrásport A forrásport, ahonnan a forgalom érkezett.
443 Célport A célport, ahová a forgalom tartott. Mivel a forgalom a 443-s portra irányult, a UserRule_default-allow-rdp nevű szabály feldolgozta a folyamatot a naplófájlban.
T Protokoll Azt jelöli, hogy a forgalom protokollja TCP (T) vagy UDP (U) volt-e.
O Irány Azt jelöli, hogy a forgalom bejövő (I) vagy kimenő (O) volt-e.
A Művelet Azt jelöli, hogy a forgalom engedélyezve (A) vagy elutasítva (D) lett-e.
C Folyamatállapot – csak 2- es verzió Rögzíti a folyamat állapotát. Lehetséges állapotok: B: A folyamat létrehozásakor kezdődik. A statisztikák nem szerepelnek a statisztikában. C: Folyamatban lévő folyamat folytatása. A statisztikák 5 perces időközönként jelennek meg. E: Vége, amikor egy folyamat véget ér. A rendszer statisztikai adatokat ad meg.
30 Elküldött csomagok – Forrástól a célhoz csak 2- es verzió A forrástól a célhelyre küldött TCP- vagy UDP-csomagok teljes száma a legutóbbi frissítés óta.
16978 Elküldött bájtok – Csak a forrástól a cél 2-es verziójáig A forrásból a célba küldött TCP- vagy UDP-csomagbájtok teljes száma a legutóbbi frissítés óta. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.
24 Elküldött csomagok – Célhely csak a forrás 2-es verziójára A célról a forrásra küldött TCP- vagy UDP-csomagok teljes száma a legutóbbi frissítés óta.
14008 Elküldött bájtok – Célhely csak a forrás 2-es verziójára A tcp- és UDP-csomagbájtok teljes száma, amelyet a célról a forrásra küldtek a legutóbbi frissítés óta. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • NSG-forgalom naplózásának engedélyezése NSG-hez
  • Fájlba naplózott adatok letöltése és megtekintése.

A JSON-fájl nyers adatai nehezen értelmezhetők. A Flow-naplók adatainak megjelenítéséhez használhatja az Azure Traffic Analyticset és a Microsoft Power BI-t.

Az NSG-folyamatnaplók engedélyezésének alternatív módszereiről a PowerShell, az Azure CLI, a REST API és Resource Manager sablonokban olvashat.

Folytassa a következő cikkel, amelyből megtudhatja, hogyan monitorozhat hálózati kommunikációt két virtuális gép között: