NSG-folyamatnaplók kezelése az Azure CLI használatával
Fontos
2027. szeptember 30-án a hálózati biztonsági csoport (NSG) folyamatnaplói megszűnnek. A kivonás részeként 2025. június 30-tól már nem hozhat létre új NSG-folyamatnaplókat. Javasoljuk, hogy migráljon a virtuális hálózati folyamatnaplókba, amelyek leküzdik az NSG-folyamatnaplók korlátait. A kivonási dátum után az NSG-folyamatnaplókkal engedélyezett forgalomelemzések már nem támogatottak, és az előfizetésekben meglévő NSG-folyamatnapló-erőforrások törlődnek. Az NSG-folyamat naplóinak rekordjai azonban nem törlődnek, és továbbra is betartják a vonatkozó adatmegőrzési szabályzatokat. További információért tekintse meg a hivatalos bejelentést.
A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.
Ebben a cikkben megtudhatja, hogyan hozhat létre, módosíthat, tilthat le vagy törölhet NSG-folyamatnaplókat az Azure CLI használatával. Megtudhatja, hogyan kezelheti az NSG-folyamatnaplókat az Azure Portal, a PowerShell, a REST API vagy az ARM-sablon használatával.
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Insights-szolgáltató. További információ: Register Insights provider.
Hálózati biztonsági csoport. Ha hálózati biztonsági csoportot kell létrehoznia, olvassa el a hálózati biztonsági csoport létrehozását, módosítását vagy törlését.
Egy Azure-tárfiók. Ha tárfiókot szeretne létrehozni, tekintse meg a tárfiók PowerShell-lel való létrehozását.
Helyileg telepített Azure Cloud Shell vagy Azure CLI.
A cikk lépései interaktív módon futtatják az Azure CLI-parancsokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.
A parancsok futtatásához helyileg is telepítheti az Azure CLI-t. Ha helyileg futtatja az Azure CLI-t, jelentkezzen be az Azure-ba az az login paranccsal.
Insights-szolgáltató regisztrálása
A Microsoft.Insights-szolgáltatót regisztrálni kell a hálózati biztonsági csoporton áthaladó forgalom sikeres naplózásához. Ha nem biztos abban, hogy a Microsoft.Insights-szolgáltató regisztrálva van,az az provider register használatával regisztrálja azt.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Folyamatnapló létrehozása
Hozzon létre egy folyamatnaplót az az network watcher flow-log create használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Feljegyzés
- Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.
- Ha a tárfiók egy másik erőforráscsoportban vagy előfizetésben található, a tárfiók teljes azonosítóját kell megadnia ahelyett, hogy csak a nevét adja meg. Ha például a myStorageAccount storage-fiók egy StorageRG nevű erőforráscsoportban található, míg a hálózati biztonsági csoport a myResourceGroup erőforráscsoportban van, akkor a paraméter helyett a paramétert
--storage-account
kell használnia/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount
myStorageAccount
.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Folyamatnapló- és forgalomelemzési munkaterület létrehozása
Hozzon létre egy Log Analytics-munkaterületet az az monitor log-analytics-munkaterület létrehozásával.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
Hozzon létre egy folyamatnaplót az az network watcher flow-log create használatával. A folyamatnapló a Network Watcher alapértelmezett erőforráscsoportjában , a NetworkWatcherRG-ben jön létre.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Feljegyzés
- A tárfiók nem rendelkezhet olyan hálózati szabályokkal, amelyek csak Microsoft-szolgáltatások vagy adott virtuális hálózatokhoz korlátozzák a hálózati hozzáférést.
- Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.
- Ha a tárfiók egy másik erőforráscsoportban vagy előfizetésben található, a tárfiók teljes azonosítóját kell használni. Ha például a myStorageAccount storage-fiók egy StorageRG nevű erőforráscsoportban található, míg a hálózati biztonsági csoport a myResourceGroup erőforráscsoportban van, akkor a paraméter helyett a paramétert
--storage-account
kell használnia/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount
myStorageAccount
.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Folyamatnapló módosítása
Az az network watcher flow-log update használatával módosíthatja a folyamatnapló tulajdonságait. Módosíthatja például a folyamatnapló verzióját, vagy letilthatja a forgalomelemzést.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Egy régió összes folyamatnaplójának listázása
Az az network watcher flow-log listával listázhatja az előfizetés egy adott régiójában található NSG-folyamatnapló-erőforrásokat.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Folyamatnapló-erőforrás részleteinek megtekintése
Az az network watcher flow-log show használatával megtekintheti a folyamatnapló-erőforrás részleteit.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Folyamatnapló letöltése
A folyamatnapló tárolási helye a létrehozáskor van meghatározva. A folyamatnaplók tárfiókból való eléréséhez és letöltéséhez használhatja az Azure Storage Explorert. További információ: A Storage Explorer használatának első lépései.
A tárfiókba mentett NSG-folyamat naplófájljai az alábbi elérési utat követik:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
A folyamatnaplók szerkezetével kapcsolatos információkért lásd az NSG-folyamatnaplók naplóformátumát.
Folyamatnapló letiltása
Ha ideiglenesen le szeretne tiltani egy folyamatnaplót törlés nélkül, használja az az network watcher flow-log update parancsot. A folyamatnapló letiltása leállítja a társított hálózati biztonsági csoport folyamatnaplózását. A folyamatnapló-erőforrás azonban továbbra is az összes beállításával és társításával együtt marad. Bármikor újra engedélyezheti a folyamatnaplózás folytatásához a konfigurált hálózati biztonsági csoport számára.
Feljegyzés
Ha a forgalomelemzés engedélyezve van egy folyamatnaplóhoz, le kell tiltani, mielőtt letilthatja a folyamatnaplót.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Folyamatnapló törlése
A folyamatnapló végleges törléséhez használja az az network watcher flow-log delete parancsot. A folyamatnapló törlése törli az összes beállítást és társítást. Ahhoz, hogy újra elindítsa a folyamatnaplózást ugyanazon hálózati biztonsági csoporthoz, létre kell hoznia egy új folyamatnaplót.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Feljegyzés
A folyamatnapló törlése nem törli a folyamatnapló adatait a tárfiókból. A folyamat naplózza a tárfiókban tárolt adatokat a konfigurált megőrzési szabályzatot követve.
Kapcsolódó tartalom
- Ha tudni szeretné, hogyan használhatja az Azure beépített szabályzatait az NSG-folyamatnaplók naplózására vagy üzembe helyezésére, olvassa el az NSG-folyamatnaplók Azure Policy használatával történő kezelését ismertető témakört.
- A forgalomelemzéssel kapcsolatos további információkért lásd : Traffic analytics.