NSG-folyamatnaplók kezelése az Azure Portalon

  • Cikk

A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.

Ebben a cikkben megtudhatja, hogyan hozhat létre, módosíthat, tilthat le vagy törölhet NSG-folyamatnaplókat az Azure Portalon. Megtudhatja, hogyan kezelheti az NSG-folyamatnaplókat PowerShell, Azure CLI, REST API vagy ARM-sablon használatával.

Előfeltételek

Insights-szolgáltató regisztrálása

Microsoft. Elemzések szolgáltatót regisztrálni kell a hálózati biztonsági csoporton áthaladó forgalom sikeres naplózásához. Ha nem biztos benne, hogy a Microsoft.Elemzések szolgáltató regisztrálva van-e, ellenőrizze az állapotát:

  1. A portál tetején található keresőmezőbe írja be az előfizetéseket. Válassza ki az Előfizetések lehetőséget a keresési eredmények között.

  2. Válassza ki azt az Azure-előfizetést, amelyhez engedélyezni szeretné a szolgáltatót az Előfizetésekben.

  3. A Beállítások területen válassza az Erőforrás-szolgáltatók lehetőséget.

  4. Adja meg az elemzést a szűrőmezőben.

  5. Ellenőrizze, hogy a megjelenített szolgáltató állapota regisztrálva van-e. Ha az állapot nincs regisztrálva, válassza a Microsoft.Elemzések szolgáltatót, majd válassza a Regisztráció lehetőséget.

    Képernyőkép a Microsoft Elemzések-szolgáltató Azure Portalon való regisztrálásáról.

Folyamatnapló létrehozása

Hozzon létre egy folyamatnaplót a hálózati biztonsági csoport számára. Ezt az NSG-folyamatnaplót egy Azure-tárfiókba menti a rendszer.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | Folyamatnaplók, válassza a + Folyamatnapló létrehozása vagy létrehozása kék gombot.

    Képernyőkép a Flow-naplók oldaláról az Azure Portalon.

  4. Adja meg vagy válassza ki a következő értékeket a folyamatnapló létrehozásakor:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki a naplózni kívánt hálózati biztonsági csoport Azure-előfizetését.
    Hálózati biztonsági csoport Válassza a + Erőforrás kiválasztása lehetőséget.
    A Hálózati biztonsági csoport kiválasztása területen válassza a myNSG lehetőséget. Ezután válassza a Kijelölés megerősítése lehetőséget.
    Folyamatnapló neve Adja meg a folyamatnapló nevét, vagy hagyja meg az alapértelmezett nevet. A példához a myNSG-myResourceGroup-flowlog az alapértelmezett név.
    Példány részletei
    Előfizetés Válassza ki a tárfiók Azure-előfizetését.
    Storage-fiókok Válassza ki azt a tárfiókot, ahová menteni szeretné a folyamatnaplókat. Ha új tárfiókot szeretne létrehozni, válassza az Új tárfiók létrehozása lehetőséget.
    Megőrzés (nap) Adja meg a naplók megőrzési idejét. Adja meg a 0 értéket, ha a tárfiókban lévő folyamatnaplók adatait örökre meg szeretné őrizni (amíg nem törli a tárfiókból). A díjszabással kapcsolatos információkért tekintse meg az Azure Storage díjszabását.

    Képernyőkép NSG-folyamatnapló létrehozásáról az Azure Portalon.

    Feljegyzés

    Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.

  5. Válassza az Áttekintés + létrehozás lehetőséget.

  6. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Folyamatnapló- és forgalomelemzési munkaterület létrehozása

Hozzon létre egy folyamatnaplót a hálózati biztonsági csoport számára, és engedélyezze a forgalomelemzést. Az NSG-folyamatnaplót egy Azure-tárfiókba menti a rendszer.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | Folyamatnaplók, válassza a + Folyamatnapló létrehozása vagy létrehozása kék gombot.

    Képernyőkép a Flow-naplók oldaláról az Azure Portalon.

  4. Adja meg vagy válassza ki a következő értékeket a folyamatnapló létrehozásakor:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki a naplózni kívánt hálózati biztonsági csoport Azure-előfizetését.
    Hálózati biztonsági csoport Válassza a + Erőforrás kiválasztása lehetőséget.
    A Hálózati biztonsági csoport kiválasztása területen válassza a myNSG lehetőséget. Ezután válassza a Kijelölés megerősítése lehetőséget.
    Folyamatnapló neve Adja meg a folyamatnapló nevét, vagy hagyja meg az alapértelmezett nevet. Az Azure Portal alapértelmezés szerint létrehozza a(z) {network-security-group}-{resource-group}-flowlog folyamatnaplót a NetworkWatcherRG erőforráscsoportban.
    Példány részletei
    Előfizetés Válassza ki a tárfiók Azure-előfizetését.
    Storage-fiókok Válassza ki azt a tárfiókot, ahová menteni szeretné a folyamatnaplókat. Ha új tárfiókot szeretne létrehozni, válassza az Új tárfiók létrehozása lehetőséget.
    Megőrzés (nap) Adja meg a naplók megőrzési idejét. Adja meg a 0 értéket, ha a tárfiókban lévő folyamatnaplók adatait örökre meg szeretné őrizni (amíg nem törli a tárfiókból). A díjszabással kapcsolatos információkért tekintse meg az Azure Storage díjszabását.

    Képernyőkép a Folyamatnapló létrehozása az Azure Portalon az Alapszintű beállítások lapjáról.

    Feljegyzés

    Ha a tárfiók másik előfizetésben található, a hálózati biztonsági csoportot és a tárfiókot ugyanahhoz az Azure Active Directory-bérlőhöz kell társítani. Az egyes előfizetésekhez használt fióknak rendelkeznie kell a szükséges engedélyekkel.

  5. Válassza a Tovább: Elemzés gombot, vagy válassza az Elemzés lapot. Ezután adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Folyamatnaplók verziója Válassza ki a folyamatnapló verzióját. A 2. verzió alapértelmezés szerint ki van választva, amikor folyamatnaplót hoz létre az Azure Portal használatával. A folyamatnaplók verzióival kapcsolatos további információkért lásd az NSG-folyamatnaplók naplóformátumát.
    Traffic Analytics
    Traffic Analytics engedélyezése Jelölje be a jelölőnégyzetet a forgalomelemzés engedélyezéséhez a folyamatnaplóhoz.
    Traffic Analytics feldolgozási időköz Válassza ki a kívánt feldolgozási időközt, a rendelkezésre álló lehetőségek a következők: 1 óránként és 10 percenként. Az alapértelmezett feldolgozási időköz óránként történik. További információ: Traffic Analytics.
    Előfizetés Válassza ki a Log Analytics-munkaterület Azure-előfizetését.
    Log Analytics-munkaterület Válassza ki a Log Analytics-munkaterületet. Az Azure Portal alapértelmezés szerint létrehozza és kiválasztja a DefaultWorkspace-{subscription-id}-{region} Log Analytics-munkaterületet a defaultresourcegroup-{Region} erőforráscsoportban.

    Képernyőkép a forgalomelemzés engedélyezéséről egy folyamatnaplóhoz az Azure Portalon.

  6. Válassza az Áttekintés + létrehozás lehetőséget.

  7. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Folyamatnapló módosítása

A folyamatnaplók tulajdonságait a létrehozásuk után módosíthatja. Módosíthatja például a folyamatnapló verzióját, vagy letilthatja a forgalomelemzést.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | Válassza ki a módosítani kívánt folyamatnaplót.

  4. A Flow-naplók beállításaiban az alábbi beállítások bármelyikét módosíthatja:

    • Folyamatnaplók verziója: Módosítsa a folyamatnapló verzióját. Az elérhető verziók a következők: 1. és 2. verzió. A 2. verzió alapértelmezés szerint ki van választva, amikor folyamatnaplót hoz létre az Azure Portal használatával. A folyamatnaplók verzióival kapcsolatos további információkért lásd az NSG-folyamatnaplók naplóformátumát.
    • Tárfiók: Módosítsa azt a tárfiókot, amelybe menteni szeretné a folyamatnaplókat. Ha új tárfiókot szeretne létrehozni, válassza az Új tárfiók létrehozása lehetőséget.
    • Megőrzés (napok): A tárfiók megőrzési idejének módosítása. Adja meg a 0 értéket, ha a tárfiókban lévő folyamatnaplók adatait örökre meg szeretné őrizni (amíg manuálisan nem törli az adatokat a tárfiókból).
    • Traffic Analytics: Forgalomelemzés engedélyezése vagy letiltása a folyamatnaplóhoz. További információ: Traffic Analytics.
    • Traffic Analytics feldolgozási időköz: A forgalomelemzés feldolgozási időközének módosítása (ha a forgalomelemzés engedélyezve van). A rendelkezésre álló lehetőségek: egy óra és 10 perc. Az alapértelmezett feldolgozási időköz óránként történik. További információ: Traffic Analytics.
    • Log Analytics-munkaterület: Módosítsa azt a Log Analytics-munkaterületet, ahová menteni szeretné a folyamatnaplókat (ha a forgalomelemzés engedélyezve van).

    Képernyőkép a Flow-naplók beállításainak oldaláról az Azure Portalon, ahol módosíthatja a beállításokat.

Az összes folyamatnapló listázása

Az előfizetésekben vagy előfizetések egy csoportjában található összes folyamatnaplót listázhatja. A régióban lévő összes folyamatnaplót is listázhatja.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. Válassza az Előfizetés egyenlő szűrőt egy vagy több előfizetés kiválasztásához. Más szűrőket is alkalmazhat, például a Hely egyenlő a régió összes folyamatnaplójának listázásához.

    Képernyőkép arról, hogyan lehet szűrőkkel listázni az előfizetés összes meglévő folyamatnaplóját az Azure Portal használatával.

Folyamatnapló-erőforrás részleteinek megtekintése

A folyamatnapló részleteit megtekintheti egy előfizetésben vagy előfizetéscsoportban. A régióban lévő összes folyamatnaplót is listázhatja.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | Válassza ki a megtekinteni kívánt folyamatnaplót.

  4. A Flow-naplók beállításai között megtekintheti a folyamatnapló-erőforrás beállításait.

    Képernyőkép a Flow-naplók beállításainak oldaláról az Azure Portalon.

Folyamatnapló letöltése

A folyamatnapló tárolási helye a létrehozáskor van meghatározva. A folyamatnaplók tárfiókból való eléréséhez és letöltéséhez használhatja az Azure Storage Explorert. További információ: A Storage Explorer használatának első lépései.

A tárfiókba mentett NSG-folyamat naplófájljai az alábbi elérési utat követik:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

A folyamatnaplók szerkezetével kapcsolatos információkért lásd az NSG-folyamatnaplók naplóformátumát.

Folyamatnapló letiltása

Az NSG-folyamatnaplókat ideiglenesen letilthatja törlés nélkül. A folyamatnapló letiltása leállítja a társított hálózati biztonsági csoport folyamatnaplózását. A folyamatnapló-erőforrás azonban továbbra is az összes beállításával és társításával együtt marad. Bármikor újra engedélyezheti a folyamatnaplózás folytatásához a konfigurált hálózati biztonsági csoport számára.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | A folyamatnaplókban jelölje be a letiltani kívánt folyamatnapló jelölőnégyzetét.

  4. Válassza a Letiltás lehetőséget.

    Képernyőkép egy folyamatnapló letiltásáról az Azure Portalon.

Feljegyzés

Ha a forgalomelemzés engedélyezve van egy folyamatnaplóhoz, le kell tiltani, mielőtt letilthatja a folyamatnaplót. A forgalomelemzés letiltásához lásd: Folyamatnapló módosítása.

Folyamatnapló törlése

Véglegesen törölheti az NSG-folyamatnaplókat. A folyamatnapló törlése törli az összes beállítást és társítást. Ahhoz, hogy újra elindítsa a folyamatnaplózást ugyanazon hálózati biztonsági csoporthoz, létre kell hoznia egy új folyamatnaplót.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények között.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | A folyamatnaplókban jelölje be a törölni kívánt folyamatnapló jelölőnégyzetét.

  4. Válassza a Törlés lehetőséget.

    Képernyőkép egy folyamatnapló törléséről az Azure Portalon.

Feljegyzés

A folyamatnapló törlése nem törli a folyamatnapló adatait a tárfiókból. A folyamat naplózza a tárfiókban tárolt adatokat a konfigurált megőrzési szabályzatot követve, vagy a tárfiókban marad, amíg manuálisan nem törli őket (ha nincs megőrzési szabályzat konfigurálva).

Következő lépések

  • Ha tudni szeretné, hogyan használhatja az Azure beépített szabályzatait az NSG-folyamatnaplók naplózására vagy üzembe helyezésére, olvassa el az NSG-folyamatnaplók Azure Policy használatával történő kezelését ismertető témakört.
  • A forgalomelemzéssel kapcsolatos további információkért lásd : Traffic analytics.