Hálózati biztonsági csoport erőforrás-naplózása

A hálózati biztonsági csoport (NSG) olyan szabályokat tartalmaz, amelyek engedélyezik vagy letiltják a virtuális hálózati alhálózatra, hálózati adapterre vagy mindkettőre vonatkozó forgalmat.

Ha engedélyezi az NSG naplózását, az alábbi típusú erőforrásnapló-adatokat gyűjtheti össze:

  • Esemény: A rendszer naplózza azokat a bejegyzéseket, amelyek esetében a rendszer NSG-szabályokat alkalmaz a virtuális gépekre a MAC-cím alapján.
  • Szabályszámláló: Bejegyzéseket tartalmaz arról, hogy hányszor alkalmazza az egyes NSG-szabályokat a forgalom megtagadására vagy engedélyezésére. Ezeknek a szabályoknak az állapota 300 másodpercenként lesz összegyűjtve.

Az erőforrásnaplók csak az Azure Resource Manager üzembehelyezési modellen keresztül üzembe helyezett NSG-khez érhetők el. A klasszikus üzemi modellel üzembe helyezett NSG-k erőforrásnaplózása nem engedélyezhető. A két modell jobb megértéséhez lásd: Az Azure üzembehelyezési modelljeinek ismertetése.

Az erőforrás-naplózás külön engedélyezve van minden olyan NSG-hez, amelyhez diagnosztikai adatokat szeretne gyűjteni. Ha inkább a tevékenységnaplók (működési) érdeklik, tekintse meg az Azure-tevékenységnaplózást ismertető cikket. Ha érdekli az NSG-n keresztüli IP-forgalom, tekintse meg az Azure Network Watcher NSG-folyamatnaplóit

Naplózás engedélyezése

Az erőforrás-naplózás engedélyezéséhez használhatja a Azure Portal, a PowerShellt vagy az Azure CLI-t.

Azure Portal

  1. Jelentkezzen be a portálra.

  2. Válassza a Minden szolgáltatás lehetőséget, majd írja be a hálózati biztonsági csoportokat. Ha a hálózati biztonsági csoportok megjelennek a keresési eredmények között, jelölje ki.

  3. Válassza ki azt az NSG-t, amelyhez engedélyezni szeretné a naplózást.

  4. A MONITOROZÁS területen válassza a Diagnosztikai naplók lehetőséget, majd válassza a Diagnosztikák bekapcsolása lehetőséget az alábbi képen látható módon:

    Diagnosztika bekapcsolása

  5. A Diagnosztikai beállítások területen adja meg vagy válassza ki a következő adatokat, majd válassza a Mentés lehetőséget:

    Beállítás Érték
    Név A választott név. Például: myNsgDiagnostics
    Archiválás tárfiókba, Streamelés eseményközpontba és Küldés a Log Analyticsbe Tetszőleges számú célhelyet választhat ki. Ha többet szeretne megtudni ezekről, olvassa el a Naplócélok című témakört.
    LOG Válassza ki a vagy mindkét naplókategóriát. Az egyes kategóriákhoz naplózott adatokkal kapcsolatos további információkért lásd: Naplókategóriák.
  6. Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

PowerShell

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekért lásd: Azure PowerShell telepítése. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Futtathatja a következő parancsokat az Azure Cloud Shell vagy a PowerShell futtatásával a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta. Ha a számítógépen futtatja a PowerShellt, szüksége lesz a Azure PowerShell modulra, amely 1.0.0-s vagy újabb verziójú. Futtassa Get-Module -ListAvailable Az a számítógépet a telepített verzió megkereséséhez. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ba való bejelentkezéshez is futnia Connect-AzAccount kell egy olyan fiókkal, amely rendelkezik a szükséges engedélyekkel.

Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, létrehozhat egyet a New-AzNetworkSecurityGroup használatával.

Kérje le azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást a Get-AzNetworkSecurityGroup paranccsal. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Az erőforrásnaplók három céltípusba írhatók. További információ: Naplócélok. Ebben a cikkben a naplók például a Log Analytics célhelyére kerülnek. Egy meglévő Log Analytics-munkaterület lekérése a Get-AzOperationalInsightsWorkspace használatával. Ha például egy myWorkspace nevű meglévő munkaterületet szeretne lekérni egy myWorkspaces nevű erőforráscsoportban, írja be a következő parancsot:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Ha nincs meglévő munkaterülete, létrehozhat egyet a New-AzOperationalInsightsWorkspace használatával.

A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat. További információ: Naplókategóriák. Engedélyezze az erőforrás-naplózást az NSG-hez a Set-AzDiagnosticSetting paranccsal. Az alábbi példa esemény- és számlálókat is naplóz egy NSG munkaterületén, a korábban lekért NSG és munkaterület azonosítóinak használatával:

Set-AzDiagnosticSetting `
  -ResourceId $Nsg.Id `
  -WorkspaceId $Oms.ResourceId `
  -Enabled $true

Ha mindkettő helyett csak az egyik vagy a másik kategóriához szeretne adatokat naplózni, adja hozzá a lehetőséget az -Categories előző parancshoz, amelyet a NetworkSecurityGroupEvent vagy a NetworkSecurityGroupRuleCounter követ. Ha egy Log Analytics-munkaterületen kívüli célhelyre szeretne bejelentkezni, használja az Azure Storage-fiók vagy az Event Hubs megfelelő paramétereit.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Azure CLI

Futtathatja a következő parancsokat az Azure Cloud Shell, vagy futtathatja az Azure CLI-t a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta. Ha a parancssori felületet a számítógépről futtatja, akkor a 2.0.38-es vagy újabb verzióra van szüksége. Futtassa az --version a számítógépet a telepített verzió megkereséséhez. Ha frissítenie kell, olvassa el az Azure CLI telepítése című témakört. Ha helyileg futtatja a parancssori felületet, a szükséges az loginengedélyekkel rendelkező fiókkal is be kell jelentkeznie az Azure-ba.

Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, létrehozhat egyet az az network nsg create paranccsal.

Kérje le azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást az az network nsg show paranccsal. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Az erőforrásnaplók három céltípusba írhatók. További információ: Naplócélok. Ebben a cikkben a naplók például a Log Analytics célhelyére kerülnek. További információ: Naplókategóriák.

Engedélyezze az erőforrás-naplózást az NSG-hez az az monitor diagnostic-settings create paranccsal. Az alábbi példa az esemény- és számlálókat is naplózza egy myWorkspace nevű meglévő munkaterületre, amely a myWorkspaces nevű erőforráscsoportban található, valamint a korábban lekért NSG azonosítóját:

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Ha nincs meglévő munkaterülete, létrehozhat egyet a Azure Portal vagy a PowerShell használatával. A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat.

Ha csak az egyik vagy a másik kategóriához szeretne adatokat naplózni, távolítsa el azt a kategóriát, amelyhez nem szeretne adatokat naplózni az előző parancsban. Ha egy Log Analytics-munkaterületen kívüli célhelyre szeretne bejelentkezni, használja az Azure Storage-fiók vagy az Event Hubs megfelelő paramétereit.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Naplócélhelyek

A diagnosztikai adatok a következőek lehetnek:

Naplókategóriák

A JSON-formátumú adatok a következő naplókategóriákhoz vannak megírva:

Esemény

Az eseménynapló információkat tartalmaz arról, hogy a rendszer mely NSG-szabályokat alkalmazza a virtuális gépekre a MAC-cím alapján. Az egyes eseményekhez a következő adatok lesznek naplózva. A következő példában a rendszer egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez naplózza az adatokat:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupEvent",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupEvents",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"priority":"[PRIORITY-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"conditions":{
			"protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
			"destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
			"sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
			"destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
			}
		}
}

Szabályszámláló

A szabályszámláló naplója információkat tartalmaz az erőforrásokra alkalmazott egyes szabályokról. A következő példaadatok minden szabály alkalmazásakor naplózva lesznek. A következő példában a rendszer egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez naplózza az adatokat:

{
	"time": "[DATE-TIME]",
	"systemId": "[ID]",
	"category": "NetworkSecurityGroupRuleCounter",
	"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
	"operationName": "NetworkSecurityGroupCounters",
	"properties": {
		"vnetResourceGuid":"[ID]",
		"subnetPrefix":"192.168.1.0/24",
		"macAddress":"00-0D-3A-92-6A-7C",
		"primaryIPv4Address":"192.168.1.4",
		"ruleName":"[SECURITY-RULE-NAME]",
		"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
		"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
		"matchedConnections":125
		}
}

Megjegyzés

A rendszer nem naplózza a kommunikáció forrás IP-címét. Engedélyezheti azonban az NSG-forgalom naplózását egy NSG-hez , amely naplózza az összes szabályszámláló-információt, valamint a kommunikációt kezdeményező forrás IP-címet. A rendszer az NSG-folyamatnapló adatait egy Azure Storage-fiókba fogja írni. Az adatokat az Azure Network Watcher forgalomelemzési funkciójával elemezheti.

Naplók megtekintése és elemzése

Az erőforrásnaplók adatainak megtekintéséről az Azure platformnaplók áttekintése című témakörben olvashat. Ha diagnosztikai adatokat küld a következő címre:

  • Azure Monitor-naplók: A hálózati biztonsági csoport elemzési megoldásával továbbfejlesztett elemzéseket végezhet. A megoldás olyan NSG-szabályokhoz biztosít vizualizációkat, amelyek engedélyezik vagy letiltják a virtuális gépek hálózati adapterének MAC-címenkénti forgalmát.
  • Azure Storage-fiók: Az adatok pt1H.json fájlba vannak írva. A következőket találja:
    • Eseménynapló a következő elérési úton: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • A szabályszámláló naplója a következő elérési úton található: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Következő lépések

  • További információ a tevékenységnaplózásról. A tevékenységnaplózás alapértelmezés szerint engedélyezve van az Azure-beli üzemi modellel létrehozott NSG-k esetében. A tevékenységnaplóban az NSG-ken végrehajtott műveletek meghatározásához keresse meg az alábbi erőforrástípusokat tartalmazó bejegyzéseket:
    • Microsoft. ClassicNetwork/networkSecurityGroups
    • Microsoft. ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft. Network/networkSecurityGroups
    • Microsoft. Network/networkSecurityGroups/securityRules
  • A diagnosztikai adatok naplózásáról és az egyes folyamatok forrás IP-címének megadásáról az NSG-forgalom naplózása című témakörben olvashat.