Hálózati biztonsági csoport erőforrás-naplózása

  • Cikk

A hálózati biztonsági csoport (NSG) olyan szabályokat tartalmaz, amelyek engedélyezik vagy letiltják a virtuális hálózati alhálózatra, hálózati adapterre vagy mindkettőre vonatkozó forgalmat.

Ha engedélyezi az NSG naplózását, az alábbi típusú erőforrásnapló-adatokat gyűjtheti össze:

  • Esemény: A rendszer naplózza azokat a bejegyzéseket, amelyekhez az NSG-szabályokat a rendszer a MAC-cím alapján alkalmazza a virtuális gépekre.
  • Szabályszámláló: Bejegyzéseket tartalmaz arra vonatkozóan, hogy az egyes NSG-szabályok hányszor lesznek alkalmazva a forgalom engedélyezésére vagy letiltására. Ezeknek a szabályoknak az állapota 300 másodpercenként lesz összegyűjtve.

Az erőforrásnaplók csak az Azure Resource Manager üzembehelyezési modellen keresztül üzembe helyezett NSG-khez érhetők el. A klasszikus üzemi modellel üzembe helyezett NSG-k erőforrásnaplózása nem engedélyezhető. További információ: Az üzembehelyezési modellek ismertetése.

Az erőforrás-naplózás külön engedélyezve van minden olyan NSG-hez, amely diagnosztikai adatokat gyűjt. Ha inkább a tevékenység vagy a működési naplók érdeklik, tekintse meg az Azure-platformnaplók áttekintését. Ha érdekli az NSG-ken áthaladó IP-forgalom, tekintse meg a hálózati biztonsági csoportok folyamatnaplói című témakört.

Naplózás engedélyezése

Az erőforrás-naplózás engedélyezéséhez használhatja az Azure Portal, a Azure PowerShell vagy az Azure CLI-t.

Azure Portal

  1. Jelentkezzen be a Azure Portal.

  2. A Azure Portal tetején található keresőmezőbe írja be a hálózati biztonsági csoportokat. Válassza a Hálózati biztonsági csoportok lehetőséget a keresési eredmények között.

  3. Válassza ki azt az NSG-t, amelyhez engedélyezni szeretné a naplózást.

  4. A Figyelés területen válassza a Diagnosztikai beállítások, majd a Diagnosztikai beállítás hozzáadása lehetőséget:

    Képernyőkép egy NSG diagnosztikai beállításairól, kiemelt Diagnosztikai beállítás hozzáadása lehetőséggel.

  5. A Diagnosztikai beállításban adjon meg egy nevet, például myNsgDiagnostic.

  6. A Naplók területen válassza az összes naplót, vagy válassza ki a naplók egyes kategóriáit. További információ az egyes kategóriákról: Naplókategóriák.

  7. A Cél részletei területen válasszon ki egy vagy több célhelyet:

    • Küldés a Log Analytics-munkaterületre
    • Archiválás tárfiókba
    • Streamelés eseményközpontba
    • Küldés partnermegoldásnak

    További információ: Naplócélok.

  8. Kattintson a Mentés gombra.

  9. Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Azure PowerShell

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja az Azure-ral való kommunikációhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Az ebben a szakaszban található parancsokat az Azure Cloud Shell vagy a PowerShell futtatásával futtathatja a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

Ha a számítógépen futtatja a PowerShellt, szüksége lesz a Azure PowerShell modulra, amely 1.0.0-s vagy újabb verziójú. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, a Connect-AzAccount parancsmagot is futtatnia kell ahhoz, hogy a szükséges engedélyekkel rendelkező fiókkal jelentkezzen be az Azure-ba.

Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, hozzon létre egyet a New-AzNetworkSecurityGroup parancsmaggal.

Kérje le azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást a Get-AzNetworkSecurityGroup parancsmaggal. Tárolja az NSG-t egy változóban későbbi használatra. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Erőforrásnaplókat különböző céltípusokba írhat. További információ: Naplócélok. Ebben a cikkben a naplókat egy Log Analytics-munkaterület célhelyére küldjük. Ha nincs meglévő munkaterülete, létrehozhat egyet a New-AzOperationalInsightsWorkspace parancsmaggal.

Egy meglévő Log Analytics-munkaterület lekérése a Get-AzOperationalInsightsWorkspace parancsmaggal. Ha például egy myWorkspace nevű meglévő munkaterületet szeretne lekérni és tárolni egy myWorkspaces nevű erőforráscsoportban, írja be a következő parancsot:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

A naplózásnak két kategóriája van, amelyeket engedélyezhet. További információ: Naplókategóriák. Engedélyezze az erőforrás-naplózást az NSG számára a New-AzDiagnosticSetting parancsmaggal. Az alábbi példa esemény- és számlálókat is naplóz egy NSG munkaterületén. Az előző parancsokkal kapott NSG-hez és munkaterülethez tartozó azonosítókat használja:

New-AzDiagnosticSetting `
   -Name myDiagnosticSetting `
   -ResourceId $Nsg.Id `
   -WorkspaceId $Oms.ResourceId

Ha egy Log Analytics-munkaterülethez hasonló helyre szeretne bejelentkezni, használja a parancs megfelelő paraméterét. További információ: Azure-erőforrásnaplók.

További információ a beállításokról: New-AzDiagnosticSetting.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Azure CLI

Az ebben a szakaszban található parancsokat az Azure Cloud Shell vagy az Azure CLI futtatásával futtathatja a számítógépről. Az Azure Cloud Shell egy ingyenes interaktív felület. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

Ha a parancssori felületet a számítógépről futtatja, akkor a 2.0.38-es vagy újabb verzióra van szüksége. Futtassa az --version a számítógépet a telepített verzió megkereséséhez. Ha frissítenie kell, olvassa el az Azure CLI telepítése című témakört. Ha helyileg futtatja a parancssori felületet, az Azure-ba való bejelentkezéshez is futnia az login kell egy olyan fiókkal, amely rendelkezik a szükséges engedélyekkel.

Az erőforrás-naplózás engedélyezéséhez szüksége van egy meglévő NSG azonosítójára. Ha nem rendelkezik meglévő NSG-vel, hozzon létre egyet az az network nsg create paranccsal.

Szerezze be és tárolja azt a hálózati biztonsági csoportot, amelyhez engedélyezni szeretné az erőforrás-naplózást az az network nsg show paranccsal. Ha például egy myResourceGroup nevű erőforráscsoportban található myNsg nevű NSG-t szeretne lekérni, írja be a következő parancsot:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Erőforrásnaplókat különböző céltípusokba írhat. További információ: Naplócélok. Ebben a cikkben például egy Log Analytics-munkaterület célhelyére küldjük a naplókat. További információ: Naplókategóriák.

Engedélyezze az erőforrás-naplózást az NSG-hez az az monitor diagnostic-settings create paranccsal. Az alábbi példa esemény- és számlálókat is naplóz egy myWorkspace nevű meglévő munkaterületre, amely a myWorkspaces nevű erőforráscsoportban található. Az előző paranccsal mentett NSG azonosítóját használja.

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Ha nincs meglévő munkaterülete, hozzon létre egyet a Azure Portal vagy Azure PowerShell használatával. A naplózásnak két kategóriája van, amelyekhez engedélyezheti a naplókat.

Ha csak az egyik vagy a másik kategóriához szeretne adatokat naplózni, távolítsa el azt a kategóriát, amelyhez nem szeretne adatokat naplózni az előző parancsban. Ha a Log Analytics-munkaterületek céljától eltérő helyre szeretne bejelentkezni, használjon egy megfelelő paramétert. További információ: Azure-erőforrásnaplók.

Naplók megtekintése és elemzése. További információ: Naplók megtekintése és elemzése.

Naplócélhelyek

Diagnosztikai adatokat a következő lehetőségek közül választhat:

Naplókategóriák

A JSON-formátumú adatok a következő naplókategóriákhoz vannak megírva: esemény- és szabályszámláló.

Esemény

Az eseménynapló információkat tartalmaz arról, hogy mely NSG-szabályokat alkalmazza a rendszer a virtuális gépekre a MAC-cím alapján. A rendszer az alábbi adatokat naplózza az egyes eseményekhez. A következő példában az adatok egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez lesznek naplózva:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

Szabályszámláló

A szabályszámláló naplója információkat tartalmaz az erőforrásokra alkalmazott egyes szabályokról. A rendszer minden szabály alkalmazásakor naplózza az alábbi példaadatokat. A következő példában az adatok egy 192.168.1.4 IP-címmel és 00-0D-3A-92-6A-7C MAC-címmel rendelkező virtuális géphez lesznek naplózva:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

Megjegyzés

A kommunikáció forrás IP-címe nincs naplózva. Engedélyezheti az NSG-forgalom naplózását egy NSG-hez , amely naplózza a szabályszámláló összes információját és a kommunikációt kezdeményező forrás IP-címet. A rendszer az NSG-folyamatnapló adatait egy Azure Storage-fiókba fogja írni. Az adatokat az Azure Network Watcher forgalomelemzési funkciójával elemezheti.

Naplók megtekintése és elemzése

Ha diagnosztikai adatokat küld a következő címre:

  • Azure Monitor-naplók: A hálózati biztonsági csoport elemzési megoldásával továbbfejlesztett elemzéseket végezhet. A megoldás vizualizációkat biztosít olyan NSG-szabályokhoz, amelyek engedélyezik vagy letiltják a virtuális gépek hálózati adapterének MAC-címenkénti forgalmát.

  • Azure Storage-fiók: Az adatok pt1H.json fájlba vannak írva. A következőt találja:

    • Az alábbi útvonalon található eseménynapló: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • A következő elérési úton található szabályszámláló naplója: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Az erőforrásnaplók adatainak megtekintéséről az Azure-platformnaplók áttekintése című témakörben olvashat.

Következő lépések

  • További információ a tevékenységnaplózásról: Az Azure-platformnaplók áttekintése.

    A tevékenységnaplózás alapértelmezés szerint engedélyezve van az Azure-beli üzemi modellel létrehozott NSG-k esetében. Annak megállapításához, hogy mely műveletek fejeződtek be az NSG-ken a tevékenységnaplóban, keresse meg az alábbi erőforrástípusokat tartalmazó bejegyzéseket:

    • Microsoft.ClassicNetwork/networkSecurityGroups
    • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft.Network/networkSecurityGroups
    • Microsoft.Network/networkSecurityGroups/securityRules

  • A diagnosztikai adatok naplózásához lásd: Hálózati forgalom naplózása egy virtuális gépről a Azure Portal használatával.