Megosztás a következőn keresztül:


Oktatóanyag: Virtuális gép bejövő és kimenő hálózati forgalmának naplózása az Azure Portal használatával

A hálózati biztonsági csoportok folyamatnaplózása az Azure Network Watcher egyik funkciója, amellyel naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. A hálózati biztonsági csoportok folyamatnaplózásáról további információt az NSG-folyamatnaplók áttekintésében talál.

Ez az oktatóanyag segít az NSG-folyamatnaplók használatával naplózni egy virtuális gép hálózati forgalmát, amely a hálózati adapterhez társított hálózati biztonsági csoporton halad át.

A diagram az oktatóanyag során létrehozott erőforrásokat mutatja be.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Virtuális hálózat létrehozása
  • Virtuális gép létrehozása a hálózati adapterhez társított hálózati biztonsági csoporttal
  • Microsoft.insights-szolgáltató regisztrálása
  • Hálózati biztonsági csoportok folyamatnaplózásának engedélyezése a Network Watcher folyamatnaplóinak használatával
  • Naplózott adatok letöltése
  • Naplózott adatok megtekintése

Előfeltételek

Virtuális hálózat létrehozása

Ebben a szakaszban a virtuális gép egy alhálózatával hozza létre a myVNet virtuális hálózatot.

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a virtuális hálózatokat. Válassza ki a virtuális hálózatokat a keresési eredmények közül.

    Képernyőkép az Azure Portalon található virtuális hálózatok keresésével.

  3. Válassza a +Létrehozás lehetőséget. A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget.
    Írja be a myResourceGroup nevet.
    Válassza az OK gombot.
    Példány részletei
    Név Adja meg a myVNet értéket.
    Régió Válassza az USA keleti régióját.
  4. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása

Ebben a szakaszban a myVM virtuális gépet hozza létre.

  1. A portál tetején található keresőmezőbe írja be a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények közül.

  2. Válassza a + Létrehozás lehetőséget, majd válassza az Azure-beli virtuális gépet.

  3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget.
    Példány részletei
    Virtuális gép neve Adja meg a myVM-et.
    Régió Válassza az USA keleti régióját.
    Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
    Biztonsági típus Válassza a Standard lehetőséget.
    Kép Válassza a Windows Server 2022 Datacenter: Azure Edition – x64 Gen2 lehetőséget.
    Méret Válasszon egy méretet, vagy hagyja meg az alapértelmezett beállítást.
    Rendszergazdai fiók
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.
    Jelszó megerősítése Jelszó újraküldése.
  4. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.

  5. A Hálózatkezelés lapon válassza ki a következő értékeket:

    Beállítás Érték
    Hálózati adapter
    Virtuális hálózat Válassza ki a myVNetet.
    Alhálózat Válassza a mySubnet lehetőséget.
    Nyilvános IP-cím Válassza az (új) myVM-ip lehetőséget.
    Hálózati hálózati biztonsági csoport Válassza az Alapszintű lehetőséget. Ez a beállítás létrehoz egy myVM-nsg nevű hálózati biztonsági csoportot, és társítja azt a myVM virtuális gép hálózati adapteréhez.
    Nyilvános bejövő portok Válassza a Kijelölt portok engedélyezése lehetőséget.
    Bejövő portok kiválasztása Válassza az RDP (3389) lehetőséget.

    Figyelemfelhívás

    Az RDP-port internetes nyitva hagyása csak teszteléshez ajánlott. Éles környezetekben ajánlott korlátozni az RDP-porthoz való hozzáférést egy adott IP-címre vagy IP-címtartományra. Az RDP-porthoz való internetkapcsolatot is letilthatja, és az Azure Bastion használatával biztonságosan csatlakozhat a virtuális géphez az Azure Portalról.

  6. Válassza az Áttekintés + létrehozás lehetőséget.

  7. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

  8. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget a myVM Áttekintés lapjának megnyitásához.

  9. Válassza a Csatlakozás lehetőséget, majd válassza az RDP lehetőséget.

  10. Válassza az RDP-fájl letöltése lehetőséget, és nyissa meg a letöltött fájlt.

  11. Válassza a Csatlakozás lehetőséget, majd adja meg az előző lépésekben létrehozott felhasználónevet és jelszót. Ha a rendszer kéri, fogadja el a tanúsítványt.

Insights-szolgáltató regisztrálása

Az NSG-folyamatnaplózáshoz a Microsoft.insights szolgáltató szükséges. Állapotának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. A portál tetején található keresőmezőbe írja be az előfizetéseket. Válassza ki az Előfizetések lehetőséget a keresési eredmények közül.

  2. Válassza ki azt az Azure-előfizetést, amelyhez engedélyezni szeretné a szolgáltatót az Előfizetésekben.

  3. Válassza ki az erőforrás-szolgáltatókat az előfizetés Beállításai területén.

  4. Adja meg az elemzést a szűrőmezőben.

  5. Ellenőrizze, hogy a megjelenített szolgáltató állapota regisztrálva van-e. Ha az állapot nincs regisztrálva, válassza a Microsoft.Insights szolgáltatót, majd válassza a Regisztráció lehetőséget.

    Képernyőkép a Microsoft Insights-szolgáltató Azure Portalon való regisztrálásáról.

Tárfiók létrehozása

Ebben a szakaszban létrehoz egy tárfiókot a folyamatnaplók tárolásához.

  1. A portál tetején található keresőmezőbe írja be a tárfiókokat. Válassza ki a Storage-fiókokat a keresési eredmények közül.

  2. Válassza a +Létrehozás lehetőséget. A Tárfiók létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapszintű beállítások lapon:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget.
    Példány részletei
    Tárfiók neve Adjon meg egy egyedi nevet. Ez az oktatóanyag a mynwstorageaccount-ot használja.
    Régió Válassza az USA keleti régióját. A tárfióknak ugyanabban a régióban kell lennie, mint a virtuális gépnek és a hálózati biztonsági csoportnak.
    Teljesítmény Válassza a Standard lehetőséget. Az NSG-folyamatnaplók csak a standard szintű tárfiókokat támogatják.
    Redundancia Válassza a helyileg redundáns tárolást (LRS) vagy a tartóssági követelményeknek megfelelő különböző replikációs stratégiát.
  3. Válassza a Véleményezés lapot, vagy kattintson az alul található Véleményezés gombra.

  4. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

NSG-folyamatnapló létrehozása

Ebben a szakaszban létrehoz egy NSG-folyamatnaplót, amely az oktatóanyagban korábban létrehozott tárfiókba van mentve.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények közül.

  2. A Naplók területen válassza a Flow-naplók lehetőséget.

  3. A Network Watcherben | Folyamatnaplók, válassza a + Folyamatnapló létrehozása vagy létrehozása kék gombot.

    Képernyőkép a Flow-naplók oldaláról az Azure Portalon.

  4. Adja meg vagy válassza ki a következő értékeket a folyamatnapló létrehozásakor:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki a naplózni kívánt hálózati biztonsági csoport Azure-előfizetését.
    Hálózati biztonsági csoport Válassza a + Erőforrás kiválasztása lehetőséget.
    A Hálózati biztonsági csoport kiválasztása területen válassza a myVM-nsg lehetőséget. Ezután válassza a Kijelölés megerősítése lehetőséget.
    Folyamatnapló neve Hagyja meg a myVM-nsg-myResourceGroup-flowlog alapértelmezett értékét.
    Példány részletei
    Előfizetés Válassza ki a tárfiók Azure-előfizetését.
    Storage-fiókok Válassza ki az előző lépésekben létrehozott tárfiókot. Ez az oktatóanyag a mynwstorageaccount-ot használja.
    Megőrzés (nap) Adja meg a 0 értéket, hogy a tárfiókban lévő folyamatnaplók adatait örökre megőrizze (amíg nem törli a tárfiókból). Adatmegőrzési szabályzat alkalmazásához adja meg a megőrzési időt napokban. A tárolási díjszabással kapcsolatos információkért lásd az Azure Storage díjszabását.

    Képernyőkép az NSG-folyamatnaplók azure portalon való létrehozásáról.

    Feljegyzés

    Az Azure Portal NSG-folyamatnaplókat hoz létre a NetworkWatcherRG erőforráscsoportban.

  5. Válassza az Áttekintés + létrehozás lehetőséget.

  6. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

  7. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget a létrehozott és a Folyamatnaplók lapon felsorolt folyamatnapló megerősítéséhez.

    Képernyőkép az Azure Portal Flow-naplók oldaláról, amelyen az újonnan létrehozott folyamatnapló látható.

  8. Térjen vissza az RDP-munkamenethez a myVM virtuális géppel.

  9. Nyissa meg a Microsoft Edge-et, és lépjen a lapra www.bing.com.

A folyamatnapló letöltése

Ebben a szakaszban a korábban kiválasztott tárfiókra lép, és letölti az előző szakaszban létrehozott NSG-folyamatnaplót.

  1. A portál tetején található keresőmezőbe írja be a tárfiókokat. Válassza ki a Storage-fiókokat a keresési eredmények közül.

  2. Válassza ki a mynwstorageaccount vagy a korábban létrehozott és kiválasztott tárfiókot a naplók tárolásához.

  3. Az Adattárolás területen válassza a Tárolók lehetőséget.

  4. Válassza ki az insights-logs-networksecuritygroupflowevent tárolót .

  5. A tárolóban navigáljon a mappahierarchiában, amíg el nem jut a PT1H.json fájlhoz. Az NSG-naplófájlok a következő elnevezési konvenciót követő mappahierarchiába vannak írva:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
    
  6. Válassza a három pontot ... a PT1H.json fájltól jobbra, majd válassza a Letöltés lehetőséget.

    Képernyőkép arról, hogyan töltheti le az nsg-folyamatnaplót az Azure Portal tárfióktárolójából.

Feljegyzés

Az Azure Storage Explorerrel elérheti és letöltheti a tárfiók folyamatnaplóit. További információ: A Storage Explorer használatának első lépései.

A folyamatnapló megtekintése

Nyissa meg a letöltött PT1H.json fájlt egy tetszőleges szövegszerkesztővel. Az alábbi példa egy, a letöltött PT1H.json fájlból vett szakasz, amely a szabály DefaultRule_AllowInternetOutBound által feldolgozott folyamatot mutatja be.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

A flowTuples vesszővel tagolt információi a következők:

Példaadatok Az adatok jelentése Magyarázat
1677455097 Időbélyegző Annak időbélyege, amikor a folyamat UNIX EPOCH formátumban történt. Az előző példában a dátum 2023. február 26., 11:44:57 (UTC/GMT) lesz.
10.0.0.4 Forrás IP-címe A forrás IP-cím, ahonnan a forgalom érkezett. A 10.0.0.4 a korábban létrehozott virtuális gép privát IP-címe.
13.107.21.200 Cél IP-cím A cél IP-cím, amelybe a folyamat irányult. A 13.107.21.200 a www.bing.com. Mivel a forgalom az Azure-on kívülre irányul, a biztonsági szabály DefaultRule_AllowInternetOutBound feldolgozni a folyamatot.
49982 Forrásport A forrásport, ahonnan a forgalom érkezett.
443 Célport A célport, ahová a forgalom tartott.
T Protokoll A folyamat protokollja. T: TCP.
O Irány A folyamat iránya. O: Kimenő.
A Döntés A biztonsági szabály által hozott döntés. Válasz: Engedélyezett.
C Csak a 2. folyamatállapot-verzió A folyamat állapota. C: Folyamatos folyamat folytatása.
7 Csak a 2. verziót küldött csomagok A célba küldött TCP-csomagok teljes száma az utolsó frissítés óta.
1158 Csak a 2. verziót küldött bájtok A forrásból a célba küldött TCP-csomagok bájtjainak teljes száma az utolsó frissítés óta. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.
12 Csak a 2. verziót kapott csomagok A célhelyről az utolsó frissítés óta fogadott TCP-csomagok teljes száma.
8143 Csak a 2. verziót kapott bájtok A legutóbbi frissítés óta a céltól kapott TCP-csomagok bájtjainak teljes száma. A csomagbájtok tartalmazzák a csomagfejlécet és a hasznos adatokat.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje a myResourceGroup erőforráscsoportot és a benne lévő összes erőforrást:

  1. Írja be a myResourceGroup nevet a portál tetején lévő keresőmezőbe. Válassza ki a myResourceGroup elemet a keresési eredmények közül.

  2. Válassza az Erőforráscsoport törlése elemet.

  3. Az erőforráscsoport törlése mezőbe írja be a myResourceGroup nevet, majd válassza a Törlés lehetőséget.

  4. Válassza a Törlés lehetőséget az erőforráscsoport és az összes erőforrás törlésének megerősítéséhez.

Feljegyzés

A myVM-nsg-myResourceGroup-flowlog folyamatnapló a NetworkWatcherRG erőforráscsoportban található, de a myVM-nsg hálózati biztonsági csoport törlése után (a myResourceGroup erőforráscsoport törlésével) törlődik.

  • Az NSG-folyamatnaplókkal kapcsolatos további információkért tekintse meg a hálózati biztonsági csoportok folyamatnaplózását.
  • Az NSG-folyamatnaplók létrehozásáról, módosításáról, engedélyezéséről, letiltásáról vagy törléséről az NSG-folyamatnaplók kezelése című témakörben olvashat.
  • A Traffic Analyticsről további információt a Traffic Analytics áttekintésében talál.