Mengelola log alur NSG menggunakan Azure CLI

  • Artikel

Pengelogan alur kelompok keamanan jaringan adalah fitur Azure Network Watcher yang memungkinkan Anda mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Untuk informasi selengkapnya tentang pengelogan alur grup keamanan jaringan, lihat Gambaran umum log alur NSG.

Dalam artikel ini, Anda mempelajari cara membuat, mengubah, menonaktifkan, atau menghapus log alur NSG menggunakan Azure CLI. Anda dapat mempelajari cara mengelola log alur NSG menggunakan templat portal Azure, PowerShell, REST API, atau ARM.

Prasyarat

Mendaftarkan penyedia insight

Penyedia Microsoft.Insights harus didaftarkan untuk berhasil mencatat lalu lintas yang mengalir melalui grup keamanan jaringan. Jika Anda tidak yakin apakah penyedia Microsoft.Insights terdaftar, gunakan az provider register untuk mendaftarkannya.

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

Membuat log alur

Buat log alur menggunakan az network watcher flow-log create. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.

# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'

Catatan

  • Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.
  • Jika akun penyimpanan berada dalam grup sumber daya atau langganan yang berbeda, Anda harus menentukan ID lengkap akun penyimpanan alih-alih hanya namanya. Misalnya, jika akun penyimpanan myStorageAccount berada dalam grup sumber daya bernama StorageRG saat grup keamanan jaringan berada di grup sumber daya myResourceGroup, Anda harus menggunakan /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount untuk --storage-account parameter alih-alih myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa

Membuat log alur dan ruang kerja analitik lalu lintas

  1. Buat ruang kerja Analitik Log menggunakan az monitor log-analytics workspace create.

    # Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

  2. Buat log alur menggunakan az network watcher flow-log create. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.

    # Create a version 1 NSG flow log and enable traffic analytics for it.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'

Catatan

  • Akun penyimpanan tidak dapat memiliki aturan jaringan yang membatasi akses jaringan hanya ke layanan Microsoft atau jaringan virtual tertentu.
  • Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.
  • Jika akun penyimpanan berada dalam grup sumber daya atau langganan yang berbeda, ID lengkap akun penyimpanan harus digunakan. Misalnya, jika akun penyimpanan myStorageAccount berada dalam grup sumber daya bernama StorageRG saat grup keamanan jaringan berada di grup sumber daya myResourceGroup, Anda harus menggunakan /subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount untuk --storage-account parameter alih-alih myStorageAccount.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')

# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'

# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'

Mengubah log alur

Anda dapat menggunakan az network watcher flow-log update untuk mengubah properti log alur. Misalnya, Anda dapat mengubah versi log alur atau menonaktifkan analitik lalu lintas.

# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'

Mencantumkan semua log alur di suatu wilayah

Gunakan az network watcher flow-log list untuk mencantumkan semua sumber daya log alur NSG di wilayah tertentu dalam langganan Anda.

# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Menampilkan detail sumber daya log alur

Gunakan az network watcher flow-log show untuk melihat detail sumber daya log alur.

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Mengunduh log aliran

Lokasi penyimpanan log alur ditentukan saat pembuatan. Untuk mengakses dan mengunduh log alur dari akun penyimpanan, Anda dapat menggunakan Azure Storage Explorer. Untuk informasi selengkapnya, lihat Mulai menggunakan Storage Explorer.

File log alur NSG yang disimpan ke akun penyimpanan ikuti jalur ini:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Untuk informasi tentang struktur log alur, lihat Format log log alur NSG.

Menonaktifkan log alur

Untuk menonaktifkan log alur untuk sementara waktu tanpa menghapusnya, gunakan perintah az network watcher flow-log update . Menonaktifkan log alur menghentikan pengelogan alur untuk grup keamanan jaringan terkait. Namun, sumber daya log alur tetap dengan semua pengaturan dan asosiasinya. Anda dapat mengaktifkannya kembali kapan saja untuk melanjutkan pengelogan alur untuk grup keamanan jaringan yang dikonfigurasi.

Catatan

Jika analitik lalu lintas diaktifkan untuk log alur, analitik lalu lintas harus dinonaktifkan sebelum Anda dapat menonaktifkan log alur.

# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'

Menghapus log alur

Untuk menghapus log alur secara permanen, gunakan perintah az network watcher flow-log delete . Menghapus log alur akan menghapus semua pengaturan dan asosiasinya. Untuk memulai pengelogan alur lagi untuk grup keamanan jaringan yang sama, Anda harus membuat log alur baru untuk itu.

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'

Catatan

Menghapus log alur tidak menghapus data log alur dari akun penyimpanan. Data log alur yang disimpan di akun penyimpanan mengikuti kebijakan penyimpanan yang dikonfigurasi.

Langkah berikutnya