Mulai cepat: Mengonfigurasi log alur NSG Azure Network Watcher menggunakan file Bicep

Dalam mulai cepat ini, Anda mempelajari cara mengaktifkan log alur NSG menggunakan file Bicep.

Bicep adalah bahasa pemrogram khusus domain (DSL) yang menggunakan sintaks deklaratif untuk menyebarkan sumber daya Azure. Bicep menyediakan sintaks ringkas, keamanan jenis yang andal, dan dukungan untuk penggunaan kembali kode. Bicep menawarkan pengalaman penulisan terbaik untuk solusi infrastructure-as-code di Azure.

Prasyarat

• Akun Azure dengan langganan aktif. Jika Anda tidak memilikinya, buat akun gratis sebelum memulai.

• Untuk menyebarkan file Bicep, azure CLI atau PowerShell terinstal.

  CLI

  1. Instal Azure CLI secara lokal untuk menjalankan perintah.

  2. Masuk ke Azure menggunakan perintah az login .

  PowerShell

  1. Instal Azure PowerShell secara lokal untuk menjalankan cmdlet.

  2. Masuk ke Azure menggunakan cmdlet Koneksi-AzAccount.

Tinjau file Bicep

Mulai cepat ini menggunakan templat Buat log alur NSG Bicep dari Templat Mulai Cepat Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Sumber daya berikut ini ditentukan di file Bicep:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

Kode yang disorot dalam sampel sebelumnya menunjukkan definisi sumber daya log alur NSG.

Menerapkan file Bicep

Mulai cepat ini mengasumsikan bahwa Anda memiliki grup keamanan jaringan tempat Anda dapat mengaktifkan pengelogan alur.

1. Simpan file Bicep sebagai main.bicep ke penyimpanan lokal komputer Anda.

2. Sebarkan file Bicep menggunakan Azure CLI atau Azure PowerShell.

   CLI

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Anda akan diminta untuk memasukkan ID sumber daya dari grup keamanan jaringan yang ada. Sintaks ID sumber daya kelompok keamanan jaringan adalah:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Setelah penyebaran selesai, Anda akan melihat pesan yang menunjukkan penyebaran berhasil.

Memvalidasi penyebaran

Anda memiliki dua opsi untuk melihat apakah penerapan Anda berhasil:

• Konsol Anda menunjukkan ProvisioningState sebagai Succeeded.
• Pergi ke Halaman portal log aliran NSG untuk mengonfirmasi perubahan Anda.

Jika ada masalah dengan penyebaran, lihat Memecahkan masalah kesalahan umum penyebaran Azure dengan Azure Resource Manager.

Membersihkan sumber daya

Anda dapat menghapus sumber daya Azure menggunakan mode penyebaran lengkap. Untuk menghapus sumber daya log aliran, tentukan penerapan dalam mode lengkap tanpa menyertakan sumber daya yang ingin Anda hapus. Baca lebih lanjut tentang mode penyebaran lengkap.

Anda juga dapat menonaktifkan log aliran NSG di portal Microsoft Azure:

1. Masuk ke portal Azure.

2. Di kotak pencarian di bagian atas portal, masukkan pengamat jaringan. Pilih Network Watcher dari hasil pencarian.

3. Di bawah Log, pilih Log alur.

4. Dalam daftar log alur, pilih log alur yang ingin Anda nonaktifkan.

5. Pilih Nonaktifkan.

Konten terkait

Untuk mempelajari cara memvisualisasikan data log alur NSG Anda, lihat:

• Memvisualisasikan log alur NSG menggunakan Power BI.
• Visualisasikan log alur NSG menggunakan alat sumber terbuka.
• Analitik Lalu Lintas.