Tutorial: Mencatat lalu lintas jaringan ke dan dari komputer virtual menggunakan portal Microsoft Azure

Pengelogan alur kelompok keamanan jaringan adalah fitur Azure Network Watcher yang memungkinkan Anda mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Untuk informasi selengkapnya tentang pengelogan alur grup keamanan jaringan, lihat Gambaran umum log alur NSG.

Tutorial ini membantu Anda menggunakan log alur NSG untuk mencatat lalu lintas jaringan komputer virtual yang mengalir melalui grup keamanan jaringan yang terkait dengan antarmuka jaringannya.

Diagram menunjukkan sumber daya yang dibuat selama tutorial.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat jaringan virtual
  • Membuat komputer virtual dengan kelompok keamanan jaringan yang terkait dengan antarmuka jaringannya
  • Mendaftarkan penyedia Microsoft.insights
  • Mengaktifkan pengelogan alur untuk grup keamanan jaringan menggunakan log alur Network Watcher
  • Unduh data yang dicatat
  • Menampilkan data yang dicatat

Prasyarat

  • Akun Azure dengan langganan aktif. Jika Anda tidak memilikinya, buat akun gratis sebelum memulai.

Membuat jaringan virtual

Di bagian ini, Anda membuat jaringan virtual myVNet dengan satu subnet untuk komputer virtual.

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan jaringan virtual. Pilih Jaringan virtual dari hasil pencarian.

    Cuplikan layar memperlihatkan pencarian jaringan virtual di portal Azure.

  3. Pilih + Buat. Di Buat jaringan virtual, masukkan atau pilih nilai berikut di tab Dasar :

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih Buat baru.
    Masukkan myResourceGroup di Nama.
    Pilih OK.
    Detail instans
    Nama Masukkan myVNet.
    Wilayah Pilih (AS) AS Timur.
  4. Pilih Tinjau + buat.

  5. Tinjau pengaturan, lalu pilih Buat.

Membuat mesin virtual

Di bagian ini, Anda membuat komputer virtual myVM .

  1. Di kotak pencarian di bagian atas portal, masukkan komputer virtual. Pilih Komputer virtual dari hasil pencarian.

  2. Pilih + Buat lalu pilih komputer virtual Azure.

  3. Di Buat komputer virtual, ketik atau pilih nilai berikut di tab Dasar:

    Pengaturan Nilai
    Detail Proyek
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih myResourceGroup.
    Detail instans
    Nama komputer virtual Masukkan myVM.
    Wilayah Pilih (AS) AS Timur.
    Opsi Ketersediaan Pilih Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Pilih Standar.
    Gambar Pilih Pusat Data Windows Server 2022: Azure Edition - x64 Gen2.
    Ukuran Pilih ukuran atau biarkan pengaturan default.
    Akun administrator
    Nama Pengguna Masukkan nama pengguna.
    Kata sandi Masukkan kata sandi.
    Mengonfirmasikan kata sandi Masukkan ulang kata sandi.
  4. Pilih tab Jaringan atau pilih Berikutnya: Disk, lalu Berikutnya: Jaringan.

  5. Di tab Jaringan, pilih nilai berikut ini:

    Pengaturan Nilai
    Antarmuka jaringan
    Jaringan virtual Pilih myVNet.
    Subnet Pilih mySubnet.
    IP Publik Pilih (baru) myVM-ip.
    kelompok keamanan jaringan NIC Pilih Dasar. Pengaturan ini membuat kelompok keamanan jaringan bernama myVM-nsg dan mengaitkannya dengan antarmuka jaringan komputer virtual myVM .
    Port masuk publik Pilih Izinkan port terpilih.
    Pilih port masuk Pilih RDP (3389).

    Perhatian

    Membiarkan port RDP terbuka ke internet hanya disarankan untuk pengujian. Untuk lingkungan produksi, disarankan untuk membatasi akses ke port RDP ke alamat IP atau rentang alamat IP tertentu. Anda juga dapat memblokir akses internet ke port RDP dan menggunakan Azure Bastion untuk terhubung dengan aman ke komputer virtual Anda dari portal Azure.

  6. Pilih Tinjau + buat.

  7. Tinjau pengaturan, lalu pilih Buat.

  8. Setelah penyebaran selesai, pilih Buka sumber daya untuk masuk ke halaman Gambaran Umum myVM.

  9. Pilih Koneksi lalu pilih RDP.

  10. Pilih Unduh File RDP dan buka file yang diunduh.

  11. Pilih Koneksi lalu masukkan nama pengguna dan kata sandi yang Anda buat di langkah-langkah sebelumnya. Terima sertifikat jika diminta.

Mendaftarkan penyedia insight

Pengelogan alur NSG memerlukan penyedia Microsoft.Insights. Untuk memeriksa statusnya, ikuti langkah-langkah berikut:

  1. Di kotak pencarian di bagian atas portal, masukkan langganan. Pilih Langganan di hasil pencarian.

  2. Pilih langganan Azure yang ingin Anda aktifkan penyedianya di Langganan.

  3. Pilih Penyedia sumber daya di bawah Pengaturan langganan Anda.

  4. Masukkan wawasan dalam kotak filter.

  5. Konfirmasikan status penyedia yang ditampilkan adalah Terdaftar. Jika statusnya NotRegistered, pilih penyedia Microsoft.Insights lalu pilih Daftar.

    Cuplikan layar mendaftarkan penyedia Microsoft Insights di portal Azure.

Buat akun penyimpanan

Di bagian ini, Anda membuat akun penyimpanan untuk menggunakannya untuk menyimpan log alur.

  1. Di kotak pencarian di bagian atas portal, masukkan akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih + Buat. Di Buat akun penyimpanan, masukkan atau pilih nilai berikut ini di tab Dasar :

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih myResourceGroup.
    Detail instans
    Nama akun penyimpanan Masukkan nama yang unik. Tutorial ini menggunakan mynwstorageaccount.
    Wilayah Pilih (AS) AS Timur. Akun penyimpanan harus berada di wilayah yang sama dengan komputer virtual dan grup keamanan jaringannya.
    Performa Pilih Standar. Log alur NSG hanya mendukung akun penyimpanan tingkat Standar.
    Redundansi geografis Pilih Penyimpanan redundan lokal (LRS) atau strategi replikasi berbeda yang sesuai dengan persyaratan durabilitas Anda.
  3. Pilih tab Tinjau atau pilih tombol Tinjau di bagian bawah.

  4. Tinjau pengaturan, lalu pilih Buat.

Membuat log alur NSG

Di bagian ini, Anda membuat log alur NSG yang disimpan ke akun penyimpanan yang dibuat sebelumnya dalam tutorial.

  1. Di kotak pencarian di bagian atas portal, masukkan pengamat jaringan. Pilih Network Watcher di hasil pencarian.

  2. Di bawah Log, pilih Log alur.

  3. Di Network Watcher | Log alur, pilih + Tombol biru buat atau Buat log alur.

    Cuplikan layar halaman Log alur di portal Azure.

  4. Masukkan atau pilih nilai berikut di Membuat log alur:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure dari grup keamanan jaringan yang ingin Anda catat.
    Grup keamanan jaringan Pilih + Pilih sumber daya.
    Di Pilih grup keamanan jaringan, pilih myVM-nsg. Lalu, pilih Konfirmasi pilihan.
    Nama Log Alur Biarkan default myVM-nsg-myResourceGroup-flowlog.
    Detail instans
    Langganan Pilih langganan Azure dari akun penyimpanan Anda.
    Akun Penyimpanan Pilih akun penyimpanan yang Anda buat di langkah sebelumnya. Tutorial ini menggunakan mynwstorageaccount.
    Retensi (hari) Masukkan 0 untuk menyimpan data log alur di akun penyimpanan selamanya (hingga Anda menghapusnya dari akun penyimpanan). Untuk menerapkan kebijakan penyimpanan, masukkan waktu retensi dalam hari. Untuk informasi tentang harga penyimpanan, lihat Harga Azure Storage.

    Cuplikan layar halaman buat log alur NSG di portal Azure.

    Catatan

    portal Azure membuat log alur NSG di grup sumber daya NetworkWatcherRG.

  5. Pilih Tinjau + buat.

  6. Tinjau pengaturan, lalu pilih Buat.

  7. Setelah penyebaran selesai, pilih Buka sumber daya untuk mengonfirmasi log alur yang dibuat dan tercantum di halaman Log alur.

    Cuplikan layar halaman Log alur di portal Azure memperlihatkan log alur yang baru dibuat.

  8. Kembali ke sesi RDP Anda dengan komputer virtual myVM .

  9. Buka Microsoft Edge dan buka www.bing.com.

Mengunduh log alur

Di bagian ini, Anda masuk ke akun penyimpanan yang sebelumnya Anda pilih dan unduh log alur NSG yang dibuat di bagian sebelumnya.

  1. Di kotak pencarian di bagian atas portal, masukkan akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

  2. Pilih mynwstorageaccount atau akun penyimpanan yang sebelumnya Anda buat dan pilih untuk menyimpan log.

  3. Di bawah Penyimpanan data, pilih Kontainer.

  4. Pilih kontainer insights-logs-networksecuritygroupflowevent.

  5. Dalam kontainer, navigasikan hierarki folder hingga Anda masuk ke PT1H.json file. File log NSG ditulis ke hierarki folder yang mengikuti konvensi penamaan berikut:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
    
  6. Pilih elipsis ... di sebelah kanan file PT1H.json, lalu pilih Unduh.

    Cuplikan layar memperlihatkan cara mengunduh log alur nsg dari kontainer akun penyimpanan di portal Azure.

Catatan

Anda dapat menggunakan Azure Storage Explorer untuk mengakses dan mengunduh log alur dari akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Mulai menggunakan Storage Explorer.

Menampilkan log alur

Buka file yang diunduh PT1H.json menggunakan editor teks pilihan Anda. Contoh berikut adalah bagian yang diambil dari file yang diunduh PT1H.json , yang menunjukkan alur yang diproses oleh aturan DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Informasi yang dipisahkan koma untuk flowTuples adalah sebagai berikut:

Contoh data Apa yang data wakili Penjelasan
1677455097 Stempel waktu Stempel waktu ketika aliran terjadi dalam format UNIX EPOCH. Dalam contoh sebelumnya, tanggal dikonversi ke 26 Februari 2023 11:44:57 PM UTC/GMT.
10.0.0.4 Alamat IP sumber Alamat IP sumber asal aliran tersebut. 10.0.0.4 adalah alamat IP privat VM yang sebelumnya Anda buat.
13.107.21.200 Alamat IP tujuan Alamat IP tujuan tempat alur ditujukan. 13.107.21.200 adalah alamat IP .www.bing.com Karena lalu lintas ditujukan di luar Azure, aturan keamanan DefaultRule_AllowInternetOutBound memproses alur.
49982 Port Sumber Port sumber asal aliran tersebut.
443 Port tujuan Alamat IP tujuan yang dituju aliran.
T Protokol Protokol alur. T: TCP.
O Arah Arah alur. O: Keluar.
A Keputusan Keputusan yang dibuat oleh aturan keamanan. A: Diizinkan.
C Status Alur hanya Versi 2 Status alur. C: Melanjutkan alur yang sedang berlangsung.
7 Paket dikirim hanya Versi 2 Jumlah total paket TCP yang dikirim ke tujuan sejak pembaruan terakhir.
1158 Byte dikirim hanya Versi 2 Jumlah total byte paket TCP yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.
12 Paket hanya menerima Versi 2 Jumlah total paket TCP yang diterima dari tujuan sejak pembaruan terakhir.
8143 Byte hanya diterima Versi 2 Jumlah total byte paket TCP yang diterima dari tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.

Membersihkan sumber daya

Jika tidak lagi diperlukan, hapus grup sumber daya myResourceGroup dan semua sumber daya yang dikandungnya:

  1. Masukkan myResourceGroup di kotak pencarian di bagian atas portal. Pilih myResourceGroup dari hasil pencarian.

  2. Pilih Hapus grup sumber daya.

  3. Di Hapus grup sumber daya, masukkan myResourceGroup, lalu pilih Hapus.

  4. Pilih Hapus untuk mengonfirmasi penghapusan grup sumber daya dan semua sumber dayanya.

Catatan

Log alur alur myVM-nsg-myResourceGroup-flowlog ada di grup sumber daya NetworkWatcherRG , tetapi akan dihapus setelah menghapus grup keamanan jaringan myVM-nsg (dengan menghapus grup sumber daya myResourceGroup ).

  • Untuk mempelajari selengkapnya tentang log alur NSG, lihat Pengelogan alur untuk grup keamanan jaringan.
  • Untuk mempelajari cara membuat, mengubah, mengaktifkan, menonaktifkan, atau menghapus log alur NSG, lihat Mengelola log alur NSG.
  • Untuk mempelajari analitik Lalu Lintas, lihat Gambaran umum analitik lalu lintas.