Membaca log alur

Dalam artikel ini, Anda mempelajari cara membaca sebagian log alur Azure Network Watcher secara selektif menggunakan PowerShell tanpa harus mengurai seluruh log. Log alur disimpan di akun penyimpanan dalam blob blok. Setiap log adalah blob blok terpisah yang dihasilkan setiap jam dan diperbarui dengan data terbaru setiap beberapa menit. Dengan menggunakan skrip yang disediakan dalam artikel ini, Anda dapat membaca data terbaru dari log alur tanpa harus mengunduh seluruh log.

Konsep yang dibahas dalam artikel ini tidak terbatas pada PowerShell dan berlaku untuk semua bahasa yang didukung oleh API Azure Storage.


  • Akun Azure dengan langganan aktif. Buat akun secara gratis.

  • PowerShell terinstal pada komputer Anda. Untuk informasi selengkapnya, lihat Menginstal PowerShell di Windows, Linux, dan macOS. Artikel ini memerlukan modul Az PowerShell. Untuk informasi selengkapnya, lihat Cara menginstal Azure PowerShell. Untuk menemukan versi yang terinstal, jalankan Get-Module -ListAvailable Az.

  • Log alur di suatu wilayah atau lebih. Untuk informasi selengkapnya, lihat Membuat log alur grup keamanan jaringan atau Membuat log alur jaringan virtual.

  • Izin RBAC yang diperlukan untuk langganan log alur dan akun penyimpanan. Untuk informasi selengkapnya, lihat Izin RBAC Network Watcher.

Mengambil daftar blokir

Skrip PowerShell berikut menyiapkan variabel yang diperlukan untuk mengkueri blob log alur grup keamanan jaringan dan mencantumkan blok dalam blob blok CloudBlockBlob . Perbarui skrip untuk berisi nilai yang valid untuk lingkungan Anda, khususnya "yourSubscriptionId", "FLOWLOGSVALIDATIONWESTCENTRALUS", "V2VALIDATIONVM-NSG", "yourStorageAccountName", "ml-rg", "000D3AF87856", "11/11/2018 03:00". Misalnya, yourSubscriptionId harus diganti dengan ID langganan Anda.

function Get-NSGFlowLogCloudBlockBlob {
    param (
        [string] [Parameter(Mandatory=$true)] $subscriptionId,
        [string] [Parameter(Mandatory=$true)] $NSGResourceGroupName,
        [string] [Parameter(Mandatory=$true)] $NSGName,
        [string] [Parameter(Mandatory=$true)] $storageAccountName,
        [string] [Parameter(Mandatory=$true)] $storageAccountResourceGroup,
        [string] [Parameter(Mandatory=$true)] $macAddress,
        [datetime] [Parameter(Mandatory=$true)] $logTime

    process {
        # Retrieve the primary storage account key to access the network security group logs
        $StorageAccountKey = (Get-AzStorageAccountKey -ResourceGroupName $storageAccountResourceGroup -Name $storageAccountName).Value[0]

        # Setup a new storage context to be used to query the logs
        $ctx = New-AzStorageContext -StorageAccountName $StorageAccountName -StorageAccountKey $StorageAccountKey

        # Container name used by network security group flow logs
        $ContainerName = "insights-logs-networksecuritygroupflowevent"

        # Name of the blob that contains the network security group flow log
        $BlobName = "resourceId=/SUBSCRIPTIONS/${subscriptionId}/RESOURCEGROUPS/${NSGResourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/${NSGName}/y=$($logTime.Year)/m=$(($logTime).ToString("MM"))/d=$(($logTime).ToString("dd"))/h=$(($logTime).ToString("HH"))/m=00/macAddress=$($macAddress)/PT1H.json"

        # Gets the storage blog
        $Blob = Get-AzStorageBlob -Context $ctx -Container $ContainerName -Blob $BlobName

        # Gets the block blog of type 'Microsoft.Azure.Storage.Blob.CloudBlob' from the storage blob
        $CloudBlockBlob = [Microsoft.Azure.Storage.Blob.CloudBlockBlob] $Blob.ICloudBlob

        #Return the Cloud Block Blob

function Get-NSGFlowLogBlockList  {
    param (
        [Microsoft.Azure.Storage.Blob.CloudBlockBlob] [Parameter(Mandatory=$true)] $CloudBlockBlob
    process {
        # Stores the block list in a variable from the block blob.
        $blockList = $CloudBlockBlob.DownloadBlockListAsync()

        # Return the Block List

$CloudBlockBlob = Get-NSGFlowLogCloudBlockBlob -subscriptionId "yourSubscriptionId" -NSGResourceGroupName "FLOWLOGSVALIDATIONWESTCENTRALUS" -NSGName "V2VALIDATIONVM-NSG" -storageAccountName "yourStorageAccountName" -storageAccountResourceGroup "ml-rg" -macAddress "000D3AF87856" -logTime "11/11/2018 03:00" 

$blockList = Get-NSGFlowLogBlockList -CloudBlockBlob $CloudBlockBlob

Variabel $blockList mengembalikan daftar blok dalam blob. Setiap blob blok berisi setidaknya dua blok. Blok pertama memiliki panjang 12 byte dan berisi tanda kurung buka log JSON. Blok lainnya adalah tanda kurung siku penutup dan memiliki panjang 2 byte. Contoh log berikut memiliki tujuh entri individual di dalamnya. Semua entri baru dalam log ditambahkan ke akhir tepat sebelum blok akhir.

Name                                         Length Committed
----                                         ------ ---------
ZDk5MTk5N2FkNGE0MmY5MTk5ZWViYjA0YmZhODRhYzY=     12      True
NzQxNDA5MTRhNDUzMGI2M2Y1MDMyOWZlN2QwNDZiYzQ=   2685      True
ODdjM2UyMWY3NzFhZTU3MmVlMmU5MDNlOWEwNWE3YWY=   2586      True
ZDU2MjA3OGQ2ZDU3MjczMWQ4MTRmYWNhYjAzOGJkMTg=   2688      True
ZGVkYTc4MzQzNjEyMzlmZWE5MmRiNjc1OWE5OTc0OTQ=   2676      True
ZmY2MjUzYTIwYWIyOGU1OTA2ZDY1OWYzNmY2NmU4ZTY=   2777      True
Mzk1YzQwM2U0ZWY1ZDRhOWFlMTNhYjQ3OGVhYmUzNjk=   2675      True
ZjAyZTliYWE3OTI1YWZmYjFmMWI0MjJhNzMxZTI4MDM=      2      True

Membaca blob blok

Di bagian ini, Anda membaca $blocklist variabel untuk mengambil data. Dalam contoh berikut, kami melakukan iterasi melalui daftar blokir untuk membaca byte dari setiap blok dan menyimpannya dalam array. Gunakan metode DownloadRangeToByteArray untuk mengambil data.

function Get-NSGFlowLogReadBlock  {
    param (
        [System.Array] [Parameter(Mandatory=$true)] $blockList,
        [Microsoft.Azure.Storage.Blob.CloudBlockBlob] [Parameter(Mandatory=$true)] $CloudBlockBlob

    # Set the size of the byte array to the largest block
    $maxvalue = ($blocklist | measure Length -Maximum).Maximum

    # Create an array to store values in
    $valuearray = @()

    # Define the starting index to track the current block being read
    $index = 0

    # Loop through each block in the block list
    for($i=0; $i -lt $blocklist.count; $i++)
        # Create a byte array object to story the bytes from the block
        $downloadArray = New-Object -TypeName byte[] -ArgumentList $maxvalue

        # Download the data into the ByteArray, starting with the current index, for the number of bytes in the current block. Index is increased by 3 when reading to remove preceding comma.
        $CloudBlockBlob.DownloadRangeToByteArray($downloadArray,0,$index, $($blockList[$i].Length)) | Out-Null

        # Increment the index by adding the current block length to the previous index
        $index = $index + $blockList[$i].Length

        # Retrieve the string from the byte array

        $value = [System.Text.Encoding]::ASCII.GetString($downloadArray)

        # Add the log entry to the value array
        $valuearray += $value
    #Return the Array
$valuearray = Get-NSGFlowLogReadBlock -blockList $blockList -CloudBlockBlob $CloudBlockBlob

$valuearray Array sekarang berisi nilai string dari setiap blok. Untuk memverifikasi entri, dapatkan nilai kedua hingga terakhir dari array dengan menjalankan $valuearray[$valuearray.Length-2]. Anda tidak memerlukan nilai terakhir karena ini adalah tanda kurung siku penutup.

Hasil dari nilai ini ditunjukkan dalam contoh berikut:

	"records": [
			"time": "2017-06-16T20:59:43.7340000Z",
			"systemId": "abcdef01-2345-6789-0abc-def012345678",
			"category": "NetworkSecurityGroupFlowEvent",
			"operationName": "NetworkSecurityGroupFlowEvents",
			"properties": {
				"Version": 1,
				"flows": [
						"rule": "DefaultRule_AllowInternetOutBound",
						"flows": [
								"mac": "000D3A18077E",
								"flowTuples": [
						"rule": "DefaultRule_DenyAllInBound",
						"flows": []
						"rule": "UserRule_ssh-rule",
						"flows": []
						"rule": "UserRule_web-rule",
						"flows": [
								"mac": "000D3A18077E",
								"flowTuples": [