Mengelola log alur NSG menggunakan Azure PowerShell

Pengelogan alur kelompok keamanan jaringan adalah fitur Azure Network Watcher yang memungkinkan Anda mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Untuk informasi selengkapnya tentang pengelogan alur grup keamanan jaringan, lihat Gambaran umum log alur NSG.

Dalam artikel ini, Anda mempelajari cara membuat, mengubah, menonaktifkan, atau menghapus log alur NSG menggunakan Azure PowerShell. Anda dapat mempelajari cara mengelola log alur NSG menggunakan templat portal Azure, Azure CLI, REST API, atau ARM.

Prasyarat

• Akun Azure dengan langganan aktif. Buat akun secara gratis.

• Penyedia wawasan. Untuk informasi selengkapnya, lihat Mendaftarkan penyedia Insight.

• Kelompok keamanan jaringan. Jika Anda perlu membuat grup keamanan jaringan, lihat Membuat, mengubah, atau menghapus grup keamanan jaringan.

• Akun penyimpanan Azure. Jika Anda perlu membuat akun penyimpanan, lihat membuat akun penyimpanan menggunakan PowerShell.

• Azure Cloud Shell atau Azure PowerShell diinstal secara lokal.

  • Langkah-langkah dalam artikel ini menjalankan cmdlet Azure PowerShell secara interaktif di Azure Cloud Shell. Untuk menjalankan perintah di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode lalu tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.

  • Anda juga dapat menginstal Azure PowerShell secara lokal untuk menjalankan cmdlet. Artikel ini memerlukan modul Az PowerShell. Untuk informasi selengkapnya, lihat Cara menginstal Azure PowerShell. Untuk menemukan versi yang terinstal, jalankan Get-InstalledModule -Name Az. Jika Anda menjalankan PowerShell secara lokal, masuk ke Azure menggunakan cmdlet Koneksi-AzAccount.

Mendaftarkan penyedia wawasan

Penyedia Microsoft.Insights harus didaftarkan untuk berhasil mencatat lalu lintas yang mengalir melalui grup keamanan jaringan. Jika Anda tidak yakin apakah penyedia Microsoft.Insights terdaftar, gunakan Register-AzResourceProvider untuk mendaftarkannya.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

Membuat log alur

1. Dapatkan properti grup keamanan jaringan yang ingin Anda buat log alurnya dan akun penyimpanan yang ingin Anda gunakan untuk menyimpan log alur yang dibuat menggunakan Get-AzNetworkSecurityGroup dan Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Catatan

   • Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.

2. Buat log alur menggunakan New-AzNetworkWatcherFlowLog. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.

   # Create a version 1 NSG flow log.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
   

Membuat log alur dan ruang kerja analitik lalu lintas

1. Dapatkan properti grup keamanan jaringan yang ingin Anda buat log alurnya dan akun penyimpanan yang ingin Anda gunakan untuk menyimpan log alur yang dibuat menggunakan Get-AzNetworkSecurityGroup dan Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Catatan

   • Akun penyimpanan tidak dapat memiliki aturan jaringan yang membatasi akses jaringan hanya ke layanan Microsoft atau jaringan virtual tertentu.
   • Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.

2. Buat ruang kerja analitik lalu lintas menggunakan New-AzOperationalInsightsWorkspace.

   # Create a traffic analytics workspace and place its properties into a variable.
   $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Buat log alur menggunakan New-AzNetworkWatcherFlowLog. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.

   # Create a version 1 NSG flow log with traffic analytics.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
   

Mengubah log alur

Anda dapat menggunakan Set-AzNetworkWatcherFlowLog untuk mengubah properti log alur. Misalnya, Anda dapat mengubah versi log alur atau menonaktifkan analitik lalu lintas.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -FormatVersion 2 

Mencantumkan semua log alur di suatu wilayah

Gunakan Get-AzNetworkWatcherFlowLog untuk mencantumkan semua sumber daya log alur NSG di wilayah tertentu dalam langganan Anda.

# Get all NSG flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Catatan

Untuk menggunakan parameter dengan Get-AzNetworkWatcherFlowLog cmdlet, Anda memerlukan izin Pembaca tambahan di grup sumber daya NetworkWatcherRG.-Location

Menampilkan detail sumber daya log alur

Gunakan Get-AzNetworkWatcherFlowLog untuk melihat detail sumber daya log alur.

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Catatan

Untuk menggunakan parameter dengan Get-AzNetworkWatcherFlowLog cmdlet, Anda memerlukan izin Pembaca tambahan di grup sumber daya NetworkWatcherRG.-Location

Mengunduh log aliran

Lokasi penyimpanan log alur ditentukan saat pembuatan. Untuk mengakses dan mengunduh log alur dari akun penyimpanan, Anda dapat menggunakan Azure Storage Explorer. Untuk informasi selengkapnya, lihat Mulai menggunakan Storage Explorer.

File log alur NSG yang disimpan ke akun penyimpanan ikuti jalur ini:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Untuk informasi tentang struktur log alur, lihat Format log log alur NSG.

Menonaktifkan log alur

Untuk menonaktifkan log alur untuk sementara tanpa menghapusnya, gunakan Set-AzNetworkWatcherFlowLog dengan -Enabled $false parameter . Menonaktifkan log alur menghentikan pengelogan alur untuk grup keamanan jaringan terkait. Namun, sumber daya log alur tetap dengan semua pengaturan dan asosiasinya. Anda dapat mengaktifkannya kembali kapan saja untuk melanjutkan pengelogan alur untuk grup keamanan jaringan yang dikonfigurasi.

Catatan

Jika analitik lalu lintas diaktifkan untuk log alur, analitik lalu lintas harus dinonaktifkan sebelum Anda dapat menonaktifkan log alur.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Menghapus log alur

Untuk menghapus log alur NSG secara permanen, gunakan perintah Remove-AzNetworkWatcherFlowLog . Menghapus log alur akan menghapus semua pengaturan dan asosiasinya. Untuk memulai pengelogan alur lagi untuk grup keamanan jaringan yang sama, Anda harus membuat log alur baru untuk itu.

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Catatan

Menghapus log alur tidak menghapus data log alur dari akun penyimpanan. Data log alur yang disimpan di akun penyimpanan mengikuti kebijakan penyimpanan yang dikonfigurasi.

Langkah berikutnya

• Untuk mempelajari cara menggunakan kebijakan bawaan Azure untuk mengaudit atau menyebarkan log alur NSG, lihat Mengelola log alur NSG menggunakan Azure Policy.
• Untuk mempelajari analitik lalu lintas, lihat Analitik lalu lintas.