Bagikan melalui


Log aliran jaringan virtual

Log alur jaringan virtual adalah fitur Azure Network Watcher. Anda dapat menggunakannya untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual.

Aliran data dari log aliran jaringan virtual dikirim ke Azure Storage. Dari sana, Anda dapat mengakses data dan mengekspornya ke alat visualisasi, solusi manajemen informasi keamanan dan peristiwa (SIEM), atau sistem deteksi intrusi (IDS). Log alur jaringan virtual mengatasi beberapa batasan log alur grup keamanan jaringan.

Mengapa menggunakan log alur?

Sangat penting untuk memantau, mengelola, dan mengetahui jaringan Anda sehingga Anda dapat melindungi dan mengoptimalkannya. Anda mungkin perlu mengetahui status jaringan saat ini, siapa yang terhubung, dan dari mana pengguna terhubung. Anda mungkin juga perlu mengetahui port mana yang terbuka untuk internet, perilaku jaringan apa yang diharapkan, perilaku jaringan apa yang tidak teratur, dan kapan peningkatan lalu lintas yang tiba-tiba terjadi.

Log alur adalah sumber kebenaran untuk semua aktivitas jaringan di lingkungan cloud Anda. Baik Anda berada dalam startup yang mencoba mengoptimalkan sumber daya atau perusahaan besar yang mencoba mendeteksi gangguan, log alur dapat membantu. Anda dapat menggunakannya untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi.

Kasus penggunaan umum

Pemantauan jaringan

  • Identifikasi lalu lintas yang tidak diketahui atau tidak diinginkan.
  • Pantau tingkat lalu lintas dan konsumsi bandwidth.
  • Memfilter log alur menurut IP dan port untuk memahami perilaku aplikasi.
  • Ekspor log alur ke alat analitik dan visualisasi pilihan Anda untuk menyiapkan dasbor pemantauan.

Pemantauan dan pengoptimalan penggunaan

  • Identifikasi pembicara teratas di jaringan Anda.
  • Gabungkan dengan data GeoIP untuk mengidentifikasi lalu lintas wilayah.
  • Pahami pertumbuhan lalu lintas untuk perkiraan kapasitas.
  • Gunakan data untuk menghapus aturan lalu lintas yang terlalu ketat.

Kepatuhan

  • Gunakan data alur untuk memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan.

Forensik jaringan dan analisis keamanan

  • Menganalisis alur jaringan dari IP dan antarmuka jaringan yang disusupi.
  • Ekspor log alur ke alat SIEM atau IDS apa pun yang Anda pilih.

Log alur jaringan virtual dibandingkan dengan log alur grup keamanan jaringan

Catatan arus jaringan virtual dan catatan arus grup keamanan jaringan merekam lalu lintas IP, tetapi berbeda dalam perilaku dan kemampuannya.

Log alur jaringan virtual menyederhanakan cakupan pemantauan lalu lintas karena Anda dapat mengaktifkan pengelogan di jaringan virtual. Lalu lintas melalui semua beban kerja yang didukung dalam jaringan virtual dicatat.

Log alur jaringan virtual juga menghindari kebutuhan untuk mengaktifkan pengelogan alur beberapa tingkat, seperti dalam log alur grup keamanan jaringan. Dalam log alur grup keamanan jaringan, grup keamanan jaringan dikonfigurasi di subnet dan antarmuka jaringan (NIC).

Selain dukungan yang ada untuk mengidentifikasi lalu lintas yang diizinkan atau ditolak oleh aturan grup keamanan jaringan , log alur jaringan virtual mendukung identifikasi lalu lintas yang diizinkan atau ditolak oleh aturan admin keamanan Azure Virtual Network Manager . Log alur jaringan virtual juga mendukung evaluasi status enkripsi lalu lintas jaringan Anda dalam skenario di mana Anda menggunakan enkripsi jaringan virtual.

Penting

Sebaiknya nonaktifkan log alur kelompok keamanan jaringan sebelum mengaktifkan log alur jaringan virtual pada beban kerja yang mendasari yang sama untuk menghindari perekaman lalu lintas duplikat dan biaya tambahan.

Jika Anda mengaktifkan log alur grup keamanan jaringan pada grup keamanan jaringan subnet, lalu Anda mengaktifkan log alur jaringan virtual pada subnet yang sama atau jaringan virtual induk, Anda mungkin mendapatkan pengelogan duplikat atau hanya log alur jaringan virtual.

Cara kerja pengelogan

Properti utama log alur jaringan virtual meliputi:

  • Log alur beroperasi di Lapisan 4 model Open Systems Interconnection (OSI) dan mencatat semua alur IP yang melalui jaringan virtual.
  • Log dikumpulkan dengan interval satu menit melalui platform Azure. Mereka tidak memengaruhi sumber daya Azure atau lalu lintas jaringan Anda.
  • Log ditulis dalam format JavaScript Object Notation (JSON).
  • Setiap rekaman log berisi antarmuka jaringan yang diterapkan alur, informasi 5-tuple, arah lalu lintas, status alur, status enkripsi, dan informasi throughput.
  • Semua alur lalu lintas di jaringan Anda dievaluasi melalui aturan grup keamanan jaringan yang berlaku atau aturan admin keamanan Azure Virtual Network Manager.

Format Log

Log alur jaringan virtual memiliki properti berikut:

  • time: Waktu dalam UTC ketika peristiwa dicatat.
  • flowLogVersion: Versi log alur.
  • flowLogGUID: GUID sumber daya dari sumber FlowLog.
  • macAddress: Alamat MAC antarmuka jaringan tempat peristiwa ditangkap.
  • category: Kategori acara. Kategorinya selalu FlowLogFlowEvent.
  • flowLogResourceID: ID sumber daya FlowLog.
  • targetResourceID: ID sumber daya dari sumber daya target yang terkait dengan sumber daya FlowLog.
  • operationName: Selalu FlowLogFlowEvent.
  • flowRecords: Pengumpulan catatan aliran.
    • flows: Kumpulan aliran. Properti ini memiliki beberapa entri untuk daftar kontrol akses (ACL):
      • aclID: Pengidentifikasi sumber daya yang mengevaluasi lalu lintas, baik grup keamanan jaringan atau Manajer Jaringan Virtual. Untuk traffic yang ditolak karena enkripsi, nilai ini adalah unspecified.
      • flowGroups: Pengumpulan catatan aliran pada tingkat peraturan.
        • rule: Nama aturan yang mengizinkan atau menolak lalu lintas. Untuk traffic yang ditolak karena enkripsi, nilai ini adalah unspecified.
        • flowTuples: String yang mencakup berbagai properti untuk aliran tuple dalam format yang dipisahkan koma.
          • Time Stamp: Cap waktu kapan aliran data terjadi, dalam format zaman UNIX.
          • Source IP: Alamat IP sumber.
          • Destination IP: Alamat IP tujuan.
          • Source port: Port sumber.
          • Destination port: Port tujuan.
          • Protocol: Protokol alur lapisan 4, dinyatakan dalam nilai yang ditetapkan IANA.
          • Flow direction: Arah arus lalu lintas. Nilai yang valid adalah I untuk masuk dan O untuk keluar.
          • Flow state: Status dari alur. Status yang mungkin adalah:
            • B: Mulailah, saat alur dibuat. Tidak ada statistik yang disediakan.
            • C: Melanjutkan alur yang sedang berlangsung. Statistik disediakan dengan interval lima menit.
            • E: Berakhir, saat alur dihentikan. Statistik disediakan.
            • D: Tolak, ketika alur ditolak.
          • Flow encryption: Keadaan enkripsi arus. Tabel setelah daftar ini menjelaskan nilai yang memungkinkan.
          • Packets sent: Jumlah total paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir.
          • Bytes sent: Jumlah total byte paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.
          • Packets received: Jumlah total paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir.
          • Bytes received: Jumlah total byte paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.

Flow encryption memiliki kemungkinan status enkripsi berikut:

Status enkripsi Deskripsi
X Koneksi dienkripsi. Enkripsi dikonfigurasi, dan platform mengenkripsi koneksi.
NX Koneksi tidak dienkripsi. Peristiwa ini dicatat dalam dua skenario:
- Saat enkripsi tidak dikonfigurasi.
- Saat komputer virtual terenkripsi berkomunikasi dengan titik akhir yang tidak memiliki enkripsi (seperti titik akhir internet).
NX_HW_NOT_SUPPORTED Perangkat keras tidak didukung. Enkripsi dikonfigurasi, tetapi komputer virtual berjalan pada host yang tidak mendukung enkripsi. Masalah ini biasanya terjadi karena field-programmable gate array (FPGA) tidak terpasang ke host atau rusak. Laporkan masalah ini ke Microsoft untuk penyelidikan.
NX_SW_NOT_READY Perangkat lunak belum siap. Enkripsi dikonfigurasi, tetapi komponen perangkat lunak (GFT) di tumpukan jaringan host belum siap untuk memproses koneksi terenkripsi. Masalah ini dapat terjadi saat komputer virtual memulai untuk pertama kalinya, memulai ulang, atau disebarkan ulang. Ini juga dapat terjadi ketika ada pembaruan pada komponen jaringan di host tempat mesin virtual berjalan. Dalam semua skenario ini, paket dibuang. Masalahnya akan bersifat sementara. Enkripsi akan mulai bekerja setelah mesin virtual sepenuhnya aktif dan berjalan atau pembaruan perangkat lunak pada host selesai. Jika masalah memiliki durasi yang lebih lama, laporkan ke Microsoft untuk diselidiki.
NX_NOT_ACCEPTED Turun karena tidak ada enkripsi. Enkripsi dikonfigurasi pada titik akhir sumber dan tujuan, dengan pengabaian kebijakan yang tidak terenkripsi. Jika enkripsi lalu lintas gagal, paket akan dijatuhkan.
NX_NOT_SUPPORTED Discovery tidak didukung. Enkripsi diatur, tetapi sesi enkripsi tidak dapat dibentuk karena stack jaringan host tidak mendukung pengenalan. Dalam hal ini, paket dihapus. Jika Anda mengalami masalah ini, laporkan ke Microsoft untuk diselidiki.
NX_LOCAL_DST Tujuan berada di host yang sama. Enkripsi dikonfigurasi, tetapi komputer virtual sumber dan tujuan berjalan di host Azure yang sama. Dalam hal ini, koneksi tidak dienkripsi secara desain.
NX_FALLBACK Kembali ke tanpa enkripsi. Enkripsi dikonfigurasi dengan kebijakan Izinkan tidak terenkripsi untuk titik akhir sumber dan tujuan. Sistem mencoba enkripsi tetapi bermasalah. Dalam hal ini, koneksi diizinkan tetapi tidak dienkripsi. Misalnya, komputer virtual awalnya mendarat di simpul yang mendukung enkripsi, tetapi dukungan ini dihapus kemudian.

Lalu lintas di jaringan virtual Anda tidak dienkripsi (NX) secara default. Untuk lalu lintas terenkripsi, lihat Enkripsi jaringan virtual.

Catatan log sampel

Dalam contoh log alur jaringan virtual berikut, beberapa rekaman mengikuti daftar properti yang dijelaskan sebelumnya.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Perhitungan log untuk tuple dan bandwidth

Tabel yang menunjukkan format log alur jaringan virtual.

Ini adalah contoh perhitungan bandwidth untuk tuple arus dari percakapan TCP antara 203.0.113.105:35370 dan 10.0.0.5:23.

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Untuk status alur kelanjutan (C) dan akhir (E), jumlah byte dan paket adalah jumlah total sejak pencatatan tuple alur sebelumnya. Dalam contoh percakapan, jumlah total paket yang ditransfer adalah 1.021 + 52 + 8.005 + 47 = 9.125. Jumlah total byte yang ditransfer adalah 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Pertimbangan untuk log alur jaringan virtual

Akun penyimpanan

  • Lokasi: Akun penyimpanan harus berada di wilayah yang sama dengan jaringan virtual.
  • Langganan: Akun penyimpanan harus berada dalam langganan jaringan virtual yang sama atau dalam langganan yang terkait dengan penyewa Microsoft Entra yang sama dari langganan jaringan virtual.
  • Tingkat performa: Akun penyimpanan harus standar. Akun penyimpanan premium tidak didukung.
  • Rotasi kunci yang dikelola sendiri: Jika Anda mengubah atau memutar kunci akses ke akun penyimpanan, log alur jaringan virtual berhenti berfungsi. Untuk memperbaiki masalah ini, Anda harus menonaktifkan lalu mengaktifkan kembali log alur jaringan virtual.

Lalu lintas titik akhir privat

Lalu lintas tidak dapat direkam langsung di endpoint pribadi itu sendiri. Anda dapat menangkap lalu lintas ke titik akhir privat pada VM asal. Lalu lintas dicatat dengan alamat IP sumber VM dan alamat IP tujuan titik akhir privat. Anda dapat menggunakan PrivateEndpointResourceId bidang untuk mengidentifikasi lalu lintas yang mengalir ke titik akhir privat. Untuk informasi selengkapnya, lihat Skema analitik lalu lintas.

Layanan yang tidak kompatibel

Saat ini, layanan Azure ini tidak mendukung log alur jaringan virtual:

Nota

Layanan aplikasi yang disebarkan di bawah paket Azure App Service tidak mendukung log alur jaringan virtual. Untuk mempelajari lebih lanjut, lihat Cara kerja integrasi jaringan virtual.

Penetapan Harga

  • Log alur jaringan virtual dikenakan biaya per gigabyte dari log alur jaringan yang dikumpulkan dan disertai dengan tingkatan gratis 5 GB/bulan per langganan.

  • Jika analitik lalu lintas diaktifkan dengan log alur jaringan virtual, harga analitik lalu lintas berlaku pada tingkat pemrosesan per gigabyte. Analitik lalu lintas tidak ditawarkan dengan tingkat harga gratis. Untuk informasi selengkapnya, lihat Harga Network Watcher.

  • Penyimpanan log dibebankan secara terpisah. Untuk informasi selengkapnya, lihat Harga Azure Blob Storage.

Skenario yang didukung

Tabel berikut menguraikan cakupan dukungan log alur.

Ruang Lingkup Log aliran grup keamanan jaringan Log aliran jaringan virtual
Bita dan paket dalam aliran stateless Tidak didukung Didukung
Identifikasi enkripsi jaringan virtual Tidak didukung Didukung
Manajemen Azure API Tidak didukung Didukung
Azure Application Gateway Tidak didukung Didukung
Manajer Jaringan Virtual Azure Tidak didukung Didukung
Gerbang ExpressRoute Tidak didukung Didukung
Set skala mesin virtual Didukung Didukung
VPN Gateway Tidak didukung Didukung

Ketersediaan

Tabel berikut mencantumkan wilayah yang didukung tempat Anda dapat mengaktifkan log alur jaringan virtual.

Wilayah Log aliran grup keamanan jaringan Log aliran jaringan virtual Analitik lalu lintas Ruang kerja Analitik Log
Brasil Selatan
Brasil Tenggara
Kanada Tengah
Kanada Timur
AS Tengah
Amerika Serikat Timur
Amerika Serikat Timur 2
Meksiko Tengah
US Tengah Utara
Selatan-Tengah AS
Amerika Serikat Bagian Barat Tengah
Amerika Serikat bagian Barat
Wilayah Barat Amerika Serikat 2
Amerika Serikat Bagian Barat 3