Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Log alur jaringan virtual adalah fitur Azure Network Watcher. Anda dapat menggunakannya untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual.
Aliran data dari log aliran jaringan virtual dikirim ke Azure Storage. Dari sana, Anda dapat mengakses data dan mengekspornya ke alat visualisasi, solusi manajemen informasi keamanan dan peristiwa (SIEM), atau sistem deteksi intrusi (IDS). Log alur jaringan virtual mengatasi beberapa batasan log alur grup keamanan jaringan.
Mengapa menggunakan log alur?
Sangat penting untuk memantau, mengelola, dan mengetahui jaringan Anda sehingga Anda dapat melindungi dan mengoptimalkannya. Anda mungkin perlu mengetahui status jaringan saat ini, siapa yang terhubung, dan dari mana pengguna terhubung. Anda mungkin juga perlu mengetahui port mana yang terbuka untuk internet, perilaku jaringan apa yang diharapkan, perilaku jaringan apa yang tidak teratur, dan kapan peningkatan lalu lintas yang tiba-tiba terjadi.
Log alur adalah sumber kebenaran untuk semua aktivitas jaringan di lingkungan cloud Anda. Baik Anda berada dalam startup yang mencoba mengoptimalkan sumber daya atau perusahaan besar yang mencoba mendeteksi gangguan, log alur dapat membantu. Anda dapat menggunakannya untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi.
Kasus penggunaan umum
Pemantauan jaringan
- Identifikasi lalu lintas yang tidak diketahui atau tidak diinginkan.
- Pantau tingkat lalu lintas dan konsumsi bandwidth.
- Memfilter log alur menurut IP dan port untuk memahami perilaku aplikasi.
- Ekspor log alur ke alat analitik dan visualisasi pilihan Anda untuk menyiapkan dasbor pemantauan.
Pemantauan dan pengoptimalan penggunaan
- Identifikasi pembicara teratas di jaringan Anda.
- Gabungkan dengan data GeoIP untuk mengidentifikasi lalu lintas wilayah.
- Pahami pertumbuhan lalu lintas untuk perkiraan kapasitas.
- Gunakan data untuk menghapus aturan lalu lintas yang terlalu ketat.
Kepatuhan
- Gunakan data alur untuk memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan.
Forensik jaringan dan analisis keamanan
- Menganalisis alur jaringan dari IP dan antarmuka jaringan yang disusupi.
- Ekspor log alur ke alat SIEM atau IDS apa pun yang Anda pilih.
Log alur jaringan virtual dibandingkan dengan log alur grup keamanan jaringan
Catatan arus jaringan virtual dan catatan arus grup keamanan jaringan merekam lalu lintas IP, tetapi berbeda dalam perilaku dan kemampuannya.
Log alur jaringan virtual menyederhanakan cakupan pemantauan lalu lintas karena Anda dapat mengaktifkan pengelogan di jaringan virtual. Lalu lintas melalui semua beban kerja yang didukung dalam jaringan virtual dicatat.
Log alur jaringan virtual juga menghindari kebutuhan untuk mengaktifkan pengelogan alur beberapa tingkat, seperti dalam log alur grup keamanan jaringan. Dalam log alur grup keamanan jaringan, grup keamanan jaringan dikonfigurasi di subnet dan antarmuka jaringan (NIC).
Selain dukungan yang ada untuk mengidentifikasi lalu lintas yang diizinkan atau ditolak oleh aturan grup keamanan jaringan , log alur jaringan virtual mendukung identifikasi lalu lintas yang diizinkan atau ditolak oleh aturan admin keamanan Azure Virtual Network Manager . Log alur jaringan virtual juga mendukung evaluasi status enkripsi lalu lintas jaringan Anda dalam skenario di mana Anda menggunakan enkripsi jaringan virtual.
Penting
Sebaiknya nonaktifkan log alur kelompok keamanan jaringan sebelum mengaktifkan log alur jaringan virtual pada beban kerja yang mendasari yang sama untuk menghindari perekaman lalu lintas duplikat dan biaya tambahan.
Jika Anda mengaktifkan log alur grup keamanan jaringan pada grup keamanan jaringan subnet, lalu Anda mengaktifkan log alur jaringan virtual pada subnet yang sama atau jaringan virtual induk, Anda mungkin mendapatkan pengelogan duplikat atau hanya log alur jaringan virtual.
Cara kerja pengelogan
Properti utama log alur jaringan virtual meliputi:
- Log alur beroperasi di Lapisan 4 model Open Systems Interconnection (OSI) dan mencatat semua alur IP yang melalui jaringan virtual.
- Log dikumpulkan dengan interval satu menit melalui platform Azure. Mereka tidak memengaruhi sumber daya Azure atau lalu lintas jaringan Anda.
- Log ditulis dalam format JavaScript Object Notation (JSON).
- Setiap rekaman log berisi antarmuka jaringan yang diterapkan alur, informasi 5-tuple, arah lalu lintas, status alur, status enkripsi, dan informasi throughput.
- Semua alur lalu lintas di jaringan Anda dievaluasi melalui aturan grup keamanan jaringan yang berlaku atau aturan admin keamanan Azure Virtual Network Manager.
Format Log
Log alur jaringan virtual memiliki properti berikut:
-
time
: Waktu dalam UTC ketika peristiwa dicatat. -
flowLogVersion
: Versi log alur. -
flowLogGUID
: GUID sumber daya dari sumberFlowLog
. -
macAddress
: Alamat MAC antarmuka jaringan tempat peristiwa ditangkap. -
category
: Kategori acara. Kategorinya selaluFlowLogFlowEvent
. -
flowLogResourceID
: ID sumber dayaFlowLog
. -
targetResourceID
: ID sumber daya dari sumber daya target yang terkait dengan sumber dayaFlowLog
. -
operationName
: SelaluFlowLogFlowEvent
. -
flowRecords
: Pengumpulan catatan aliran.-
flows
: Kumpulan aliran. Properti ini memiliki beberapa entri untuk daftar kontrol akses (ACL):-
aclID
: Pengidentifikasi sumber daya yang mengevaluasi lalu lintas, baik grup keamanan jaringan atau Manajer Jaringan Virtual. Untuk traffic yang ditolak karena enkripsi, nilai ini adalahunspecified
. -
flowGroups
: Pengumpulan catatan aliran pada tingkat peraturan.-
rule
: Nama aturan yang mengizinkan atau menolak lalu lintas. Untuk traffic yang ditolak karena enkripsi, nilai ini adalahunspecified
. -
flowTuples
: String yang mencakup berbagai properti untuk aliran tuple dalam format yang dipisahkan koma.-
Time Stamp
: Cap waktu kapan aliran data terjadi, dalam format zaman UNIX. -
Source IP
: Alamat IP sumber. -
Destination IP
: Alamat IP tujuan. -
Source port
: Port sumber. -
Destination port
: Port tujuan. -
Protocol
: Protokol alur lapisan 4, dinyatakan dalam nilai yang ditetapkan IANA. -
Flow direction
: Arah arus lalu lintas. Nilai yang valid adalahI
untuk masuk danO
untuk keluar. -
Flow state
: Status dari alur. Status yang mungkin adalah:-
B
: Mulailah, saat alur dibuat. Tidak ada statistik yang disediakan. -
C
: Melanjutkan alur yang sedang berlangsung. Statistik disediakan dengan interval lima menit. -
E
: Berakhir, saat alur dihentikan. Statistik disediakan. -
D
: Tolak, ketika alur ditolak.
-
-
Flow encryption
: Keadaan enkripsi arus. Tabel setelah daftar ini menjelaskan nilai yang memungkinkan. -
Packets sent
: Jumlah total paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. -
Bytes sent
: Jumlah total byte paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload. -
Packets received
: Jumlah total paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir. -
Bytes received
: Jumlah total byte paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.
-
-
-
-
Flow encryption
memiliki kemungkinan status enkripsi berikut:
Status enkripsi | Deskripsi |
---|---|
X |
Koneksi dienkripsi. Enkripsi dikonfigurasi, dan platform mengenkripsi koneksi. |
NX |
Koneksi tidak dienkripsi. Peristiwa ini dicatat dalam dua skenario: - Saat enkripsi tidak dikonfigurasi. - Saat komputer virtual terenkripsi berkomunikasi dengan titik akhir yang tidak memiliki enkripsi (seperti titik akhir internet). |
NX_HW_NOT_SUPPORTED |
Perangkat keras tidak didukung. Enkripsi dikonfigurasi, tetapi komputer virtual berjalan pada host yang tidak mendukung enkripsi. Masalah ini biasanya terjadi karena field-programmable gate array (FPGA) tidak terpasang ke host atau rusak. Laporkan masalah ini ke Microsoft untuk penyelidikan. |
NX_SW_NOT_READY |
Perangkat lunak belum siap. Enkripsi dikonfigurasi, tetapi komponen perangkat lunak (GFT) di tumpukan jaringan host belum siap untuk memproses koneksi terenkripsi. Masalah ini dapat terjadi saat komputer virtual memulai untuk pertama kalinya, memulai ulang, atau disebarkan ulang. Ini juga dapat terjadi ketika ada pembaruan pada komponen jaringan di host tempat mesin virtual berjalan. Dalam semua skenario ini, paket dibuang. Masalahnya akan bersifat sementara. Enkripsi akan mulai bekerja setelah mesin virtual sepenuhnya aktif dan berjalan atau pembaruan perangkat lunak pada host selesai. Jika masalah memiliki durasi yang lebih lama, laporkan ke Microsoft untuk diselidiki. |
NX_NOT_ACCEPTED |
Turun karena tidak ada enkripsi. Enkripsi dikonfigurasi pada titik akhir sumber dan tujuan, dengan pengabaian kebijakan yang tidak terenkripsi. Jika enkripsi lalu lintas gagal, paket akan dijatuhkan. |
NX_NOT_SUPPORTED |
Discovery tidak didukung. Enkripsi diatur, tetapi sesi enkripsi tidak dapat dibentuk karena stack jaringan host tidak mendukung pengenalan. Dalam hal ini, paket dihapus. Jika Anda mengalami masalah ini, laporkan ke Microsoft untuk diselidiki. |
NX_LOCAL_DST |
Tujuan berada di host yang sama. Enkripsi dikonfigurasi, tetapi komputer virtual sumber dan tujuan berjalan di host Azure yang sama. Dalam hal ini, koneksi tidak dienkripsi secara desain. |
NX_FALLBACK |
Kembali ke tanpa enkripsi. Enkripsi dikonfigurasi dengan kebijakan Izinkan tidak terenkripsi untuk titik akhir sumber dan tujuan. Sistem mencoba enkripsi tetapi bermasalah. Dalam hal ini, koneksi diizinkan tetapi tidak dienkripsi. Misalnya, komputer virtual awalnya mendarat di simpul yang mendukung enkripsi, tetapi dukungan ini dihapus kemudian. |
Lalu lintas di jaringan virtual Anda tidak dienkripsi (NX
) secara default. Untuk lalu lintas terenkripsi, lihat Enkripsi jaringan virtual.
Catatan log sampel
Dalam contoh log alur jaringan virtual berikut, beberapa rekaman mengikuti daftar properti yang dijelaskan sebelumnya.
{
"records": [
{
"time": "2022-09-14T09:00:52.5625085Z",
"flowLogVersion": 4,
"flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"macAddress": "112233445566",
"category": "FlowLogFlowEvent",
"flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
"targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
"operationName": "FlowLogFlowEvent",
"flowRecords": {
"flows": [
{
"aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"flowGroups": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flowTuples": [
"1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
"1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
"1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
"1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
"1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
"1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
"1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
"1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
"1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
"1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
]
}
]
},
{
"aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"flowGroups": [
{
"rule": "BlockHighRiskTCPPortsFromInternet",
"flowTuples": [
"1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
"1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
]
},
{
"rule": "Internet",
"flowTuples": [
"1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
"1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
"1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
"1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
"1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
"1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
"1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
]
}
]
}
]
}
}
]
}
Perhitungan log untuk tuple dan bandwidth
Ini adalah contoh perhitungan bandwidth untuk tuple arus dari percakapan TCP antara 203.0.113.105:35370
dan 10.0.0.5:23
.
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,,
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072
Untuk status alur kelanjutan (C
) dan akhir (E
), jumlah byte dan paket adalah jumlah total sejak pencatatan tuple alur sebelumnya. Dalam contoh percakapan, jumlah total paket yang ditransfer adalah 1.021 + 52 + 8.005 + 47 = 9.125. Jumlah total byte yang ditransfer adalah 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.
Pertimbangan untuk log alur jaringan virtual
Akun penyimpanan
- Lokasi: Akun penyimpanan harus berada di wilayah yang sama dengan jaringan virtual.
- Langganan: Akun penyimpanan harus berada dalam langganan jaringan virtual yang sama atau dalam langganan yang terkait dengan penyewa Microsoft Entra yang sama dari langganan jaringan virtual.
- Tingkat performa: Akun penyimpanan harus standar. Akun penyimpanan premium tidak didukung.
- Rotasi kunci yang dikelola sendiri: Jika Anda mengubah atau memutar kunci akses ke akun penyimpanan, log alur jaringan virtual berhenti berfungsi. Untuk memperbaiki masalah ini, Anda harus menonaktifkan lalu mengaktifkan kembali log alur jaringan virtual.
Lalu lintas titik akhir privat
Lalu lintas tidak dapat direkam langsung di endpoint pribadi itu sendiri. Anda dapat menangkap lalu lintas ke titik akhir privat pada VM asal. Lalu lintas dicatat dengan alamat IP sumber VM dan alamat IP tujuan titik akhir privat. Anda dapat menggunakan PrivateEndpointResourceId
bidang untuk mengidentifikasi lalu lintas yang mengalir ke titik akhir privat. Untuk informasi selengkapnya, lihat Skema analitik lalu lintas.
Layanan yang tidak kompatibel
Saat ini, layanan Azure ini tidak mendukung log alur jaringan virtual:
- Azure Container Instances
- Azure Container Apps
- Azure Logic Apps
- Azure Functions
- Pemecah DNS Pribadi Azure
- Layanan Aplikasi
- Azure Database untuk MariaDB
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure SQL Managed Instance
- Azure NetApp Files
- Microsoft Power Platform
Nota
Layanan aplikasi yang disebarkan di bawah paket Azure App Service tidak mendukung log alur jaringan virtual. Untuk mempelajari lebih lanjut, lihat Cara kerja integrasi jaringan virtual.
Penetapan Harga
Log alur jaringan virtual dikenakan biaya per gigabyte dari log alur jaringan yang dikumpulkan dan disertai dengan tingkatan gratis 5 GB/bulan per langganan.
Jika analitik lalu lintas diaktifkan dengan log alur jaringan virtual, harga analitik lalu lintas berlaku pada tingkat pemrosesan per gigabyte. Analitik lalu lintas tidak ditawarkan dengan tingkat harga gratis. Untuk informasi selengkapnya, lihat Harga Network Watcher.
Penyimpanan log dibebankan secara terpisah. Untuk informasi selengkapnya, lihat Harga Azure Blob Storage.
Skenario yang didukung
Tabel berikut menguraikan cakupan dukungan log alur.
Ruang Lingkup | Log aliran grup keamanan jaringan | Log aliran jaringan virtual |
---|---|---|
Bita dan paket dalam aliran stateless | Tidak didukung | Didukung |
Identifikasi enkripsi jaringan virtual | Tidak didukung | Didukung |
Manajemen Azure API | Tidak didukung | Didukung |
Azure Application Gateway | Tidak didukung | Didukung |
Manajer Jaringan Virtual Azure | Tidak didukung | Didukung |
Gerbang ExpressRoute | Tidak didukung | Didukung |
Set skala mesin virtual | Didukung | Didukung |
VPN Gateway | Tidak didukung | Didukung |
Ketersediaan
Tabel berikut mencantumkan wilayah yang didukung tempat Anda dapat mengaktifkan log alur jaringan virtual.
- Amerika Utara / Amerika Selatan
- Eropa
- Australia / Asia / Pasifik
- Timur Tengah / Afrika
- Azure Government
Wilayah | Log aliran grup keamanan jaringan | Log aliran jaringan virtual | Analitik lalu lintas | Ruang kerja Analitik Log |
---|---|---|---|---|
Brasil Selatan | ✓ | ✓ | ✓ | ✓ |
Brasil Tenggara | ✓ | ✓ | ✓ | ✓ |
Kanada Tengah | ✓ | ✓ | ✓ | ✓ |
Kanada Timur | ✓ | ✓ | ✓ | ✓ |
AS Tengah | ✓ | ✓ | ✓ | ✓ |
Amerika Serikat Timur | ✓ | ✓ | ✓ | ✓ |
Amerika Serikat Timur 2 | ✓ | ✓ | ✓ | ✓ |
Meksiko Tengah | ✓ | ✓ | ✓ | |
US Tengah Utara | ✓ | ✓ | ✓ | ✓ |
Selatan-Tengah AS | ✓ | ✓ | ✓ | ✓ |
Amerika Serikat Bagian Barat Tengah | ✓ | ✓ | ✓ | ✓ |
Amerika Serikat bagian Barat | ✓ | ✓ | ✓ | ✓ |
Wilayah Barat Amerika Serikat 2 | ✓ | ✓ | ✓ | ✓ |
Amerika Serikat Bagian Barat 3 | ✓ | ✓ | ✓ | ✓ |
Konten terkait
- Untuk mempelajari cara membuat, mengubah, mengaktifkan, menonaktifkan, atau menghapus log alur jaringan virtual, lihat Mengelola log alur jaringan virtual.
- Untuk mempelajari cara menggunakan kebijakan bawaan Azure untuk mengaudit atau menyebarkan log alur jaringan virtual, lihat Mengelola log alur jaringan virtual menggunakan Azure Policy.
- Untuk mempelajari tentang analitik lalu lintas, lihat Gambaran umum analitik lalu lintas dan Agregasi skema dan data di analitik lalu lintas Azure Network Watcher.