Gestire i log dei flussi dei gruppi di sicurezza di rete usando il portale di Azure
Importante
Il 30 settembre 2027 i log dei flussi del gruppo di sicurezza di rete (NSG) verranno ritirati. Come parte di questo ritiro, non sarà più possibile creare nuovi log dei flussi del gruppo di sicurezza di rete a partire dal 30 giugno 2025. È consigliabile la migrazione ai log dei flussi della rete virtuale, che superano le limitazioni dei log dei flussi del gruppo di sicurezza di rete. Dopo la data di ritiro, l'analisi del traffico abilitata con i log dei flussi del gruppo di sicurezza di rete non sarà più supportata e le risorse dei log dei flussi del gruppo di sicurezza di rete esistenti nelle sottoscrizioni verranno eliminate. Tuttavia, i record dei log dei flussi del gruppo di sicurezza di rete non verranno eliminati e continueranno a seguire i rispettivi criteri di conservazione. Per altre informazioni, consultare l'annuncio ufficiale.
La registrazione dei flussi dei gruppi di sicurezza di rete è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. Per altre informazioni sui log dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi NSG.
Questo articolo illustra come creare, modificare, disabilitare o eliminare un log dei flussi NSG usando il portale di Azure. È possibile imparare a gestire un log dei flussi NSG usando PowerShell, l'interfaccia della riga di comando di Azure, l'API REST o il modello di ARM.
Prerequisiti
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Provider Insights. Per altre informazioni, vedere Registra provider di Insights.
Gruppo di sicurezza di rete. Se si desidera creare un gruppo di sicurezza di rete classico, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Un account di archiviazione di Azure. Se è necessario creare un account di archiviazione, vedere Creare un account di archiviazione usando il portale di Azure.
Registrare il provider Insights
Il provider Microsoft.Insights deve essere registrato per registrare correttamente il traffico che scorre attraverso un gruppo di sicurezza di rete. Se non si è certi che il provider Microsoft.Insights sia registrato, è possibile controllarne lo stato seguendo questa procedura:
Nella casella di ricerca nella parte superiore del portale, immettere Sottoscrizione. Selezionare Sottoscrizioni nei risultati della ricerca.
Selezionare la sottoscrizione di Azure per cui si desidera abilitare il provider in Sottoscrizioni.
In Impostazioni selezionare Provider di risorse.
Immettere insight nella casella del filtro.
Verificare che lo stato del provider visualizzato sia Registrato. Se lo stato è NotRegistered, selezionare il provider Microsoft.Insights quindi scegliere Registra.
Creare un log dei flussi
Creare un log dei flussi per il gruppo di sicurezza di rete. Questo log dei flussi NSG viene salvato in un account di archiviazione di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Network Watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher | Log dei flussi , selezionare + Crea o il pulsante blu Crea log dei flussi.
Nella scheda Informazioni di base di Creare un log dei flussi immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure del gruppo di sicurezza di rete che si desidera registrare. Tipo di log dei flussi Selezionare Gruppo di sicurezza di rete seguito da + Selezionare la risorsa di destinazione.
Selezionare il gruppo di sicurezza di rete che si desidera registrare, quindi selezionare Conferma selezione.Nome log dei flussi Immettere un nome per il log dei flussi o lasciare il nome predefinito. Il portale di Azure usa {ResourceName}-{ResourceGroupName}-flowlog come nome predefinito per il log dei flussi. myNSG-myResourceGroup-flowlog è il nome predefinito usato in questo articolo. Dettagli istanza Abbonamento Selezionare la sottoscrizione di Azure dell'account di archiviazione. Account di archiviazione Selezionare l'account di archiviazione in cui salvare i log dei flussi. Se si desidera creare un nuovo account di archiviazione, selezionare Crea un nuovo account di archiviazione. Periodo di mantenimento (giorni) Immettere un tempo di conservazione per i log (questa opzione è disponibile solo con gli account di archiviazione Per utilizzo generico standard v2). Immettere 0 se si desidera conservare i dati dei log dei flussi nell'account di archiviazione per sempre (fino a quando non vengono eliminati dall'account di archiviazione). Per informazioni sui prezzi, vedere Prezzi di Archiviazione di Azure. Nota
Se l'account di archiviazione si trova in una sottoscrizione differente, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Microsoft Entra. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
Per abilitare l'analisi del traffico, selezionare il pulsante Avanti: Analisi o selezionare la scheda Analisi. Immettere o selezionare i valori seguenti:
Impostazione Valore Versione dei log dei flussi Selezionare la versione del log dei flussi del gruppo di sicurezza di rete. Le opzioni disponibili sono: Versione 1 e Versione 2. La versione predefinita è la versione 2. Per altre informazioni, vedere Registrazione dei flussi per i gruppi di sicurezza di rete. Abilitare Analisi del traffico Selezionare la casella di controllo per abilitare l'analisi del traffico per il log dei flussi. Intervallo di elaborazione di Analisi del traffico Selezionare l'intervallo di elaborazione preferito, le opzioni disponibili sono: Ogni 1 ora e Ogni 10 minuti. L'intervallo di elaborazione predefinito è ogni ora. Per altre informazioni, vedere Analisi del traffico. Abbonamento Selezionare la sottoscrizione di Azure dell'area di lavoro Log Analytics. Area di lavoro Log Analytics Selezionare l'area di lavoro Log Analytics. Per impostazione predefinita, il portale di Azure crea l'area di lavoro Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} nel gruppo di risorse defaultresourcegroup-{Region}. Nota
Per creare e selezionare un'area di lavoro Log Analytics differente da quella predefinita, vedere Creare un'area di lavoro Log Analytics
Selezionare Rivedi e crea.
Rivedere le impostazioni e quindi selezionare Crea.
Abilitare o disabilitare l'analisi del traffico
Abilitare l'analisi del traffico per un log dei flussi per analizzare i dati del log dei flussi. Analisi del traffico fornisce informazioni dettagliate sui modelli di traffico. È possibile abilitare o disabilitare l'analisi del traffico per un log dei flussi in qualsiasi momento.
Per abilitare l'analisi del traffico per un log dei flussi, seguire questa procedura:
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher | Log dei flussi, selezionare il log dei flussi per cui si desidera abilitare l'analisi del traffico.
In Impostazioni dei log dei flussi selezionare la casella di controllo Abilita analisi del traffico.
Seleziona i valori seguenti:
Impostazione Valore Subscription Selezionare la sottoscrizione di Azure dell'area di lavoro Log Analytics. area di lavoro Log Analytics Selezionare l'area di lavoro Log Analytics. Per impostazione predefinita, il portale di Azure crea l'area di lavoro Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} nel gruppo di risorse defaultresourcegroup-{Region}. Intervallo di registrazione del traffico Selezionare l'intervallo di elaborazione preferito, le opzioni disponibili sono: Ogni 1 ora e Ogni 10 minuti. L'intervallo di elaborazione predefinito è ogni ora. Per altre informazioni, vedere Analisi del traffico. Seleziona Salva per applicare le modifiche.
Per disabilitare l'analisi del traffico per un log dei flussi, eseguire i passaggi precedenti da 1 a 3, quindi deselezionare la casella di controllo Abilita analisi del traffico e selezionare Salva.
Modificare le impostazioni dei log dei flussi
È possibile modificare le proprietà di un log dei flussi dopo averlo creato. Ad esempio, è possibile modificare la versione del log dei flussi o disabilitare l'analisi del traffico.
Nella casella di ricerca nella parte superiore del portale immettere Network Watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher |Log dei flussi, selezionare il log dei flussi che si desidera modificare.
In Impostazioni dei log dei flussi è possibile modificare una delle impostazioni seguenti:
Impostazione Valore Account di archiviazione Abbonamento Modificare la sottoscrizione di Azure dell'account di archiviazione che si desidera usare. Account di archiviazione Modificare l'account di archiviazione in cui salvare i log dei flussi. Se si desidera creare un nuovo account di archiviazione, selezionare Crea un nuovo account di archiviazione. Periodo di mantenimento (giorni) Modificare il tempo di conservazione nell'account di archiviazione. Immettere 0 se si desidera conservare i dati dei log dei flussi nell'account di archiviazione per sempre (fino a quando non si eliminano manualmente i dati dall'account di archiviazione). Analisi del traffico Abilitare Analisi del traffico Abilitare o disabilitare l'analisi del traffico selezionando o deselezionando la casella di controllo. Abbonamento Modificare la sottoscrizione di Azure dell'area di lavoro Log Analytics che si desidera usare. Area di lavoro Log Analytics Modificare l'area di lavoro Log Analytics in cui salvare i log dei flussi (se l'analisi del traffico è abilitata). Intervallo di registrazione del traffico Modificare l'intervallo di elaborazione dell'analisi del traffico (se l'analisi del traffico è abilitata). Le opzioni disponibili sono: un'ora e 10 minuti. L'intervallo di elaborazione predefinito è ogni ora. Per altre informazioni, vedere Analisi del traffico. Selezionare Salva per applicare le modifiche o Annulla per uscire senza salvarle.
Elencare tutti i log dei flussi
È possibile elencare tutti i log dei flussi in una sottoscrizione o in un gruppo di sottoscrizioni. È anche possibile elencare tutti i log dei flussi in un'area.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
Selezionare il filtro Sottoscrizione pari a per scegliere una o più sottoscrizioni. È possibile applicare altri filtri, ad esempio Posizione pari a, per elencare tutti i log dei flussi in un'area geografica.
Visualizzare i dettagli di una risorsa del log dei flussi
È possibile visualizzare i dettagli di un log dei flussi in una sottoscrizione o in un gruppo di sottoscrizioni. È anche possibile elencare tutti i log dei flussi in un'area.
Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher | Log dei flussi, selezionare il log dei flussi che si desidera visualizzare.
In impostazioni dei log dei flussiè possibile visualizzare le impostazioni della risorsa del log dei flussi.
Selezionare Annulla per chiudere la pagina delle impostazioni senza apportare modifiche.
Scaricare un log di flusso
Il percorso di archiviazione di un log di flusso viene definito al momento della creazione. Per accedere e scaricare i log dei flussi dall'account di archiviazione, è possibile usare Azure Storage Explorer. Per altre informazioni, vedere Informazioni di base su Storage Explorer.
I file di log dei flussi NSG salvati in un account di archiviazione seguono questo percorso:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Per informazioni sulla struttura di un log dei flussi, vedere Formato di log dei flussi NSG.
Disabilitare un log dei flussi
È possibile disabilitare temporaneamente un log dei flussi NSG senza eliminarlo. La disabilitazione di un log dei flussi arresta la registrazione dei flussi per il gruppo di sicurezza di rete associato. Tuttavia, la risorsa del log dei flussi rimane con tutte le relative impostazioni e associazioni. È possibile riabilitarlo in qualsiasi momento per riprendere la registrazione del flusso per il gruppo di sicurezza di rete configurato.
Nella casella di ricerca nella parte superiore del portale immettere Network Watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher | Log dei flussi, selezionare la casella di controllo del log dei flussi che si desidera disabilitare.
Seleziona Disabilita.
Nota
Se l'analisi del traffico è abilitata per un log dei flussi, è necessario disabilitarla prima di poter disabilitare il log dei flussi. Per disabilitare l'analisi del traffico, vedere Modificare un log dei flussi.
Eliminare un log dei flussi
È possibile eliminare definitivamente un log dei flussi NSG. L'eliminazione di un log dei flussi elimina tutte le relative impostazioni e associazioni. Per iniziare di nuovo la registrazione del flusso per lo stesso gruppo di sicurezza di rete, è necessario crearne uno nuovo.
Nella casella di ricerca nella parte superiore del portale immettere Network Watcher. Nei risultati della ricerca selezionare Network Watcher.
In Log selezionare Log dei flussi.
In Network Watcher | Log dei flussi, selezionare la casella di controllo del log dei flussi che si desidera eliminare.
Selezionare Elimina.
Nota
L'eliminazione di un log dei flussi non comporta l'eliminazione dei dati di log dei flussi dall'account di archiviazione. I dati dei log dei flussi archiviati nell'account di archiviazione seguono i criteri di conservazione configurati o rimangono archiviati nell'account di archiviazione fino a quando non vengono eliminati manualmente (nel caso in cui non siano configurati criteri di conservazione).
Contenuto correlato
- Per informazioni su come usare i criteri predefiniti di Azure per controllare o distribuire i log dei flussi NSG, vedere Gestire i log dei flussi NSG usando Criteri di Azure.
- Per informazioni sull'analisi del traffico, vedere Analisi del traffico.