Introduzione alla registrazione dei flussi per i gruppi di sicurezza di rete
La registrazione dei flussi del gruppo di sicurezza di rete (NSG) è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. I dati del flusso vengono inviati ad Archiviazione di Azure da cui è possibile accedervi ed esportarli in qualsiasi strumento di visualizzazione, soluzione SIEM (Security Information and Event Management) o sistema di rilevamento delle intrusioni (IDS) preferito.
Perché usare i log dei flussi?
È fondamentale monitorare, gestire e conoscere la propria rete in modo che sia possibile proteggerla e ottimizzarla. È necessario conoscere lo stato corrente della rete, chi si connette e da dove gli utenti si connettono. È anche necessario sapere quali porte sono aperte a Internet, quale comportamento di rete è previsto, quale comportamento di rete è irregolare e quando si verifica un aumento improvviso del traffico.
I log dei flussi forniscono informazioni veritiere per tutte le attività di rete nell'ambiente cloud. Indipendentemente dal fatto che si stia cercando di ottimizzare le risorse o un'azienda di grandi dimensioni che sta tentando di rilevare intrusioni, i log dei flussi possono essere utili. È possibile usarli per ottimizzare i flussi di rete, monitorare la velocità effettiva, verificare la conformità, rilevare intrusioni e altro ancora.
Casi d'uso comuni
Monitoraggio della rete
- identificare il traffico sconosciuto o indesiderato.
- Monitorare i livelli di traffico e il consumo della larghezza di banda.
- Filtrare i log dei flussi in base all'IP e alla porta per comprendere il comportamento delle applicazioni.
- Esportare i log dei flussi in strumenti di analisi e visualizzazione di propria scelta per configurare dashboard di monitoraggio.
Monitoraggio e ottimizzazione dell'utilizzo
- identificare i principali talker nella rete.
- Combinare con i dati GeoIP per identificare il traffico tra le aree.
- Comprendere la crescita del traffico per una previsione della capacità.
- Usare i dati per rimuovere regole di traffico eccessivamente restrittive.
Conformità
- usare i dati dei flussi per verificare l'isolamento della rete e la conformità alle regole di accesso aziendali.
Analisi forense e sicurezza di rete
- analizzare i flussi di rete provenienti da IP e interfacce di rete compromessi.
- Esportare i log dei flussi in qualsiasi strumento SIEM o IDS di propria scelta.
Funzionamento dei log dei flussi dei gruppi di sicurezza di rete
Le proprietà principali dei log dei flussi del gruppo di sicurezza di rete includono:
- I log dei flussi operano al livello 4 del modello OSI (Open Systems Interconnect) e registrano tutti i flussi IP in ingresso e in uscita da un gruppo di sicurezza di rete.
- I log vengono raccolti a intervalli di 1 minuto tramite la piattaforma Azure. Non influiscono in alcun modo sulle risorse di Azure o sulle prestazioni di rete.
- I log vengono scritti in formato JSON e mostrano i flussi in uscita e in ingresso per ogni regola del gruppo di sicurezza di rete.
- Ogni record di log contiene l'interfaccia di rete (NIC) a cui si applica il flusso, a informazioni a 5 tuple, alla decisione del traffico e (solo per la versione 2) alle informazioni sulla velocità effettiva.
- I log dei flussi dei gruppi di sicurezza di rete hanno una funzionalità di conservazione che consente di eliminare automaticamente i log fino a un anno dopo la creazione.
Nota
La conservazione è disponibile solo se si usano account di archiviazione per utilizzo generico v2.
I concetti di base per i log di flusso includono:
- Le reti software-defined sono organizzate in reti virtuali e subnet. È possibile gestire la sicurezza di queste reti virtuali e subnet usando i gruppi di sicurezza di rete.
- Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete da o verso le risorse di Azure a cui è connesso il gruppo di sicurezza di rete. Un gruppo di sicurezza di rete può essere associato a una subnet o a un'interfaccia di rete di una macchina virtuale. Per altre informazioni, vedere Panoramica dei gruppi di sicurezza di rete.
- Tutti i flussi di traffico nella rete vengono valutati tramite le regole nel gruppo di sicurezza di rete applicabile. Il risultato di queste valutazioni è costituito dai log dei flussi del gruppo di sicurezza di rete.
- I log dei flussi dei gruppi di sicurezza di rete vengono raccolti tramite la piattaforma Azure e non richiedono alcuna modifica alle risorse di Azure.
- Esistono due tipi di regole del gruppo di sicurezza di rete: terminazione e non terminazione. Ognuno ha comportamenti di registrazione diversi:
- Le regole di negazione terminano. Il gruppo di sicurezza di rete che nega i log del traffico nei log del flusso. L'elaborazione in questo caso si arresta dopo che un gruppo di sicurezza di rete nega il traffico.
- Le regole di accesso consentite non terminano. Se il gruppo di sicurezza di rete consente il traffico, l'elaborazione continua con il gruppo di sicurezza di rete successivo. Ultimo gruppo di sicurezza di rete che consente il log del traffico verso i log dei flussi.
- I log dei flussi dei gruppi di sicurezza di rete vengono scritti in account di archiviazione. È possibile esportare, elaborare, analizzare e visualizzare i log dei flussi dei gruppi di sicurezza di rete usando strumenti come Analisi del traffico di Network Watcher, Splunk, Grafana e Stealthwatch.
Formato log
I log dei flussi del gruppo di sicurezza di rete includono le proprietà seguenti:
time: ora in formato UTC in cui è stato registrato l'evento.systemId: ID di sistema del gruppo di sicurezza di rete.category: categoria dell'evento. La categoria è sempreNetworkSecurityGroupFlowEvent.resourceid: ID risorsa del gruppo di sicurezza di rete.operationName: sempreNetworkSecurityGroupFlowEvents.properties: raccolta di proprietà del flusso:Version: numero di versione dello schema di eventi del log del flusso.flows: raccolta di flussi. Questa proprietà include più voci per regole diverse.rule: regola per cui sono elencati i flussi.flows: raccolta di flussi.mac: indirizzo MAC della scheda di interfaccia di rete per la macchina virtuale in cui è stato raccolto il flusso.flowTuples: stringa che contiene più proprietà per la tupla del flusso in un formato delimitato da virgole:Time stamp: timestamp di quando il flusso si è verificato in formato periodo UNIX.Source IP: indirizzo IP di origine.Destination IP: indirizzo IP di destinazione.Source port: porta di origine.Destination port: porta di destinazione.Protocol: protocollo del flusso. I valori validi sonoTper TCP eUper UDP.Traffic flow: direzione del flusso del traffico. I valori validi sonoIper in ingresso eOper le connessioni in uscita.Traffic decision: indica se il traffico è stato consentito o negato. I valori validi sonoAconsentiti eDnegati.Flow State - Version 2 Only: stato del flusso. Gli stati possibili sono:B: iniziare, quando viene creato un flusso. Non vengono fornite statistiche.C: continuazione per un flusso in corso. Vengono fornite statistiche a intervalli di 5 minuti.E: fine, quando un flusso viene terminato. Vengono fornite statistiche.
Packets sent - Version 2 Only: numero totale di pacchetti TCP inviati dall'origine alla destinazione dall'ultimo aggiornamento.Bytes sent - Version 2 Only: numero totale di byte di pacchetti TCP inviati dall'origine alla destinazione dall'ultimo aggiornamento. I byte dei pacchetti includono l'intestazione del pacchetto e il payload.Packets received - Version 2 Only: numero totale di pacchetti TCP inviati dalla destinazione all'origine dall'ultimo aggiornamento.Bytes received - Version 2 Only: numero totale di byte di pacchetti TCP inviati dalla destinazione all'origine dall'ultimo aggiornamento. I byte dei pacchetti includono payload e intestazione del pacchetto.
La versione 2 dei log dei flussi del gruppo di sicurezza di rete introduce il concetto di stato del flusso. È possibile configurare la versione del log di flusso ricevuta.
Lo stato B del flusso viene registrato quando viene avviato un flusso. Lo stato del flusso e lo stato CE del flusso sono stati che contrassegnano rispettivamente la continuazione di un flusso e la terminazione del flusso. Entrambi C gli stati e E contengono informazioni sulla larghezza di banda del traffico.
Record di log di esempio
Negli esempi seguenti del log dei flussi del gruppo di sicurezza di rete più record seguono l'elenco delle proprietà descritto in precedenza.
Nota
I valori nella flowTuples proprietà sono un elenco delimitato da virgole.
Versione 1
Di seguito è riportato un esempio di formato di un log del flusso del gruppo di sicurezza di rete versione 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
Versione 2
Di seguito è riportato un esempio di formato di log del flusso del gruppo di sicurezza di rete versione 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Calcolo della tupla e della larghezza di banda del log
Ecco un esempio di calcolo della larghezza di banda per le tuple di flusso da una conversazione TCP tra 185.170.185.105:35370 e 10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
Per gli stati di flusso di continuazione (C) e di fine (E), i conteggi dei byte e dei pacchetti sono conteggi aggregati dal momento del record di tupla del flusso precedente. Nella conversazione di esempio il numero totale di pacchetti trasferiti è 1021+52+8005+47 = 9125. Il numero totale di byte trasferiti è 588096+29952+4610880+27072=5256000.
Gestione dei log dei flussi del gruppo di sicurezza di rete
Per informazioni su come creare, modificare, disabilitare o eliminare i log dei flussi del gruppo di sicurezza di rete, vedere una delle guide seguenti:
Uso dei log dei flussi
Leggere ed esportare i log dei flussi
Per informazioni su come leggere ed esportare i log dei flussi dei gruppi di sicurezza di rete, vedere una delle guide seguenti:
- Scaricare e visualizzare i log dei flussi dal portale
- Leggere i log dei flussi usando le funzioni di PowerShell
- Esportare i log dei flussi del gruppo di sicurezza di rete in Splunk
I file di log del flusso del gruppo di sicurezza di rete vengono archiviati in un account di archiviazione nel percorso seguente:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualizzare i log dei flussi
Per informazioni su come visualizzare i log dei flussi del gruppo di sicurezza di rete, vedere una delle guide seguenti:
- Visualizzare i log dei flussi dei gruppi di sicurezza di rete usando l'analisi del traffico di Network Watcher
- Visualizzare i log dei flussi dei gruppi di sicurezza di rete con Power BI
- Visualizzare i log dei flussi dei gruppi di sicurezza di rete usando Elastic Stack
- Gestire e analizzare i log dei flussi dei gruppi di sicurezza di rete con Grafana
- Gestire e analizzare i log dei flussi dei gruppi di sicurezza di rete usando Graylog
Considerazioni per i log dei flussi del gruppo di sicurezza di rete
Account di archiviazione
- Località: l'account di archiviazione deve trovarsi nella stessa area del gruppo di sicurezza di rete.
- Sottoscrizione: l'account di archiviazione deve trovarsi nella stessa sottoscrizione del gruppo di sicurezza di rete o in una sottoscrizione associata allo stesso tenant di Microsoft Entra della sottoscrizione del gruppo di sicurezza di rete.
- Livello di prestazioni: l'account di archiviazione deve essere standard. Gli account di archiviazione Premium non sono supportati.
- Rotazione delle chiavi autogestito: se si modificano o si ruotano le chiavi di accesso all'account di archiviazione, i log dei flussi del gruppo di sicurezza di rete non funzionano. Per risolvere questo problema, è necessario disabilitare e quindi riabilitare i log dei flussi del gruppo di sicurezza di rete.
Costo
La registrazione dei flussi del gruppo di sicurezza di rete viene fatturata sul volume dei log prodotti. Un volume elevato di traffico può comportare un volume di log di flusso elevato, che aumenta i costi associati.
I prezzi dei log dei flussi del gruppo di sicurezza di rete non includono i costi di archiviazione sottostanti. La conservazione dei dati dei log dei flussi del gruppo di sicurezza di rete per sempre o l'uso della funzionalità dei criteri di conservazione implica l'incorrere in costi di archiviazione per lunghi periodi di tempo.
Regole TCP in ingresso non predefinite
I gruppi di sicurezza di rete vengono implementati come firewall con stato. Tuttavia, a causa delle limitazioni correnti della piattaforma, le regole di sicurezza del gruppo di sicurezza di rete non predefinite che influiscono sui flussi TCP in ingresso vengono implementate in modo senza stato.
I flussi interessati dalle regole in ingresso non predefinite diventano non irreversibili. Inoltre, i conteggi dei byte e dei pacchetti non vengono registrati per questi flussi. A causa di questi fattori, il numero di byte e pacchetti segnalati nei log dei flussi del gruppo di sicurezza di rete (e analisi del traffico di Network Watcher) potrebbe essere diverso dai numeri effettivi.
È possibile risolvere questa differenza impostando la FlowTimeoutInMinutes proprietà nelle reti virtuali associate su un valore non Null. È possibile ottenere il comportamento predefinito con stato impostando FlowTimeoutInMinutes su 4 minuti. Per le connessioni a esecuzione prolungata in cui i flussi non devono disconnettersi da un servizio o da una destinazione, è possibile impostare FlowTimeoutInMinutes un valore massimo di 30 minuti. Usare Set-AzVirtualNetwork per impostare la FlowTimeoutInMinutes proprietà :
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Flussi in ingresso registrati da INDIRIZZI IP Internet alle macchine virtuali senza indirizzi IP pubblici
Le macchine virtuali (VM) che non dispongono di un indirizzo IP pubblico associato alla scheda di interfaccia di rete come ip pubblico a livello di istanza o che fanno parte di un pool back-end di bilanciamento del carico di base, usano SNAT predefinito. Azure assegna un indirizzo IP a tali macchine virtuali per facilitare la connettività in uscita. Di conseguenza, è possibile che vengano visualizzate voci di log del flusso per i flussi da indirizzi IP Internet, se il flusso è destinato a una porta nell'intervallo di porte assegnate per SNAT.
Anche se Azure non consente questi flussi alla macchina virtuale, il tentativo viene registrato e visualizzato nel log dei flussi del gruppo di sicurezza di rete di Network Watcher in base alla progettazione. È consigliabile bloccare in modo esplicito il traffico Internet in ingresso indesiderato con un gruppo di sicurezza di rete.
Gruppo di sicurezza di rete in una subnet del gateway ExpressRoute
Non è consigliabile registrare i flussi in una subnet del gateway Azure ExpressRoute perché il traffico può ignorare quel tipo di gateway, ad esempio FastPath. Se un gruppo di sicurezza di rete è collegato a una subnet del gateway ExpressRoute e i log dei flussi del gruppo di sicurezza di rete sono abilitati, i flussi in uscita verso le macchine virtuali potrebbero non essere acquisiti. Tali flussi devono essere acquisiti nella subnet o nella scheda di interfaccia di rete della macchina virtuale.
Traffico verso un endpoint privato
Il traffico verso endpoint privati può essere acquisito solo nella macchina virtuale di origine. Il traffico viene registrato con l'indirizzo IP di origine della macchina virtuale e l'indirizzo IP di destinazione dell'endpoint privato. Il traffico non può essere registrato nell'endpoint privato stesso a causa delle limitazioni della piattaforma.
Supporto per i gruppi di sicurezza di rete associati a gateway applicazione subnet v2
I log dei flussi del gruppo di sicurezza di rete per i gruppi di sicurezza di rete associati a app Azure subnet del gateway V2 non sono attualmente supportati. Sono supportati i log dei flussi del gruppo di sicurezza di rete per i gruppi di sicurezza di rete associati a gateway applicazione subnet V1.
Servizi incompatibili
Attualmente, questi servizi di Azure non supportano i log dei flussi del gruppo di sicurezza di rete:
- Istanze di Azure Container
- App per la logica di azure
- Funzioni di Azure
- Resolver privato DNS di Azure
- Servizio app
- Database di Azure per MariaDB
- Database di Azure per MySQL
- Database di Azure per PostgreSQL
Nota
I servizi app distribuiti in un piano di servizio app Azure non supportano i log dei flussi dei gruppi di sicurezza di rete. Per altre informazioni, vedere Funzionamento dell'integrazione della rete virtuale.
Procedure consigliate
Abilitare i log dei flussi dei gruppi di sicurezza di rete nelle subnet critiche: i log dei flussi devono essere abilitati in tutte le subnet critiche nella sottoscrizione come procedura consigliata per il controllo e la sicurezza.
Abilitare i log dei flussi dei gruppi di sicurezza di rete in tutti i gruppi di sicurezza di rete collegati a una risorsa: i log dei flussi del gruppo di sicurezza di rete vengono configurati nei gruppi di sicurezza di rete. Un flusso è associato a una sola regola del gruppo di sicurezza di rete. Negli scenari in cui si usano più gruppi di sicurezza di rete, è consigliabile abilitare i log dei flussi dei gruppi di sicurezza di rete in tutti i gruppi di sicurezza di rete applicati alla subnet della risorsa e all'interfaccia di rete (NIC) per assicurarsi che tutto il traffico venga registrato. Per altre informazioni, vedere Come i gruppi di sicurezza di rete filtrano il traffico di rete.
Ecco alcuni scenari comuni:
- Più schede di interfaccia di rete in una macchina virtuale: se più schede di interfaccia di rete sono collegate a una macchina virtuale, è necessario abilitare i log dei flussi su tutti.
- Gruppo di sicurezza di rete a livello di scheda di interfaccia di rete e subnet: se un gruppo di sicurezza di rete è configurato a livello di scheda di interfaccia di rete e a livello di subnet, è necessario abilitare i log dei flussi in entrambi i gruppi di sicurezza di rete. La sequenza esatta di elaborazione delle regole da parte dei gruppi di sicurezza di rete a livello di scheda di interfaccia di rete e subnet dipende dalla piattaforma e varia da caso a caso. I flussi di traffico vengono registrati nel gruppo di sicurezza di rete elaborato per ultimo. Lo stato della piattaforma modifica l'ordine di elaborazione. È necessario controllare entrambi i log del flusso.
- servizio Azure Kubernetes subnet del cluster del servizio Azure Kubernetes: il servizio Azure Kubernetes aggiunge un gruppo di sicurezza di rete predefinito nella subnet del cluster. È necessario abilitare i log dei flussi del gruppo di sicurezza di rete in questo gruppo di sicurezza di rete.
Archiviazione provisioning: effettuare il provisioning dell'archiviazione in ottimizzazione con il volume previsto di log di flusso.
Denominazione: il nome del gruppo di sicurezza di rete deve avere un massimo di 80 caratteri e un nome di regola del gruppo di sicurezza di rete deve avere un massimo di 65 caratteri. Se i nomi superano i limiti dei caratteri, potrebbero essere troncati durante la registrazione.
Risoluzione dei problemi comuni
Non è possibile abilitare i log dei flussi del gruppo di sicurezza di rete
È possibile che venga visualizzato un errore AuthorizationFailed o GatewayAuthenticationFailed , se non è stato abilitato il provider di risorse Microsoft.Insights nella sottoscrizione prima di provare ad abilitare i log dei flussi del gruppo di sicurezza di rete. Per altre informazioni, vedere Registrare il provider di Insights.
Sono stati abilitati i log dei flussi del gruppo di sicurezza di rete, ma non vengono visualizzati i dati nell'account di archiviazione
Questo problema potrebbe essere correlato a:
Tempo di installazione: i log dei flussi del gruppo di sicurezza di rete possono richiedere fino a 5 minuti per essere visualizzati nell'account di archiviazione (se sono configurati correttamente). Viene visualizzato un file PT1H.json . Per altre informazioni, vedere Scaricare il log dei flussi.
Mancanza di traffico nei gruppi di sicurezza di rete: a volte non vengono visualizzati i log perché le macchine virtuali non sono attive o perché i filtri upstream in gateway applicazione o altri dispositivi bloccano il traffico verso i gruppi di sicurezza di rete.
Prezzi
I log dei flussi del gruppo di sicurezza di rete vengono addebitati per gigabyte di log del flusso di rete raccolti e vengono forniti con un livello gratuito di 5 GB al mese per ogni sottoscrizione.
Se l'analisi del traffico è abilitata con i log dei flussi dei gruppi di sicurezza di rete, i prezzi di Analisi del traffico si applicano a velocità di elaborazione per gigabyte. L'analisi del traffico non è disponibile con un livello gratuito di prezzi. Per altre informazioni, vedere Prezzi di Network Watcher.
Archiviazione dei log viene addebitato separatamente. Per altre informazioni, vedere prezzi Archiviazione BLOB di Azure.
Contenuto correlato
- Per informazioni su come gestire i log dei flussi del gruppo di sicurezza di rete, vedere Creare, modificare, disabilitare o eliminare i log dei flussi del gruppo di sicurezza di rete usando il portale di Azure.
- Per trovare risposte ad alcune delle domande più frequenti sui log dei flussi dei gruppi di sicurezza di rete, vedere Domande frequenti sui log dei flussi.
- Per informazioni sull'analisi del traffico, vedere Panoramica dell'analisi del traffico.