Zelfstudie: Logboekregistratie van netwerkverkeer naar en van een virtuele machine met Azure Portal

  • Artikel

Logboekregistratie van netwerkbeveiligingsgroepen is een functie van Azure Network Watcher waarmee u informatie kunt vastleggen over IP-verkeer dat via een netwerkbeveiligingsgroep stroomt. Zie het overzicht van NSG-stroomlogboeken voor meer informatie over logboekregistratie van netwerkbeveiligingsgroepen.

Deze zelfstudie helpt u bij het gebruik van NSG-stroomlogboeken om het netwerkverkeer van een virtuele machine te registreren dat via de netwerkbeveiligingsgroep loopt die is gekoppeld aan de netwerkinterface.

Diagram toont de resources die tijdens de zelfstudie zijn gemaakt.

In deze zelfstudie leert u het volgende:

  • Een virtueel netwerk maken
  • Een virtuele machine maken met een netwerkbeveiligingsgroep die is gekoppeld aan de netwerkinterface
  • Microsoft.insights-provider registreren
  • Stroomlogboeken inschakelen voor een netwerkbeveiligingsgroep met behulp van Network Watcher-stroomlogboeken
  • Logboekgegevens downloaden
  • Logboekgegevens weergeven

Vereisten

Een virtueel netwerk maken

In deze sectie maakt u een virtueel myVNet-netwerk met één subnet voor de virtuele machine.

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak boven aan de portal virtuele netwerken in. Selecteer Virtuele netwerken in de zoekresultaten.

    Schermopname van het zoeken naar virtuele netwerken in Azure Portal.

  3. Selecteer + Maken. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer myResourceGroup in Naam in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer myVNet in.
    Regio Selecteer (VS) VS - oost.

  4. Selecteer Controleren + maken.

  5. Controleer de instellingen en selecteer vervolgens Maken.

Maak een virtuele machine

In deze sectie maakt u de virtuele machine myVM .

  1. Voer in het zoekvak boven aan de portal virtuele machines in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer + Maken en selecteer vervolgens virtuele Azure-machine.

  3. In Een virtuele machine maken voert u de volgende waarden in of selecteert u deze op het tabblad Basisinformatie:

    Instelling Weergegeven als
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Virtual machine name Voer myVM in.
    Regio Selecteer (VS) VS - oost.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Selecteer Standaard.
    Afbeelding Selecteer Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
    Tekengrootte Kies een grootte of laat de standaardinstelling staan.
    Beheerdersaccount
    Username Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.

  4. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  5. Selecteer op het tabblad Netwerken de volgende waarden:

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer myVNet.
    Subnet Selecteer mySubnet.
    Openbare IP Selecteer (nieuw) myVM-ip.
    NIC-netwerkbeveiligingsgroep Selecteer Basic. Met deze instelling maakt u een netwerkbeveiligingsgroep met de naam myVM-nsg en koppelt u deze aan de netwerkinterface van de virtuele myVM-machine .
    Openbare poorten voor inkomend verkeer Selecteer Geselecteerde poorten toestaan.
    Binnenkomende poorten selecteren Selecteer RDP (3389).

    Let op

    Het is alleen raadzaam om de RDP-poort open te laten voor internet. Voor productieomgevingen is het raadzaam om de toegang tot de RDP-poort te beperken tot een specifiek IP-adres of een specifiek IP-adresbereik. U kunt ook internettoegang tot de RDP-poort blokkeren en Azure Bastion gebruiken om veilig verbinding te maken met uw virtuele machine vanuit Azure Portal.

  6. Selecteer Controleren + maken.

  7. Controleer de instellingen en selecteer vervolgens Maken.

  8. Zodra de implementatie is voltooid, selecteert u Ga naar de resource om naar de pagina Overzicht van myVM te gaan.

  9. Selecteer Verbinding maken selecteer vervolgens RDP.

  10. Selecteer RDP-bestand downloaden en open het gedownloade bestand.

  11. Selecteer Verbinding maken en voer vervolgens de gebruikersnaam en het wachtwoord in die u in de vorige stappen hebt gemaakt. Accepteer het certificaat als hierom wordt gevraagd.

Insights-provider registreren

Voor NSG-stroomlogboekregistratie is de Microsoft.Insights-provider vereist. Voer de volgende stappen uit om de status ervan te controleren:

  1. Voer in het zoekvak boven aan de portal abonnementen in. Selecteer Abonnementen in de zoekresultaten.

  2. Selecteer het Azure-abonnement waarvoor u de provider wilt inschakelen in Abonnementen.

  3. Selecteer Resourceproviders onder Instellingen van uw abonnement.

  4. Voer inzicht in het filtervak in.

  5. Controleer of de status van de weergegeven provider is geregistreerd. Als de status NotRegistered is, selecteert u de Microsoft.Insights-provider en selecteert u Registreren.

    Schermopname van het registreren van de Microsoft Insights-provider in Azure Portal.

Een opslagaccount maken

In deze sectie maakt u een opslagaccount om dit te gebruiken om de stroomlogboeken op te slaan.

  1. Voer in het zoekvak boven aan de portal opslagaccounts in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer + Maken. Voer in Een opslagaccount maken de volgende waarden in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam van het opslagaccount Voer een unieke naam in. In deze zelfstudie wordt mynwstorageaccount gebruikt.
    Regio Selecteer (VS) VS - oost. Het opslagaccount moet zich in dezelfde regio bevinden als de virtuele machine en de bijbehorende netwerkbeveiligingsgroep.
    Prestaties Selecteer Standaard. NSG-stroomlogboeken bieden alleen ondersteuning voor opslagaccounts in de Standard-laag.
    Redundantie Selecteer Lokaal redundante opslag (LRS) of een andere replicatiestrategie die overeenkomt met uw duurzaamheidsvereisten.

  3. Selecteer het tabblad Controleren of selecteer onderaan de knop Controleren .

  4. Controleer de instellingen en selecteer vervolgens Maken.

Een NSG-stroomlogboek maken

In deze sectie maakt u een NSG-stroomlogboek dat is opgeslagen in het opslagaccount dat u eerder in de zelfstudie hebt gemaakt.

  1. Voer in het zoekvak boven aan de portal netwerk-watcher in. Selecteer Network Watcher in de zoekresultaten.

  2. Selecteer stroomlogboeken onder Logboeken.

  3. In Network Watcher | Stroomlogboeken, selecteer de blauwe knop Stroomlogboek maken of maken.

    Schermopname van de pagina Flow-logboeken in Azure Portal.

  4. Voer de volgende waarden in of selecteer deze in Een stroomlogboek maken:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer het Azure-abonnement van uw netwerkbeveiligingsgroep die u wilt registreren.
    Netwerkbeveiligingsgroep Selecteer + Resource selecteren.
    Selecteer myVM-nsg in Netwerkbeveiligingsgroep selecteren. Selecteer vervolgens De selectie bevestigen.
    Naam van stroomlogboek Laat de standaardwaarde van myVM-nsg-myResourceGroup-flowlog staan.
    Exemplaardetails
    Abonnement Selecteer het Azure-abonnement van uw opslagaccount.
    Storage Accounts Selecteer het opslagaccount dat u in de vorige stappen hebt gemaakt. In deze zelfstudie wordt mynwstorageaccount gebruikt.
    Retentie (dagen) Voer 0 in om de stroomlogboekgegevens in het opslagaccount voor altijd te bewaren (totdat u deze uit het opslagaccount verwijdert). Als u een bewaarbeleid wilt toepassen, voert u de bewaartijd in dagen in. Zie Prijzen voor Azure Storage voor meer informatie over opslagprijzen.

    Schermopname van de pagina NSG-stroomlogboek maken in Azure Portal.

    Notitie

    Azure Portal maakt NSG-stroomlogboeken in de resourcegroep NetworkWatcherRG .

  5. Selecteer Controleren + maken.

  6. Controleer de instellingen en selecteer vervolgens Maken.

  7. Zodra de implementatie is voltooid, selecteert u Ga naar de resource om het stroomlogboek te bevestigen dat is gemaakt en vermeld op de pagina Stroomlogboeken .

    Schermopname van de pagina Stroomlogboeken in Azure Portal met het zojuist gemaakte stroomlogboek.

  8. Ga terug naar uw RDP-sessie met de virtuele myVM-machine .

  9. Open Microsoft Edge en ga naar www.bing.com.

Het stroomlogboek downloaden

In deze sectie gaat u naar het opslagaccount dat u eerder hebt geselecteerd en downloadt u het NSG-stroomlogboek dat u in de vorige sectie hebt gemaakt.

  1. Voer in het zoekvak boven aan de portal opslagaccounts in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer mynwstorageaccount of het opslagaccount dat u eerder hebt gemaakt en geselecteerd om de logboeken op te slaan.

  3. Selecteer Onder Gegevensopslag containers.

  4. Selecteer de container insights-logs-networksecuritygroupflowevent .

  5. Navigeer in de container naar de maphiërarchie totdat u bij het PT1H.json bestand bent. NSG-logboekbestanden worden geschreven naar een maphiërarchie die de volgende naamconventie volgt:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. Selecteer het beletselteken ... rechts van het PT1H.json-bestand en selecteer Vervolgens Downloaden.

    Schermopname die laat zien hoe u nsg-stroomlogboek downloadt uit de container van het opslagaccount in Azure Portal.

Notitie

U kunt Azure Storage Explorer gebruiken om stroomlogboeken van uw opslagaccount te openen en te downloaden. Zie Aan de slag met Storage Explorer voor meer informatie.

Het stroomlogboek weergeven

Open het gedownloade PT1H.json bestand met behulp van een teksteditor van uw keuze. Het volgende voorbeeld is een sectie uit het gedownloade PT1H.json bestand, waarin een stroom wordt weergegeven die wordt verwerkt door de regel DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

De door komma's gescheiden informatie voor flowTuples is als volgt:

Voorbeeldgegevens Wat de gegevens voorstellen Uitleg
1677455097 Tijdstempel Het tijdstempel van het tijdstip waarop de stroom is opgetreden in de UNIX EPOCH-indeling. In het vorige voorbeeld wordt de datum geconverteerd naar 26 februari 2023 11:44:57 UUR UTC/GMT.
10.0.0.4 IP-adres van bron Het IP-adres van de bron waaruit de stroom afkomstig is. 10.0.0.4 is het privé-IP-adres van de virtuele machine die u eerder hebt gemaakt.
13.107.21.200 IP-adres van doel Het doel-IP-adres waarnaar de stroom is bestemd. 13.107.21.200 is het IP-adres van www.bing.com. Omdat het verkeer buiten Azure is bestemd, DefaultRule_AllowInternetOutBound de stroom door de beveiligingsregel verwerkt.
49982 Bronpoort De bronpoort waaruit de stroom afkomstig is.
443 Doelpoort De doelpoort waarvoor de stroom is bestemd.
T Protocol Het protocol van de stroom. T: TCP.
O Richting De richting van de stroom. O: Uitgaand.
A Beslissing De beslissing die is genomen door de beveiligingsregel. A: Toegestaan.
E Alleen stroomstatusversie 2 De status van de stroom. C: Continu, voor een actieve stroom.
7 Alleen pakketten die versie 2 hebben verzonden Het totale aantal TCP-pakketten dat sinds de laatste update naar de bestemming is verzonden.
1158 Alleen verzonden bytes versie 2 Het totale aantal TCP-pakketbytes dat vanaf de bron naar de bestemming is verzonden sinds de laatste update. Pakketbytes omvatten de pakket-header en -nettolading.
12 Pakketten hebben alleen versie 2 ontvangen Het totale aantal TCP-pakketten dat vanaf de bestemming is ontvangen sinds de laatste update.
8143 Alleen bytes ontvangen versie 2 Het totale aantal TCP-pakketbytes dat is ontvangen van de bestemming sinds de laatste update. Pakketbytes omvatten een pakket-header en -nettolading.

Resources opschonen

Wanneer u deze niet meer nodig hebt, verwijdert u myResourceGroup-resourcegroep en alle resources die deze bevat:

  1. Voer myResourceGroup in het zoekvak bovenin de portal in. Selecteer myResourceGroup in de zoekresultaten.

  2. Selecteer Resourcegroep verwijderen.

  3. Voer in Een resourcegroep verwijderen myResourceGroup in en selecteer Vervolgens Verwijderen.

  4. Selecteer Verwijderen om het verwijderen van de resourcegroep en alle bijbehorende resources te bevestigen.

Notitie

Het stroomlogboek myVM-nsg-myResourceGroup-flowlog bevindt zich in de resourcegroep NetworkWatcherRG , maar wordt verwijderd na het verwijderen van de netwerkbeveiligingsgroep myVM-nsg (door de resourcegroep myResourceGroup te verwijderen).

Gerelateerde inhoud