Stroomlogboeken van netwerkbeveiligingsgroepen visualiseren met Power BI

  • Artikel

Met stroomlogboeken voor netwerkbeveiligingsgroepen kunt u informatie bekijken over inkomend en uitgaand IP-verkeer in netwerkbeveiligingsgroepen. Deze stroomlogboeken tonen uitgaande en binnenkomende stromen per regel, de NIC waarop de stroom van toepassing is, 5 tuple-informatie over de stroom (bron/doel-IP, bron-/doelpoort, protocol) en of het verkeer is toegestaan of geweigerd.

Het kan lastig zijn om inzicht te krijgen in stroomlogboekgegevens door de logboekbestanden handmatig te doorzoeken. In dit artikel bieden we een oplossing voor het visualiseren van uw meest recente stroomlogboeken en meer informatie over verkeer op uw netwerk.

Waarschuwing

De volgende stappen werken met stroomlogboeken versie 1. Zie Inleiding tot stroomlogboekregistratie voor netwerkbeveiligingsgroepen voor meer informatie. De volgende instructies werken niet met versie 2 van de logboekbestanden, zonder wijziging.

Scenario

In het volgende scenario verbinden we Power BI Desktop met het opslagaccount dat we hebben geconfigureerd als de sink voor onze NSG-stroomlogboekgegevens. Nadat we verbinding hebben gemaakt met ons opslagaccount, downloadt en parseert Power BI de logboeken om een visuele weergave te bieden van het verkeer dat is vastgelegd door netwerkbeveiligingsgroepen.

Met behulp van de visuals die zijn opgegeven in de sjabloon, kunt u het volgende onderzoeken:

  • Toptalkers
  • Tijdreeksstroomgegevens per richting en regelbeslissing
  • Stromen per MAC-adres van netwerkinterface
  • Stromen per NSG en regel
  • Stromen per doelpoort

De opgegeven sjabloon kan worden bewerkt, zodat u deze kunt wijzigen om nieuwe gegevens, visuals of bewerkingsquery's aan uw behoeften toe te voegen.

Instellingen

Voordat u begint, moet logboekregistratie van netwerkbeveiligingsgroepen zijn ingeschakeld voor een of meer netwerkbeveiligingsgroepen in uw account. Raadpleeg het volgende artikel voor instructies over het inschakelen van netwerkbeveiligingsstroomlogboeken: Inleiding tot stroomlogboekregistratie voor netwerkbeveiligingsgroepen.

U moet ook de Power BI Desktop-client op uw computer hebben geïnstalleerd en voldoende vrije ruimte op uw computer om de logboekgegevens te downloaden en laden die aanwezig zijn in uw opslagaccount.

Visio-diagram

Stappen

  1. Download en open de volgende Power BI-sjabloon in de Power BI Desktop Application Network Watcher Power BI-stroomlogboeksjabloon

  2. Voer de vereiste queryparameters in

    1. StorageAccountName : hiermee geeft u de naam op van het opslagaccount met de NSG-stroomlogboeken die u wilt laden en visualiseren.

    2. NumberOfLogFiles : hiermee geeft u het aantal logboekbestanden op dat u wilt downloaden en visualiseren in Power BI. Als er bijvoorbeeld 50 is opgegeven, worden de 50 meest recente logboekbestanden opgegeven. Als er twee NSG's zijn ingeschakeld en geconfigureerd voor het verzenden van NSG-stroomlogboeken naar dit account, kunnen de afgelopen 25 uur aan logboeken worden weergegeven.

      power BI main

  3. Voer de toegangssleutel voor uw opslagaccount in. U kunt geldige toegangssleutels vinden door in Azure Portal naar uw opslagaccount te navigeren en toegangssleutels te selecteren in het menu Instellingen. Klik op Verbinding maken en pas vervolgens wijzigingen toe.

    toegangssleutels

    toegangssleutel 2

  4. Uw logboeken worden gedownload en geparseerd en u kunt nu gebruikmaken van de vooraf gemaakte visuals.

Inzicht in de visuals

Opgegeven in de sjabloon zijn een set visuals waarmee u inzicht krijgt in de NSG-stroomlogboekgegevens. In de volgende afbeeldingen ziet u een voorbeeld van hoe het dashboard eruitziet wanneer het wordt gevuld met gegevens. Hieronder bekijken we elke visual in meer detail.

powerbi

In de visual Top Talkers worden de IP-adressen weergegeven die de meeste verbindingen hebben geïnitieerd gedurende de opgegeven periode. De grootte van de vakken komt overeen met het relatieve aantal verbindingen.

toptalkers

In de volgende tijdreeksgrafieken ziet u het aantal stromen gedurende de periode. De bovenste grafiek wordt gesegmenteerd op basis van de stroomrichting en de onderkant wordt gesegmenteerd door de beslissing die is genomen (toestaan of weigeren). Met deze visual kunt u uw verkeerstrends na verloop van tijd onderzoeken en eventuele abnormale pieken of afname van verkeer of verkeerssegmentatie herkennen.

flowsoverperiod

In de volgende grafieken ziet u de stromen per netwerkinterface, met de bovenste segmenten per stroomrichting en het lagere segment dat is gesegmenteerd op basis van de beslissing. Met deze informatie krijgt u inzicht in welke van uw VM's het meest ten opzichte van anderen is gecommuniceerd en of verkeer naar een specifieke VIRTUELE machine wordt toegestaan of geweigerd.

flowspernic

In het volgende ringwieldiagram ziet u een uitsplitsing van stromen per doelpoort. Met deze informatie kunt u de meest gebruikte doelpoorten bekijken die binnen de opgegeven periode worden gebruikt.

Donut

In het volgende staafdiagram ziet u de stroom per NSG en regel. Met deze informatie ziet u de NSG's die verantwoordelijk zijn voor het meeste verkeer en de uitsplitsing van verkeer op een NSG per regel.

staafdiagram

In de volgende informatieve grafieken ziet u informatie over de NSG's die aanwezig zijn in de logboeken, het aantal stromen dat gedurende de periode is vastgelegd en de datum van het vroegste vastgelegde logboek. Deze informatie geeft u een idee van welke NSG's worden geregistreerd en het datumbereik van stromen.

infografiek1

infografiek2

Deze sjabloon bevat de volgende slicers waarmee u alleen de gegevens kunt bekijken waarin u het meest geïnteresseerd bent. U kunt filteren op uw resourcegroepen, NSG's en regels. U kunt ook filteren op informatie van 5 tuples, beslissingen en de tijd waarop het logboek is geschreven.

slicers

Conclusie

We hebben in dit scenario laten zien dat we het verkeer kunnen visualiseren en begrijpen met behulp van stroomlogboeken voor netwerkbeveiligingsgroepen die worden geleverd door Network Watcher en Power BI. Met behulp van de opgegeven sjabloon downloadt Power BI de logboeken rechtstreeks vanuit de opslag en verwerkt deze lokaal. De tijd die nodig is om de sjabloon te laden, is afhankelijk van het aantal aangevraagde bestanden en de totale grootte van gedownloade bestanden.

U kunt deze sjabloon aanpassen aan uw behoeften. Er zijn veel manieren waarop u Power BI kunt gebruiken met stroomlogboeken voor netwerkbeveiligingsgroepen.

Opmerkingen

  • Logboeken worden standaard opgeslagen in https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Als er andere gegevens in een andere map staan, moeten de query's worden opgehaald en verwerkt, moeten de gegevens worden gewijzigd.

  • De opgegeven sjabloon wordt niet aanbevolen voor gebruik met meer dan 1 GB aan logboeken.

  • Als u een grote hoeveelheid logboeken hebt, raden we u aan om een oplossing te onderzoeken met behulp van een ander gegevensarchief, zoals Data Lake of SQL Server.

Volgende stappen

Meer informatie over het visualiseren van uw NSG-stroomlogboeken met de Elastic Stack door naar De NSG-stroomlogboeken van Azure Network Watcher te gaan met behulp van opensource-hulpprogramma's