NSG-stroomlogboeken beheren met Behulp van Azure PowerShell

Logboekregistratie van netwerkbeveiligingsgroepen is een functie van Azure Network Watcher waarmee u informatie kunt vastleggen over IP-verkeer dat via een netwerkbeveiligingsgroep stroomt. Zie het overzicht van NSG-stroomlogboeken voor meer informatie over logboekregistratie van netwerkbeveiligingsgroepen.

In dit artikel leert u hoe u een NSG-stroomlogboek maakt, wijzigt, uitschakelt of verwijdert met behulp van Azure PowerShell. U kunt leren hoe u een NSG-stroomlogboek beheert met behulp van de Azure-portal, Azure CLI, REST API of ARM-sjabloon.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• Inzichtenprovider. Zie Register Insights-provider voor meer informatie.

• Een netwerkbeveiligingsgroep. Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen als u een netwerkbeveiligingsgroep wilt maken, wijzigen of verwijderen.

• Een opslagaccount van Azure. Als u een opslagaccount wilt maken, raadpleegt u Een opslagaccount maken met behulp van PowerShell.

• Azure Cloud Shell of Azure PowerShell lokaal geïnstalleerd.

  • Met de stappen in dit artikel worden de Azure PowerShell-cmdlets interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

  • U kunt Azure PowerShell ook lokaal installeren om de cmdlets uit te voeren. Voor dit artikel is de Az PowerShell-module vereist. Zie Azure PowerShell installeren voor meer informatie. Voer Get-InstalledModule -Name Az uit om te zien welke versie is geïnstalleerd. Als u PowerShell lokaal uitvoert, meldt u zich aan bij Azure met behulp van de cmdlet Verbinding maken-AzAccount.

Inzichtenprovider registreren

De Microsoft.Insights-provider moet zijn geregistreerd om verkeer dat via een netwerkbeveiligingsgroep stroomt, te kunnen registreren. Als u niet zeker weet of de Microsoft.Insights-provider is geregistreerd, gebruikt u Register-AzResourceProvider om deze te registreren.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

Een stroomlogboek maken

1. Haal de eigenschappen op van de netwerkbeveiligingsgroep waarvoor u het stroomlogboek wilt maken en het opslagaccount dat u wilt gebruiken om het gemaakte stroomlogboek op te slaan met respectievelijk Get-AzNetworkSecurityGroup en Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Notitie

   • Als het opslagaccount zich in een ander abonnement bevindt, moeten de netwerkbeveiligingsgroep en het opslagaccount zijn gekoppeld aan dezelfde Azure Active Directory-tenant. Het account dat u voor elk abonnement gebruikt, moet over de benodigde machtigingen beschikken.

2. Maak het stroomlogboek met behulp van New-AzNetworkWatcherFlowLog. Het stroomlogboek wordt gemaakt in de Network Watcher-standaardresourcegroep NetworkWatcherRG.

   # Create a version 1 NSG flow log.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
   

Een werkruimte voor stroomlogboeken en traffic analytics maken

1. Haal de eigenschappen op van de netwerkbeveiligingsgroep waarvoor u het stroomlogboek wilt maken en het opslagaccount dat u wilt gebruiken om het gemaakte stroomlogboek op te slaan met respectievelijk Get-AzNetworkSecurityGroup en Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Notitie

   • Het opslagaccount kan geen netwerkregels hebben die de netwerktoegang beperken tot alleen Microsoft-services of specifieke virtuele netwerken.
   • Als het opslagaccount zich in een ander abonnement bevindt, moeten de netwerkbeveiligingsgroep en het opslagaccount zijn gekoppeld aan dezelfde Azure Active Directory-tenant. Het account dat u voor elk abonnement gebruikt, moet over de benodigde machtigingen beschikken.

2. Maak een traffic analytics-werkruimte met behulp van New-AzOperationalInsightsWorkspace.

   # Create a traffic analytics workspace and place its properties into a variable.
   $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Maak het stroomlogboek met behulp van New-AzNetworkWatcherFlowLog. Het stroomlogboek wordt gemaakt in de Network Watcher-standaardresourcegroep NetworkWatcherRG.

   # Create a version 1 NSG flow log with traffic analytics.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
   

Een stroomlogboek wijzigen

U kunt Set-AzNetworkWatcherFlowLog gebruiken om de eigenschappen van een stroomlogboek te wijzigen. U kunt bijvoorbeeld de versie van het stroomlogboek wijzigen of verkeersanalyse uitschakelen.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -FormatVersion 2 

Alle stroomlogboeken in een regio weergeven

Gebruik Get-AzNetworkWatcherFlowLog om alle NSG-stroomlogboekresources in een bepaalde regio in uw abonnement weer te geven.

# Get all NSG flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Notitie

Als u de -Location parameter met Get-AzNetworkWatcherFlowLog cmdlet wilt gebruiken, hebt u een extra lezermachtiging nodig in de resourcegroep NetworkWatcherRG .

Details van een stroomlogboekresource weergeven

Gebruik Get-AzNetworkWatcherFlowLog om details van een stroomlogboekresource te bekijken.

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Notitie

Als u de -Location parameter met Get-AzNetworkWatcherFlowLog cmdlet wilt gebruiken, hebt u een extra lezermachtiging nodig in de resourcegroep NetworkWatcherRG .

Een stroomlogboek downloaden

De opslaglocatie van een stroomlogboek wordt gedefinieerd bij het maken. Als u stroomlogboeken vanuit uw opslagaccount wilt openen en downloaden, kunt u Azure Storage Explorer gebruiken. Zie Aan de slag met Storage Explorer voor meer informatie.

NSG-stroomlogboekbestanden die zijn opgeslagen in een opslagaccount, volgen dit pad:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Zie De logboekindeling van NSG-stroomlogboeken voor informatie over de structuur van een stroomlogboek.

Een stroomlogboek uitschakelen

Als u een stroomlogboek tijdelijk wilt uitschakelen zonder het te verwijderen, gebruikt u Set-AzNetworkWatcherFlowLog met de -Enabled $false parameter. Als u een stroomlogboek uitschakelt, wordt de logboekregistratie van stromen voor de gekoppelde netwerkbeveiligingsgroep gestopt. De stroomlogboekresource blijft echter behouden met alle instellingen en koppelingen. U kunt deze functie op elk gewenst moment opnieuw inschakelen om stroomlogboekregistratie voor de geconfigureerde netwerkbeveiligingsgroep te hervatten.

Notitie

Als traffic analytics is ingeschakeld voor een stroomlogboek, moet dit worden uitgeschakeld voordat u het stroomlogboek kunt uitschakelen.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Een stroomlogboek verwijderen

Als u een NSG-stroomlogboek permanent wilt verwijderen, gebruikt u de opdracht Remove-AzNetworkWatcherFlowLog . Als u een stroomlogboek verwijdert, worden alle instellingen en koppelingen verwijderd. Als u stroomlogboekregistratie opnieuw wilt starten voor dezelfde netwerkbeveiligingsgroep, moet u er een nieuw stroomlogboek voor maken.

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Notitie

Als u een stroomlogboek verwijdert, worden de stroomlogboekgegevens niet uit het opslagaccount verwijderd. Stroomlogboekgegevens die zijn opgeslagen in het opslagaccount, volgen het geconfigureerde bewaarbeleid.

Volgende stappen

• Zie NSG-stroomlogboeken beheren met behulp van Azure Policy voor meer informatie over het gebruik van ingebouwd Azure-beleid voor het controleren of implementeren van NSG-stroomlogboeken.
• Zie Traffic Analytics voor meer informatie over traffic analytics.