Stroomlogboeken voor virtuele netwerken

Stroomlogboeken voor virtuele netwerken zijn een functie van Azure Network Watcher. U kunt deze gebruiken om informatie te registreren over IP-verkeer dat via een virtueel netwerk stroomt.

Stroomgegevens uit stroomlogboeken van virtuele netwerken worden verzonden naar Azure Storage. Van daaruit hebt u toegang tot de gegevens en kunt u deze exporteren naar elk visualisatieprogramma, SIEM-oplossing (Security Information and Event Management) of inbraakdetectiesysteem (IDS). Stroomlogboeken voor virtuele netwerken overwinnen enkele van de beperkingen van stroomlogboeken voor netwerkbeveiligingsgroepen.

Waarom stroomlogboeken gebruiken?

Het is essentieel om uw netwerk te bewaken, beheren en kennen, zodat u het kunt beveiligen en optimaliseren. Mogelijk moet u weten wat de huidige status van het netwerk is, wie er verbinding maakt en waar gebruikers verbinding mee maken. Mogelijk moet u ook weten welke poorten openstaan voor internet, welk netwerkgedrag wordt verwacht, welk netwerkgedrag onregelmatig is en wanneer plotselinge toename van het verkeer plaatsvindt.

Stroomlogboeken zijn de bron van waarheid voor alle netwerkactiviteit in uw cloudomgeving. Of u nu in een opstartproces bent dat resources probeert te optimaliseren of een grote onderneming die inbraak probeert te detecteren, kan stroomlogboeken helpen. U kunt ze gebruiken voor het optimaliseren van netwerkstromen, het bewaken van doorvoer, het controleren van naleving, het detecteren van inbraak en meer.

Veelvoorkomende toepassingen

Netwerkbewaking

• Onbekend of ongewenst verkeer identificeren.
• Bewaak de verkeersniveaus en het bandbreedteverbruik.
• Filter stroomlogboeken op IP en poort om het gedrag van toepassingen te begrijpen.
• Exporteer stroomlogboeken naar analyse- en visualisatiehulpprogramma's van uw keuze om bewakingsdashboards in te stellen.

Gebruiksbewaking en optimalisatie

• Identificeer de belangrijkste talkers in uw netwerk.
• Combineer met GeoIP-gegevens om verkeer tussen regio's te identificeren.
• Inzicht in de groei van het verkeer voor capaciteitsprognoses.
• Gebruik gegevens om te beperkend verkeersregels te verwijderen.

Naleving

• Gebruik stroomgegevens om netwerkisolatie en naleving van bedrijfstoegangsregels te controleren.

Forensische netwerkanalyse en beveiligingsanalyse

• Analyseer netwerkstromen van gecompromitteerde IP-adressen en netwerkinterfaces.
• Stroomlogboeken exporteren naar elk SIEM- of IDS-hulpprogramma van uw keuze.

Stroomlogboeken van virtuele netwerken vergeleken met stroomlogboeken voor netwerkbeveiligingsgroepen

Zowel logboeken voor virtuele netwerkstromen als stroomlogboeken voor netwerkbeveiligingsgroepen registreren IP-verkeer, maar ze verschillen in hun gedrag en mogelijkheden.

Stroomlogboeken voor virtuele netwerken vereenvoudigen het bereik van verkeersbewaking, omdat u logboekregistratie op virtuele netwerken kunt inschakelen. Verkeer door alle ondersteunde workloads binnen een virtueel netwerk wordt vastgelegd.

Stroomlogboeken voor virtuele netwerken voorkomen ook dat u stroomlogboeken op meerdere niveaus moet inschakelen, zoals in stroomlogboeken voor netwerkbeveiligingsgroepen. In stroomlogboeken voor netwerkbeveiligingsgroepen worden netwerkbeveiligingsgroepen geconfigureerd op zowel het subnet als de netwerkinterface (NIC).

Naast bestaande ondersteuning voor het identificeren van verkeer dat regels voor netwerkbeveiligingsgroepen toestaan of weigeren, ondersteunen stroomlogboeken van virtuele netwerken identificatie van verkeer dat azure Virtual Network Manager-beveiligingsbeheerdersregels toestaan of weigeren. Stroomlogboeken voor virtuele netwerken ondersteunen ook het evalueren van de versleutelingsstatus van uw netwerkverkeer in scenario's waarin u versleuteling van virtuele netwerken gebruikt.

Belangrijk

U wordt aangeraden stroomlogboeken voor netwerkbeveiligingsgroepen uit te schakelen voordat u stroomlogboeken voor virtuele netwerken inschakelt op dezelfde onderliggende workloads om dubbele verkeersopnamen en extra kosten te voorkomen. Als u stroomlogboeken voor netwerkbeveiligingsgroepen inschakelt in de netwerkbeveiligingsgroep van een subnet, schakelt u stroomlogboeken voor virtuele netwerken in hetzelfde subnet of bovenliggend virtueel netwerk in, dan krijgt u mogelijk dubbele logboekregistratie (zowel stroomlogboeken voor netwerkbeveiligingsgroepen als logboeken voor virtuele netwerkstroom die zijn gegenereerd voor alle ondersteunde workloads in dat specifieke subnet).

Hoe logboekregistratie werkt

Belangrijke eigenschappen van stroomlogboeken voor virtuele netwerken zijn onder andere:

• Stroomlogboeken worden uitgevoerd op laag 4 van het OSI-model (Open Systems Interconnect) en registreren alle IP-stromen die via een virtueel netwerk lopen.
• Logboeken worden met intervallen van één minuut verzameld via het Azure-platform. Ze hebben geen invloed op uw Azure-resources of netwerkverkeer.
• Logboeken worden geschreven in de JSON-indeling (JavaScript Object Notation).
• Elke logboekrecord bevat de netwerkinterface waarop de stroom van toepassing is, informatie over vijf tuples, verkeersrichting, stroomstatus, versleutelingsstatus en doorvoergegevens.
• Alle verkeersstromen in uw netwerk worden geëvalueerd via de toepasselijke regels voor netwerkbeveiligingsgroepen of azure Virtual Network Manager-beveiligingsbeheerdersregels.

Logboekindeling

Stroomlogboeken voor virtuele netwerken hebben de volgende eigenschappen:

• time: Tijd in UTC waarop de gebeurtenis is geregistreerd.
• flowLogVersion: Versie van het stroomlogboekschema.
• flowLogGUID: Resource-GUID van de FlowLog resource.
• macAddress: MAC-adres van de netwerkinterface waar de gebeurtenis is vastgelegd.
• category: Categorie van de gebeurtenis. De categorie is altijd FlowLogFlowEvent.
• flowLogResourceID: Resource-id van de FlowLog resource.
• targetResourceID: Resource-id van de doelresource die is gekoppeld aan de FlowLog resource.
• operationName: Altijd FlowLogFlowEvent.
• flowRecords: Verzameling stroomrecords.
  • flows: Verzameling stromen. Deze eigenschap heeft meerdere vermeldingen voor toegangsbeheerlijsten (ACL's):
    • aclID: Id van de resource die verkeer evalueert, ofwel een netwerkbeveiligingsgroep of Virtual Network Manager. Voor verkeer dat is geweigerd vanwege versleuteling, is unspecifieddeze waarde .
    • flowGroups: Verzameling stroomrecords op regelniveau:
      • rule: Naam van de regel die het verkeer heeft toegestaan of geweigerd. Voor verkeer dat is geweigerd vanwege versleuteling, is unspecifieddeze waarde .
      • flowTuples: Tekenreeks met meerdere eigenschappen voor de stroom tuple in een door komma's gescheiden indeling:
        • Time Stamp: Tijdstempel van wanneer de stroom heeft plaatsgevonden, in UNIX-epoch-indeling.
        • Source IP: Bron-IP-adres.
        • Destination IP: doel-IP-adres.
        • Source port: bronpoort.
        • Destination port: doelpoort.
        • Protocol: Laag 4-protocol van de stroom, uitgedrukt in door IANA toegewezen waarden.
        • Flow direction: Richting van de verkeersstroom. Geldige waarden zijn I voor inkomend en O uitgaand.
        • Flow state: Status van de stroom. Mogelijke statussen zijn:
          • B: Begin, wanneer een stroom wordt gemaakt. Er worden geen statistieken verstrekt.
          • C: Doorgaan voor een doorlopende stroom. Statistieken worden opgegeven met intervallen van vijf minuten.
          • E: Eindigt, wanneer een stroom wordt beëindigd. Er worden statistische gegevens geleverd.
          • D: Weigeren, wanneer een stroom wordt geweigerd.
        • Flow encryption: Versleutelingsstatus van de stroom. In de tabel na deze lijst worden de mogelijke waarden beschreven.
        • Packets sent: Het totale aantal pakketten dat vanaf de bron naar de bestemming is verzonden sinds de laatste update.
        • Bytes sent: Het totale aantal pakketbytes dat vanaf de bron naar de bestemming is verzonden sinds de laatste update. Pakketbytes omvatten de pakket-header en -nettolading.
        • Packets received: Het totale aantal pakketten dat vanaf de bestemming naar de bron is verzonden sinds de laatste update.
        • Bytes received: Het totale aantal pakketbytes dat vanaf de bestemming naar de bron is verzonden sinds de laatste update. Pakketbytes omvatten de pakket-header en -nettolading.

Flow encryption heeft de volgende mogelijke versleutelingsstatussen:

Versleutelingsstatus	Beschrijving
X	Verbinding maken ion is versleuteld. Versleuteling is geconfigureerd en het platform heeft de verbinding versleuteld.
NX	Verbinding maken ion is niet versleuteld. Deze gebeurtenis wordt in twee scenario's vastgelegd: - Wanneer versleuteling niet is geconfigureerd. - Wanneer een versleutelde virtuele machine communiceert met een eindpunt dat geen versleuteling heeft (zoals een interneteindpunt).
NX_HW_NOT_SUPPORTED	Hardware wordt niet ondersteund. Versleuteling is geconfigureerd, maar de virtuele machine wordt uitgevoerd op een host die geen ondersteuning biedt voor versleuteling. Dit probleem treedt meestal op omdat de field-programmeble gate array (FPGA) niet is gekoppeld aan de host of defect is. Meld dit probleem aan Microsoft voor onderzoek.
NX_SW_NOT_READY	Software is niet gereed. Versleuteling is geconfigureerd, maar het softwareonderdeel (GFT) in de hostnetwerkstack is niet gereed voor het verwerken van versleutelde verbindingen. Dit probleem kan optreden wanneer de virtuele machine voor het eerst wordt gestart, opnieuw wordt opgestart of opnieuw wordt geïmplementeerd. Dit kan ook gebeuren wanneer er een update is van de netwerkonderdelen op de host waarop de virtuele machine wordt uitgevoerd. In al deze scenario's wordt het pakket verwijderd. Het probleem moet tijdelijk zijn. Versleuteling moet werken nadat de virtuele machine volledig actief is of als de software-update op de host is voltooid. Als het probleem een langere duur heeft, meldt u het aan Microsoft voor onderzoek.
NX_NOT_ACCEPTED	Neerzetten vanwege geen versleuteling. Versleuteling wordt geconfigureerd op zowel bron- als doeleindpunten, met een daling van niet-versleuteld beleid. Als verkeersversleuteling mislukt, wordt het pakket verwijderd.
NX_NOT_SUPPORTED	Detectie wordt niet ondersteund. Versleuteling is geconfigureerd, maar de versleutelingssessie is niet tot stand gebracht omdat de hostnetwerkstack geen ondersteuning biedt voor detectie. In dit geval wordt het pakket verwijderd. Als u dit probleem ondervindt, meldt u dit aan Microsoft voor onderzoek.
NX_LOCAL_DST	De bestemming bevindt zich op dezelfde host. Versleuteling is geconfigureerd, maar de bron- en doel-VM's worden uitgevoerd op dezelfde Azure-host. In dit geval wordt de verbinding niet standaard versleuteld.
NX_FALLBACK	Terugvallen op geen versleuteling. Versleuteling wordt geconfigureerd met het niet-versleutelde beleid toestaan voor zowel bron- als doeleindpunten. Het systeem heeft versleuteling geprobeerd, maar er is een probleem opgetreden. In dit geval is de verbinding toegestaan, maar is deze niet versleuteld. Een virtuele machine is bijvoorbeeld in eerste instantie terecht gekomen op een knooppunt dat versleuteling ondersteunt, maar deze ondersteuning is later verwijderd.

Verkeer in uw virtuele netwerken is standaard niet versleuteld (NX). Zie Versleuteling van virtueel netwerk voor versleuteld verkeer.

Voorbeeldlogboekrecord

In het volgende voorbeeld van stroomlogboeken voor virtuele netwerken volgen meerdere records de eigenschappenlijst die eerder is beschreven.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "abcdef01-2345-6789-0abc-def012345678",
            "macAddress": "00224871C205",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00000000-1234-abcd-ef00-c1c2c3c4c5c6",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,52.239.184.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,52.239.184.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,40.74.146.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,40.74.146.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,40.74.146.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,40.74.146.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,104.16.218.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,104.16.218.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "01020304-abcd-ef00-1234-102030405060",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,20.106.221.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,20.55.117.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,20.55.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,13.65.224.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,20.55.117.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,20.55.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,20.106.221.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Berekening van logboek tuples en bandbreedte

Hier volgt een voorbeeld van een bandbreedteberekening voor stroom-tuples vanuit een TCP-gesprek tussen 185.170.185.105:35370 en 10.2.0.4:23:

1493763938,185.170.185.105,10.2.0.4,35370,23,6,I,B,NX,,,, 1493695838,185.170.185.105,10.2.0.4,35370,23,6,I,C,NX,1021,588096,8005,4610880 1493696138,185.170.185.105,10.2.0.4,35370,23,6,I,E,NX,52,29952,47,27072

Voor vervolg- (C) en eindstroomstatussenE zijn byte- en pakketaantallen geaggregeerde tellingen van het tijdstip van de tuplerecord van de vorige stroom. In het voorbeeldgesprek is het totale aantal overgedragen pakketten 1.021 + 52 + 8.005 + 47 = 9.125. Het totale aantal overgedragen bytes is 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Overwegingen voor opslagaccounts voor stroomlogboeken van virtuele netwerken

• Locatie: Het opslagaccount moet zich in dezelfde regio bevinden als het virtuele netwerk.
• Abonnement: het opslagaccount moet zich in hetzelfde abonnement van het virtuele netwerk bevinden of in een abonnement dat is gekoppeld aan dezelfde Microsoft Entra-tenant van het abonnement van het virtuele netwerk.
• Prestatielaag: het opslagaccount moet standaard zijn. Premium-opslagaccounts worden niet ondersteund.
• Zelfbeheerde sleutelrotatie: als u de toegangssleutels voor uw opslagaccount wijzigt of roteert, werken de stroomlogboeken van virtuele netwerken niet meer. U kunt dit probleem oplossen door stroomlogboeken voor virtuele netwerken uit te schakelen en vervolgens opnieuw in te schakelen.

Prijzen

• Stroomlogboeken voor virtuele netwerken worden in rekening gebracht per gigabyte aan netwerkstroomlogboeken die worden verzameld en worden geleverd met een gratis laag van 5 GB/maand per abonnement.

  Notitie

  Stroomlogboeken voor virtuele netwerken worden gefactureerd op 1 juni 2024.

• Als verkeersanalyse is ingeschakeld met stroomlogboeken voor virtuele netwerken, gelden de prijzen voor verkeersanalyses tegen verwerkingstarieven per gigabyte. Traffic Analytics wordt niet aangeboden met een gratis prijscategorie. Zie Network Watcher-prijzen voor meer informatie.

• Opslag van logboeken wordt afzonderlijk in rekening gebracht. Zie prijzen voor Azure Blob Storage voor meer informatie.

Beschikbaarheid

Stroomlogboeken voor virtuele netwerken zijn algemeen beschikbaar in alle openbare Azure-regio's.

Gerelateerde inhoud

• Zie de Handleidingen voor Azure Portal, PowerShell of Azure CLI voor meer informatie over het maken, wijzigen, inschakelen, uitschakelen of verwijderen van stroomlogboeken voor virtuele netwerken.
• Zie traffic analytics overview and Schema and data aggregation in Azure Network Watcher traffic analytics voor meer informatie over verkeersanalyses.
• Zie Traffic Analytics beheren met Behulp van Azure Policy voor meer informatie over het gebruik van ingebouwd Azure-beleid om verkeersanalyses te controleren of in te schakelen.