Migreren van stroomlogboeken van netwerkbeveiligingsgroepen naar stroomlogboeken voor virtuele netwerken

Belangrijk

Op 30 september 2027 worden stroomlogboeken voor netwerkbeveiligingsgroepen (NSG) buiten gebruik gesteld. Als onderdeel van deze buitengebruikstelling kunt u vanaf 30 juni 2025 geen nieuwe NSG-stroomlogboeken meer maken. U wordt aangeraden te migreren naar stroomlogboeken van virtuele netwerken, waardoor de beperkingen van NSG-stroomlogboeken worden opgelost. Na de buitengebruikstellingsdatum worden verkeersanalyses die zijn ingeschakeld met NSG-stroomlogboeken niet meer ondersteund en worden bestaande resources voor NSG-stroomlogboeken in uw abonnementen verwijderd. NSG-stroomlogboekrecords worden echter niet verwijderd en blijven hun respectieve bewaarbeleid volgen. Zie de officiële aankondiging voor meer informatie.

In dit artikel leert u hoe u uw bestaande stroomlogboeken voor netwerkbeveiligingsgroepen migreert naar stroomlogboeken van virtuele netwerken met behulp van een migratiescript. Stroomlogboeken van virtuele netwerken overwinnen enkele van de beperkingen van stroomlogboeken voor netwerkbeveiligingsgroepen. Zie Stroomlogboeken voor virtuele netwerken voor meer informatie.

Notitie

Gebruik het migratiescript:

• wanneer u stroomlogboekregistratie niet hebt ingeschakeld op alle netwerkinterfaces of subnetten in een virtueel netwerk en u geen logboekregistratie van virtuele netwerkstromen wilt inschakelen op al deze, of
• wanneer de stroomlogboeken van uw netwerkbeveiligingsgroep in een virtueel netwerk verschillende configuraties hebben en u stroomlogboeken voor virtuele netwerken wilt maken met die verschillende configuraties als stroomlogboeken voor netwerkbeveiligingsgroepen.

Azure Policy gebruiken:

• wanneer u dezelfde netwerkbeveiligingsgroep hebt toegepast op alle netwerkinterfaces of subnetten in een virtueel netwerk,
• wanneer u dezelfde stroomlogboekconfiguraties voor netwerkbeveiligingsgroepen hebt voor alle netwerkinterfaces of subnetten in een virtueel netwerk, of
• wanneer u logboekregistratie van virtuele netwerkstromen wilt inschakelen op het niveau van het virtuele netwerk.

Zie Stroomlogboeken voor virtuele netwerken implementeren en configureren met behulp van ingebouwd beleid voor meer informatie.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• PowerShell 7 is geïnstalleerd op uw computer. Zie PowerShell installeren in Windows, Linux en macOS voor meer informatie. Voor dit artikel is de Az PowerShell-module vereist. Zie Azure PowerShell installeren voor meer informatie. Voer Get-Module -ListAvailable Az uit om te zien welke versie is geïnstalleerd.

• Benodigde RBAC-machtigingen voor de abonnementen van de stroomlogboeken en Log Analytics-werkruimten (als traffic analytics is ingeschakeld voor een van de stroomlogboeken van de netwerkbeveiligingsgroep). Zie Network Watcher-machtigingen voor meer informatie.

• Stroomlogboeken voor netwerkbeveiligingsgroepen in een regio of meer. Zie Stroomlogboeken voor netwerkbeveiligingsgroepen maken voor meer informatie.

Migratiescript genereren

In deze sectie leert u hoe u de migratiebestanden genereert en downloadt voor de stroomlogboeken van de netwerkbeveiligingsgroep die u wilt migreren.

1. Voer in het zoekvak boven aan de portal netwerk-watcher in. Selecteer Network Watcher in de zoekresultaten.

   

2. Selecteer onder Logboeken stroomlogboeken migreren.

   

3. Selecteer de abonnementen die de stroomlogboeken van de netwerkbeveiligingsgroep bevatten die u wilt migreren.

4. Selecteer voor elk abonnement de regio's die de stroomlogboeken bevatten die u wilt migreren. In totaal aantal NSG-stroomlogboeken wordt het totale aantal stroomlogboeken weergegeven dat zich in de geselecteerde abonnementen bevindt. Geselecteerde NSG-stroomlogboeken tonen het aantal stroomlogboeken in de geselecteerde regio's.

5. Nadat u de abonnementen en regio's hebt gekozen, selecteert u Script en JSON-bestand downloaden om de migratiebestanden als zip-bestand te downloaden.

   

6. Pak MigrateFlowLogs.zip het bestand op uw lokale computer uit. Het ZIP-bestand bevat deze twee bestanden:

   • een scriptbestand: MigrationFromNsgToAzureFlowLogging.ps1
   • een JSON-bestand: RegionSubscriptionConfig.json.

Migratiescript uitvoeren

In deze sectie leert u hoe u het scriptbestand gebruikt dat u in de vorige sectie hebt gedownload om de stroomlogboeken van uw netwerkbeveiligingsgroep te migreren.

Belangrijk

Zodra u het script uitvoert, moet u geen wijzigingen aanbrengen in de topologie in de regio's en abonnementen van de stroomlogboeken die u migreert.

1. Voer het scriptbestand MigrationFromNsgToAzureFlowLogging.ps1uit.

2. Voer 1 in voor de optie Analyse uitvoeren .

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Voer de JSON-bestandsnaam in.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Voer het aantal threads in of laat leeg om de standaardwaarde van 16 te gebruiken.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Nadat de analyse is voltooid, ziet u het analyserapport op het scherm en in een HTML-bestand in dezelfde map met de migratiebestanden. Het rapport bevat het aantal stroomlogboeken voor netwerkbeveiligingsgroepen dat wordt uitgeschakeld en het aantal virtuele netwerkstroomlogboeken dat wordt gemaakt om deze te vervangen. Het aantal stroomlogboeken voor virtuele netwerken dat wordt gemaakt, is afhankelijk van het type migratie dat u kiest. Als de netwerkbeveiligingsgroep die u migreert bijvoorbeeld het stroomlogboek is gekoppeld aan drie netwerkinterfaces in hetzelfde virtuele netwerk, kunt u migratie met aggregatie kiezen om één virtuele netwerkstroomlogboekresource op het virtuele netwerk toe te passen. U kunt ook migratie zonder aggregatie kiezen om drie stroomlogboeken voor virtuele netwerken te hebben (één resource voor virtuele netwerkstroomlogboeken per netwerkinterface).

   Notitie

   Bekijk AnalysisReport-<subscriptionId>-<region>-<time>.html het bestand voor een volledig rapport van de analyse die u hebt uitgevoerd. Het bestand is beschikbaar in dezelfde map van het script.

5. Voer 2 of 3 in om het type migratie te kiezen dat u wilt uitvoeren.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Nadat u het overzicht van de migratie op het scherm ziet, kunt u de migratie annuleren en wijzigingen terugzetten. Als u wilt accepteren en doorgaan met de migratie, voert u n in, anders voert u y in. Zodra u de wijzigingen accepteert, kunt u deze niet meer terugzetten.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Notitie

   Bewaar de script- en analyserapportbestanden ter referentie voor het geval u problemen ondervindt met de migratie.

7. Controleer de Azure-portal om te bevestigen dat de status van stroomlogboeken voor netwerkbeveiligingsgroepen die u hebt gemigreerd, is uitgeschakeld. Controleer ook de zojuist gemaakte stroomlogboeken voor virtuele netwerken als gevolg van het migratieproces.

   

8. Voeg een filter toe om alleen stroomlogboeken voor netwerkbeveiligingsgroepen weer te geven uit de abonnementen en regio's die u kiest. U kunt deze stap overslaan als u slechts enkele stroomlogboeken voor netwerkbeveiligingsgroepen hebt gemigreerd.

   

9. Selecteer de stroomlogboeken die u wilt verwijderen en selecteer vervolgens Verwijderen

   

10. Voer Verwijderen in en selecteer Vervolgens Verwijderen om de verwijdering te bevestigen.

    

Overwegingen

• Schaalset met een load balancer: met het migratiescript kunt u logboekregistratie van virtuele netwerkstromen inschakelen op het subnet met de virtuele machines van de schaalset.

  Notitie

  Als logboekregistratie van netwerkbeveiligingsgroepen niet is ingeschakeld op alle netwerkinterfaces van de schaalset of als de netwerkinterfaces hetzelfde stroomlogboek voor netwerkbeveiligingsgroepen niet delen, wordt er een stroomlogboek voor een virtueel netwerk gemaakt op het subnet met dezelfde configuraties als een van de netwerkinterfaces van de schaalset.

• PaaS: Het migratiescript biedt geen ondersteuning voor omgevingen met PaaS-oplossingen met stroomlogboeken voor netwerkbeveiligingsgroepen in het abonnement van een gebruiker, maar doelbronnen bevinden zich in verschillende abonnementen. Voor dergelijke omgevingen moet u logboekregistratie van virtuele netwerkstromen handmatig inschakelen op het virtuele netwerk of subnet van de PaaS-oplossing.

Gerelateerde inhoud

• Stroomlogboeken voor netwerkbeveiligingsgroepen
• Stroomlogboeken voor virtuele netwerken
• Stroomlogboeken voor virtuele netwerken beheren met Behulp van Azure Policy