Rejestrowanie zasobów dla sieciowej grupy zabezpieczeń

Artykuł
03/27/2023

Sieciowa grupa zabezpieczeń (NSG) zawiera reguły zezwalające na ruch do podsieci sieci wirtualnej, interfejsu sieciowego lub obu tych grup.

Po włączeniu rejestrowania dla sieciowej grupy zabezpieczeń można zebrać następujące typy informacji dziennika zasobów:

Zdarzenie: Wpisy są rejestrowane, dla których reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC.
Licznik reguł: Zawiera wpisy dotyczące tego, ile razy każda reguła sieciowej grupy zabezpieczeń jest stosowana do zezwalania na ruch lub odmawiania go. Stan tych reguł jest zbierany co 300 sekund.

Dzienniki zasobów są dostępne tylko dla sieciowych grup zabezpieczeń wdrożonych za pośrednictwem modelu wdrażania usługi Azure Resource Manager. Nie można włączyć rejestrowania zasobów dla sieciowych grup zabezpieczeń wdrożonych za pomocą klasycznego modelu wdrażania. Aby uzyskać więcej informacji, zobacz Omówienie modeli wdrażania.

Rejestrowanie zasobów jest włączane oddzielnie dla każdej sieciowej grupy zabezpieczeń, dla której mają być zbierane dane diagnostyczne. Jeśli interesuje Cię działanie lub działanie, zamiast tego dzienniki można znaleźć w temacie Omówienie dzienników platformy Azure. Jeśli interesuje Cię ruch IP przepływający przez sieciowe grupy zabezpieczeń, zobacz Dzienniki przepływu dla sieciowych grup zabezpieczeń.

Włącz rejestrowanie

Aby włączyć rejestrowanie zasobów, możesz użyć Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Azure Portal

Zaloguj się do Azure Portal.
W polu wyszukiwania w górnej części Azure Portal wprowadź sieciowe grupy zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Wybierz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie.
W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne, a następnie wybierz pozycję Dodaj ustawienie diagnostyczne:
W obszarze Ustawienie diagnostyczne wprowadź nazwę, na przykład myNsgDiagnostic.
W obszarze Dzienniki wybierz pozycję wszystkie Dzienniki lub wybierz poszczególne kategorie dzienników. Aby uzyskać więcej informacji na temat każdej kategorii, zobacz Kategorie dzienników.
W obszarze Szczegóły miejsca docelowego wybierz co najmniej jedną lokalizację docelową:
- Wysyłanie do obszaru roboczego usługi Log Analytics
- Zarchiwizuj na koncie magazynu
- Przesyłaj strumieniowo do centrum zdarzeń
- Wysyłanie do rozwiązania partnerskiego
Aby uzyskać więcej informacji, zobacz Miejsca docelowe dziennika.
Wybierz pozycję Zapisz.
Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Azure PowerShell

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Możesz uruchomić polecenia, które w tej sekcji w usłudze Azure Cloud Shell lub uruchamiając program PowerShell z komputera. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Jeśli uruchamiasz program PowerShell z komputera, potrzebujesz modułu Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli uruchomisz program PowerShell lokalnie, musisz również uruchomić polecenie cmdlet Connect-AzAccount , aby zalogować się do platformy Azure przy użyciu konta z niezbędnymi uprawnieniami.

Aby włączyć rejestrowanie zasobów, potrzebny jest identyfikator istniejącej sieciowej grupy zabezpieczeń. Jeśli nie masz istniejącej sieciowej grupy zabezpieczeń, utwórz grupę zabezpieczeń przy użyciu polecenia cmdlet New-AzNetworkSecurityGroup .

Pobierz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie zasobów za pomocą polecenia cmdlet Get-AzNetworkSecurityGroup . Przechowuj sieciową grupę zabezpieczeń w zmiennej do późniejszego użycia. Aby na przykład pobrać sieciową grupę zabezpieczeń o nazwie myNsg , która istnieje w grupie zasobów o nazwie myResourceGroup, wprowadź następujące polecenie:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Dzienniki zasobów można zapisywać w różnych typach docelowych. Aby uzyskać więcej informacji, zobacz Miejsca docelowe dziennika. W tym artykule dzienniki są wysyłane do miejsca docelowego obszaru roboczego usługi Log Analytics . Jeśli nie masz istniejącego obszaru roboczego, możesz go utworzyć za pomocą polecenia cmdlet New-AzOperationalInsightsWorkspace .

Pobierz istniejący obszar roboczy usługi Log Analytics za pomocą polecenia cmdlet Get-AzOperationalInsightsWorkspace . Aby na przykład pobrać i zapisać istniejący obszar roboczy o nazwie myWorkspace w grupie zasobów o nazwie myWorkspaces, wprowadź następujące polecenie:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Istnieją dwie kategorie rejestrowania, które można włączyć. Aby uzyskać więcej informacji, zobacz Kategorie dzienników. Włącz rejestrowanie zasobów dla sieciowej grupy zabezpieczeń za pomocą polecenia cmdlet New-AzDiagnosticSetting . Poniższy przykład rejestruje dane kategorii zdarzeń i liczników w obszarze roboczym sieciowej grupy zabezpieczeń. Używa on identyfikatorów sieciowej grupy zabezpieczeń i obszaru roboczego, które otrzymano za pomocą poprzednich poleceń:

New-AzDiagnosticSetting `
   -Name myDiagnosticSetting `
   -ResourceId $Nsg.Id `
   -WorkspaceId $Oms.ResourceId

Jeśli chcesz zalogować się do innego miejsca docelowego niż obszar roboczy usługi Log Analytics, użyj odpowiedniego parametru w poleceniu . Aby uzyskać więcej informacji, zobacz Dzienniki zasobów platformy Azure.

Aby uzyskać więcej informacji na temat ustawień, zobacz New-AzDiagnosticSetting.

Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Interfejs wiersza polecenia platformy Azure

Polecenia w tej sekcji można uruchomić w usłudze Azure Cloud Shell lub uruchamiając interfejs wiersza polecenia platformy Azure z komputera. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Jeśli uruchamiasz interfejs wiersza polecenia z komputera, potrzebujesz wersji 2.0.38 lub nowszej. Uruchom polecenie az --version na komputerze, aby znaleźć zainstalowaną wersję. Jeśli musisz przeprowadzić uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. Jeśli uruchamiasz interfejs wiersza polecenia lokalnie, musisz również uruchomić polecenie az login , aby zalogować się do platformy Azure przy użyciu konta z niezbędnymi uprawnieniami.

Pobierz i zapisz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie zasobów za pomocą polecenia az network nsg show. Aby na przykład pobrać sieciową grupę zabezpieczeń o nazwie myNsg , która istnieje w grupie zasobów o nazwie myResourceGroup, wprowadź następujące polecenie:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Dzienniki zasobów można zapisywać w różnych typach docelowych. Aby uzyskać więcej informacji, zobacz Miejsca docelowe dziennika. W tym artykule dzienniki są wysyłane do miejsca docelowego obszaru roboczego usługi Log Analytics , na przykład. Aby uzyskać więcej informacji, zobacz Kategorie dzienników.

Włącz rejestrowanie zasobów dla sieciowej grupy zabezpieczeń za pomocą polecenia az monitor diagnostic-settings create. Poniższy przykład rejestruje dane kategorii zdarzeń i liczników do istniejącego obszaru roboczego o nazwie myWorkspace, który istnieje w grupie zasobów o nazwie myWorkspaces. Używa identyfikatora sieciowej grupy zabezpieczeń zapisanej przy użyciu poprzedniego polecenia.

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Jeśli nie masz istniejącego obszaru roboczego, utwórz go przy użyciu Azure Portal lub Azure PowerShell. Istnieją dwie kategorie rejestrowania, dla których można włączyć dzienniki.

Jeśli chcesz rejestrować dane tylko dla jednej kategorii lub drugiej, usuń kategorię, dla której nie chcesz rejestrować danych w poprzednim poleceniu. Jeśli chcesz zalogować się do innego miejsca docelowego niż obszar roboczy usługi Log Analytics, użyj odpowiedniego parametru. Aby uzyskać więcej informacji, zobacz Dzienniki zasobów platformy Azure.

Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Miejsca docelowe dzienników

Dane diagnostyczne można wysyłać do następujących opcji:

Kategorie dzienników

Dane sformatowane w formacie JSON są zapisywane dla następujących kategorii dzienników: zdarzenie i licznik reguł.

Zdarzenie

Dziennik zdarzeń zawiera informacje o tym, które reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC. Następujące dane są rejestrowane dla każdego zdarzenia. W poniższym przykładzie dane są rejestrowane dla maszyny wirtualnej z adresem IP 192.168.1.4 i adresem MAC 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

Licznik reguł

Dziennik licznika reguł zawiera informacje o każdej regule stosowanej do zasobów. Poniższe przykładowe dane są rejestrowane za każdym razem, gdy jest stosowana reguła. W poniższym przykładzie dane są rejestrowane dla maszyny wirtualnej z adresem IP 192.168.1.4 i adresem MAC 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

Uwaga

Źródłowy adres IP komunikacji nie jest rejestrowany. Możesz włączyć rejestrowanie przepływu sieciowej grupy zabezpieczeń dla sieciowej grupy zabezpieczeń, która rejestruje wszystkie informacje licznika reguł i źródłowy adres IP, który zainicjował komunikację. Dane dziennika przepływu sieciowej grupy zabezpieczeń są zapisywane na koncie usługi Azure Storage. Dane można analizować za pomocą funkcji analizy ruchu w usłudze Azure Network Watcher.

Wyświetlanie i analizowanie dzienników

Jeśli wysyłasz dane diagnostyczne do:

Dzienniki usługi Azure Monitor: możesz użyć rozwiązania do analizy sieciowej grupy zabezpieczeń w celu uzyskania rozszerzonych szczegółowych informacji. Rozwiązanie udostępnia wizualizacje reguł sieciowej grupy zabezpieczeń, które zezwalają na ruch lub odmawiają ruchu na adres MAC interfejsu sieciowego na maszynie wirtualnej.
Konto usługi Azure Storage: dane są zapisywane w pliku PT1H.json . Możesz znaleźć następujące poznać:
- Dziennik zdarzeń, który znajduje się w następującej ścieżce: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
- Dziennik licznika reguł, który znajduje się w następującej ścieżce: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Aby dowiedzieć się, jak wyświetlać dane dziennika zasobów, zobacz Omówienie dzienników platformy Azure.

Następne kroki

Aby uzyskać więcej informacji na temat rejestrowania aktywności, zobacz Omówienie dzienników platformy Azure.

Rejestrowanie aktywności jest domyślnie włączone dla sieciowych grup zabezpieczeń utworzonych za pośrednictwem modelu wdrażania platformy Azure. Aby określić, które operacje zostały ukończone w sieciowych grupach zabezpieczeń w dzienniku aktywności, poszukaj wpisów zawierających następujące typy zasobów:
- Microsoft.ClassicNetwork/networkSecurityGroups
- Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
- Microsoft.Network/networkSecurityGroups
- Microsoft.Network/networkSecurityGroups/securityRules
Aby dowiedzieć się, jak rejestrować informacje diagnostyczne, zobacz Rejestrowanie ruchu sieciowego do i z maszyny wirtualnej przy użyciu Azure Portal.