Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu interfejsu wiersza polecenia platformy Azure
Ważne
30 września 2027 r. dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane. W ramach tego wycofania nie będzie już można tworzyć nowych dzienników przepływów sieciowej grupy zabezpieczeń od 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala wyeliminować ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona z dziennikami przepływów sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby przepływów sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i będą nadal zgodne z odpowiednimi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.
Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.
Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu interfejsu wiersza polecenia platformy Azure. Możesz dowiedzieć się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal, programu PowerShell, interfejsu API REST lub szablonu usługi ARM.
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Dostawca szczegółowych informacji. Aby uzyskać więcej informacji, zobacz Rejestrowanie dostawcy szczegółowych informacji.
Sieciowa grupa zabezpieczeń. Jeśli musisz utworzyć sieciową grupę zabezpieczeń, zobacz Tworzenie, zmienianie lub usuwanie sieciowej grupy zabezpieczeń.
Konto usługi Azure Storage. Jeśli musisz utworzyć konto magazynu, zobacz tworzenie konta magazynu przy użyciu programu PowerShell.
Usługa Azure Cloud Shell lub interfejs wiersza polecenia platformy Azure zainstalowana lokalnie.
Kroki opisane w tym artykule umożliwiają interaktywne uruchamianie poleceń interfejsu wiersza polecenia platformy Azure w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.
Możesz również zainstalować interfejs wiersza polecenia platformy Azure lokalnie , aby uruchomić polecenia. Jeśli uruchomisz interfejs wiersza polecenia platformy Azure lokalnie, zaloguj się do platformy Azure przy użyciu polecenia az login .
Rejestrowanie dostawcy usługi Insights
Dostawca Microsoft.Insights musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Insights jest zarejestrowany, użyj polecenia az provider register , aby go zarejestrować.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Tworzenie dziennika przepływu
Utwórz dziennik przepływu przy użyciu polecenia az network watcher flow-log create. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Uwaga
- Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
- Jeśli konto magazynu znajduje się w innej grupie zasobów lub subskrypcji, musisz określić pełny identyfikator konta magazynu, a nie tylko jego nazwę. Jeśli na przykład konto magazynu myStorageAccount znajduje się w grupie zasobów o nazwie StorageRG, podczas gdy sieciowa grupa zabezpieczeń znajduje się w grupie zasobów myResourceGroup, należy użyć parametru
myStorageAccount/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-accountzamiast .
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Tworzenie obszaru roboczego dziennika przepływu i analizy ruchu
Utwórz obszar roboczy usługi Log Analytics przy użyciu polecenia az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'Utwórz dziennik przepływu przy użyciu polecenia az network watcher flow-log create. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Uwaga
- Konto magazynu nie może mieć reguł sieciowych, które ograniczają dostęp sieciowy tylko do usługi firmy Microsoft lub określonych sieci wirtualnych.
- Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.
- Jeśli konto magazynu znajduje się w innej grupie zasobów lub subskrypcji, należy użyć pełnego identyfikatora konta magazynu. Jeśli na przykład konto magazynu myStorageAccount znajduje się w grupie zasobów o nazwie StorageRG, podczas gdy sieciowa grupa zabezpieczeń znajduje się w grupie zasobów myResourceGroup, należy użyć parametru
myStorageAccount/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount--storage-accountzamiast .
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Zmienianie dziennika przepływu
Aby zmienić właściwości dziennika przepływu, możesz użyć polecenia az network watcher flow-log update . Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Wyświetlanie listy wszystkich dzienników przepływu w regionie
Użyj polecenia az network watcher flow-log list , aby wyświetlić listę wszystkich zasobów dziennika przepływu sieciowej grupy zabezpieczeń w określonym regionie w ramach subskrypcji.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Wyświetlanie szczegółów zasobu dziennika przepływu
Użyj polecenia az network watcher flow-log show , aby wyświetlić szczegóły zasobu dziennika przepływu.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Pobieranie dziennika przepływu
Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.
Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.
Wyłączanie dziennika przepływu
Aby tymczasowo wyłączyć dziennik przepływu bez jego usuwania, użyj polecenia az network watcher flow-log update . Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.
Uwaga
Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Usuwanie dziennika przepływu
Aby trwale usunąć dziennik przepływu, użyj polecenia az network watcher flow-log delete . Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Uwaga
Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania.
Powiązana zawartość
- Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do przeprowadzania inspekcji lub wdrażania dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy.
- Aby dowiedzieć się więcej o analizie ruchu, zobacz Analiza ruchu.