Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
30 września 2027 r. dzienniki przepływów Network Security Group (NSG) przestaną być wykorzystywane. W ramach tego zaprzestania nie będzie można już tworzyć nowych dzienników przepływów NSG po 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, które pozwalają wyeliminować ograniczenia dzienników przepływów NSG. Po dacie wycofania analiza ruchu wykorzystująca dzienniki przepływów NSG nie będzie już obsługiwana, a istniejące zasoby dzienników przepływów NSG w Twoich subskrypcjach zostaną usunięte. Jednak zapisy dzienników przepływu NSG nie zostaną usunięte i będą nadal kontynuować przestrzeganie ich odpowiednich zasad przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.
Rejestrowanie przepływów sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Dane przepływu są wysyłane do usługi Azure Storage, z której można uzyskiwać do niego dostęp i eksportować je do dowolnego narzędzia do wizualizacji, rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) lub wybranego systemu wykrywania włamań (IDS).
Dlaczego warto używać dzienników przepływu?
Ważne jest, aby monitorować, zarządzać i znać swoją sieć, aby można było ją chronić i optymalizować. Musisz znać bieżący stan sieci, kto nawiązuje połączenie i skąd się łączą użytkownicy. Musisz również wiedzieć, które porty są otwarte dla Internetu, jakie zachowanie sieci jest oczekiwane, jakie zachowanie sieci jest nieregularne i kiedy nagły wzrost ruchu ma miejsce.
Dzienniki przepływów są źródłem prawdy dla całej aktywności sieciowej w środowisku chmury. Niezależnie od tego, czy jesteś w startupie, który próbuje zoptymalizować zasoby, czy duże przedsiębiorstwo, które próbuje wykryć włamanie, dzienniki przepływów mogą pomóc. Można ich używać do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.
Typowe przypadki użycia
Monitorowanie sieci
- Zidentyfikuj nieznany lub niepożądany ruch.
- Monitorowanie poziomów ruchu i zużycia przepustowości.
- Filtruj dzienniki przepływu według adresu IP i portu, aby zrozumieć zachowanie aplikacji.
- Wyeksportuj dzienniki ruchu do wybranych przez Ciebie narzędzi do analizy i wizualizacji, aby skonfigurować pulpity nawigacyjne monitorowania.
Monitorowanie i optymalizacja użycia
- Zidentyfikuj najważniejszych rozmówców w sieci.
- Połącz z danymi GeoIP, aby zidentyfikować ruch między regionami.
- Omówienie wzrostu ruchu na potrzeby prognozowania pojemności.
- Użyj danych, aby usunąć zbyt restrykcyjne reguły ruchu.
Zgodność
- Użyj danych przepływu, aby zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa.
Analiza śledcza sieci i analiza zabezpieczeń
- Analizowanie przepływów sieciowych z naruszonych adresów IP i interfejsów sieciowych.
- Wyeksportuj dzienniki przepływu do dowolnego wybranego narzędzia SIEM lub IDS.
Jak działają dzienniki przepływu NSG
Kluczowe właściwości dzienników przepływu grup zabezpieczeń sieciowych obejmują:
- Dzienniki przepływów działają w warstwie 4 modelu Open Systems Interconnection (OSI) i rejestrują wszystkie przepływy IP wchodzące i wychodzące z grupy zabezpieczeń sieci.
- Dzienniki są zbierane w 1-minutowych odstępach czasu za pośrednictwem platformy Azure. Nie wpływają one na zasoby platformy Azure ani wydajność sieci w żaden sposób.
- Dzienniki są zapisywane w formacie JSON i pokazują przepływy wychodzące i przychodzące dla każdej reguły grupy zabezpieczeń sieciowych.
- Każdy rekord dziennika zawiera interfejs sieciowy (NIC), do którego odnosi się przepływ, informację o 5-krotkach, decyzji o ruchu oraz (tylko dla wersji 2) informację o przepustowości.
- Dzienniki przepływu sieciowej grupy zabezpieczeń mają funkcję retencji, która umożliwia automatyczne usuwanie dzienników nawet do roku po ich utworzeniu.
Uwaga
Przechowywanie jest dostępne tylko w przypadku korzystania z kont magazynu ogólnego przeznaczenia w wersji 2.
Podstawowe pojęcia dotyczące dzienników przepływów obejmują:
- Sieci zdefiniowane programowo są zorganizowane w sieciach wirtualnych i podsieciach. Zabezpieczenia tych sieci wirtualnych i podsieci można zarządzać przy użyciu sieciowych grup zabezpieczeń.
- Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch sieciowy do lub z zasobów platformy Azure, z którymi jest połączona sieciowa grupa zabezpieczeń. Sieciową grupę zabezpieczeń można skojarzyć z podsiecią lub interfejsem sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Omówienie sieciowej grupy zabezpieczeń.
- Wszystkie przepływy ruchu w sieci są oceniane za pomocą reguł w odpowiedniej sieciowej grupie zabezpieczeń. Wynikiem tych ocen są dzienniki przepływu NSG.
- Dzienniki przepływu sieciowej grupy zabezpieczeń są zbierane za pośrednictwem platformy Azure i nie wymagają żadnych zmian w zasobach platformy Azure.
- Istnieją dwa typy reguł sieciowej grupy zabezpieczeń: kończące i niekończące. Każdy z nich ma różne zachowania rejestrowania:
- Reguły odmowy kończą się. Sieciowa grupa zabezpieczeń, która blokuje ruch, rejestruje go w dziennikach przepływu. Przetwarzanie w tym przypadku zostanie zatrzymane po tym, jak któraś z sieciowych grup zabezpieczeń odmówi ruchu.
- Reguły zezwalania nie kończą się. Jeśli sieciowa grupa zabezpieczeń zezwala na ruch, przetwarzanie będzie kontynuowane do następnej sieciowej grupy zabezpieczeń. Ostatnia sieciowa grupa zabezpieczeń, która umożliwia rejestrowanie ruchu w dziennikach przepływu.
- Dzienniki przepływu sieciowej grupy zabezpieczeń są zapisywane na kontach magazynu. Dzienniki przepływu NSG można eksportować, przetwarzać, analizować i wizualizować za pomocą takich narzędzi jak Network Watcher Traffic Analytics, Splunk, Grafana i Stealthwatch.
Format dziennika
Dzienniki przepływu NSG obejmują następujące właściwości:
-
time: godzina w formacie UTC, kiedy zdarzenie zostało zarejestrowane. -
systemId: Systemowy identyfikator grupy zabezpieczeń sieci. -
category: kategoria zdarzenia. Kategoria to zawszeNetworkSecurityGroupFlowEvent. -
resourceid: identyfikator zasobu grupy zabezpieczeń sieciowych. -
operationName: ZawszeNetworkSecurityGroupFlowEvents. -
properties: Kolekcja właściwości przepływu:-
Version: numer wersji schematu zdarzeń dziennika przepływu. -
flows: Kolekcja przepływów. Ta właściwość zawiera wiele wpisów dla różnych reguł.-
rule: Reguła, dla której są wyświetlane przepływy. -
flows: Kolekcja przepływów.-
mac: adres MAC karty sieciowej dla maszyny wirtualnej, gdzie zebrano przepływ. -
flowTuples: Ciąg zawierający wiele właściwości krotki przepływu w formacie rozdzielanym przecinkami:-
Time stamp: Znacznik czasu przepływu w formacie epoki UNIX. -
Source IP: źródłowy adres IP. -
Destination IP: docelowy adres IP. -
Source port: port źródłowy. -
Destination port: port docelowy. -
Protocol: Protokół przepływu. Prawidłowe wartości toTTCP iUUDP. -
Traffic flow: Kierunek przepływu ruchu. Prawidłowe wartości sąIprzeznaczone dla ruchu przychodzącego iOwychodzącego. -
Traffic decision: czy ruch był dozwolony, czy blokowany. Poprawne wartości toAdla "dozwolone" iDdla "niedozwolone". -
Flow State - Version 2 Only: stan przepływu. Możliwe stany to:-
B: Rozpocznij, gdy przepływ zostanie utworzony. Statystyki nie są podawane. -
C: Kontynuacja trwającego przepływu. Statystyki są podawane w 5-minutowych odstępach. -
E: Koniec, gdy przepływ zostanie zakończony. Statystyki są podawane.
-
-
Packets sent - Version 2 Only: Całkowita liczba pakietów TCP wysyłanych ze źródła do miejsca docelowego od ostatniej aktualizacji. -
Bytes sent - Version 2 Only: całkowita liczba bajtów pakietów TCP wysłanych ze źródła do miejsca docelowego od ostatniej aktualizacji. Liczba bajtów pakietu obejmuje nagłówek i ładunek pakietu. -
Packets received - Version 2 Only: Łączna liczba pakietów TCP wysyłanych z miejsca docelowego do źródła od ostatniej aktualizacji. -
Bytes received - Version 2 Only: całkowita liczba bajtów pakietów TCP wysłanych z miejsca docelowego do źródła od ostatniej aktualizacji. Liczba bajtów pakietu obejmuje nagłówek i ładunek pakietu.
-
-
-
-
W wersji 2 dzienników przepływu w sieciowej grupie zabezpieczeń (NSG) wprowadzono koncepcję stanu przepływu. Możesz skonfigurować otrzymywaną wersję dzienników przepływu.
Stan B przepływu jest rejestrowany po zainicjowaniu przepływu. Stan C przepływu i stan E przepływu to stany oznaczające odpowiednio kontynuację przepływu i jego zakończenie. Oba C stany i E zawierają informacje o przepustowości ruchu.
Przykładowe rekordy dziennika
W poniższych przykładach dziennika przepływu NSG, wiele rekordów odnosi się do listy właściwości opisanej wcześniej.
Uwaga
Wartości we flowTuples właściwości są listą rozdzielaną przecinkami.
Wersja 1
Oto przykładowy format dziennika przepływu Grupy Zabezpieczeń Sieciowych wersja 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,203.0.113.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,192.0.2.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,192.0.2.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
Wersja 2
Oto przykładowy format dziennika przepływu sieciowej grupy zabezpieczeń w wersji 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,192.0.2.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,203.0.113.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,198.51.100.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,203.0.113.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,203.0.113.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,203.0.113.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,198.51.100.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Obliczanie krotki logów i przepustowości
Oto przykład obliczania przepustowości dla wartości przepływu z rozmowy TCP między 203.0.113.105:35370 a 10.0.0.5:443:
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,B,,,,
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,C,1021,588096,8005,4610880
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,E,52,29952,47,27072
W przypadku stanów przepływu kontynuacji (C) i końcowych (E) liczba bajtów i pakietów to zliczenia agregacyjne od czasu zarejestrowania poprzedniego przepływu. W przykładowej konwersacji całkowita liczba przetransferowanych pakietów wynosi 1021+52+8005+47 = 9125. Całkowita liczba przetransferowanych bajtów wynosi 588096+29952+4610880+27072 = 52560000.
Praca z dziennikami przepływu
Odczytywanie i eksportowanie dzienników przepływu
Aby dowiedzieć się, jak odczytywać i eksportować dzienniki przepływu NSG (Network Security Group), zobacz jeden z następujących przewodników:
- Pobieranie i wyświetlanie dzienników przepływu
- Odczytywanie dzienników przepływu przy użyciu funkcji programu PowerShell
- Eksportowanie dzienników przepływu NSG do Splunk
Pliki dziennika przepływu grupy zabezpieczeń sieci są przechowywane na koncie przechowywania w następującej ścieżce:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Wizualizowanie dzienników przepływu
Aby dowiedzieć się, jak wizualizować dzienniki przepływu sieciowej grupy zabezpieczeń, zobacz jeden z następujących przewodników:
- Wizualizowanie dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu analizy ruchu usługi Network Watcher
- Wizualizacja dzienników przepływu ruchu w grupach zabezpieczeń sieciowych przy użyciu Power BI
- Wizualizuj dzienniki przepływu NSG przy użyciu Elastic Stack
- Zarządzaj i analizuj dzienniki przepływów NSG przy użyciu Grafana
- Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń i analizowanie ich przy użyciu narzędzia Graylog
Rozważania dotyczące dzienników przepływu NSG
Konto magazynu
- Lokalizacja: konto magazynu musi znajdować się w tym samym regionie co sieciowa grupa zabezpieczeń.
- Subskrypcja: Konto magazynu musi znajdować się w tej samej subskrypcji co grupa zabezpieczeń sieci lub w subskrypcji powiązanej z tą samą dzierżawą Microsoft Entra co subskrypcja grupy zabezpieczeń sieci.
- Warstwa wydajności: konto przechowywania musi być standardowe. Konta premium przechowywania nie są obsługiwane.
- Rotacja kluczy zarządzanych samodzielnie: w przypadku zmiany lub rotacji kluczy dostępu do konta magazynu dzienniki przepływu sieciowej grupy zabezpieczeń przestaną działać. Aby rozwiązać ten problem, należy wyłączyć i ponownie włączyć dzienniki przepływu sieciowej grupy zabezpieczeń.
Koszt
Rejestrowanie przepływu sieciowej grupy zabezpieczeń jest rozliczane na woluminie generowanych dzienników. Wysokie natężenie ruchu może spowodować powstanie dużego wolumenu logów przepływu, co zwiększa powiązane koszty.
"Cennik logu przepływu NSG nie obejmuje podstawowych kosztów przechowywania." Zachowanie danych logów przepływu grup zabezpieczeń sieciowych na zawsze lub wykorzystanie funkcji polityki retencji oznacza ponoszenie kosztów magazynowania przez dłuższy czas.
Reguły TCP dla ruchu przychodzącego inne niż domyślne
Sieciowe grupy zabezpieczeń są implementowane jako zapora stanowa. Jednak ze względu na bieżące ograniczenia platformy niestandardowe reguły grupy zabezpieczeń sieciowych, które wpływają na przychodzące przepływy TCP, są implementowane w sposób bezstanowy.
Przepływy, na które wpływają inne niż domyślne reguły ruchu przychodzącego, stają się niekończące się. Ponadto liczby bajtów i pakietów nie są rejestrowane dla tych przepływów. Ze względu na te czynniki liczba bajtów i pakietów zgłaszanych w dziennikach przepływów sieciowej grupy zabezpieczeń (i analiza ruchu usługi Network Watcher) może różnić się od rzeczywistych liczb.
Tę różnicę można rozwiązać, ustawiając FlowTimeoutInMinutes właściwość w skojarzonych sieciach wirtualnych na wartość inną niż null. Domyślne zachowanie stanowe można osiągnąć, ustawiając ustawienie FlowTimeoutInMinutes na 4 minuty. W przypadku długotrwałych połączeń, w których nie chcesz, aby przepływy odłączyły się od usługi lub miejsca docelowego, można ustawić FlowTimeoutInMinutes na wartość do 30 minut. Użyj polecenia Set-AzVirtualNetwork , aby ustawić FlowTimeoutInMinutes właściwość:
$virtualNetwork = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$virtualNetworkConfig = Get-AzVirtualNetwork @virtualNetwork
$virtualNetworkConfig.FlowTimeoutInMinutes = 4
$virtualNetworkConfig | Set-AzVirtualNetwork
Limit czasu przepływu można również ustawić przy użyciu witryny Azure Portal:
Rejestrowanie przepływów przychodzących z internetowych adresów IP do maszyn wirtualnych bez publicznych adresów IP
Maszyny wirtualne, które nie mają publicznego adresu IP skojarzonego z kartą sieciową jako adres IP na poziomie instancji lub które są częścią podstawowej puli zapasowej modułu równoważenia obciążenia, używają domyślnego SNAT. Platforma Azure przypisuje adres IP do tych maszyn wirtualnych w celu ułatwienia łączności wychodzącej. W związku z tym możesz zobaczyć wpisy dziennika przepływu dla przepływów z internetowych adresów IP, jeśli przepływ jest przeznaczony do portu w zakresie portów przypisanych dla SNAT.
Mimo że platforma Azure nie zezwala na te przepływy do maszyny wirtualnej, próba jest rejestrowana i wyświetlana w dzienniku przepływu sieciowej grupy zabezpieczeń usługi Network Watcher zgodnie z projektem. Zalecamy wyraźne blokowanie niepożądanego przychodzącego ruchu internetowego za pomocą sieciowej grupy zabezpieczeń.
Sieciowa grupa zabezpieczeń na podsieci bramy usługi ExpressRoute
Nie zalecamy rejestrowania przepływów w podsieci bramy usługi Azure ExpressRoute, ponieważ ruch może omijać tego typu bramę (na przykład FastPath). Jeśli sieciowa grupa zabezpieczeń jest połączona z podsiecią bramy usługi ExpressRoute, a dzienniki przepływu sieciowej grupy zabezpieczeń są włączone, przepływy wychodzące do maszyn wirtualnych mogą nie być przechwytywane. Takie przepływy muszą być przechwytywane w podsieci lub karcie sieciowej maszyny wirtualnej.
Ruch sieciowy do prywatnego punktu końcowego
Ruch do prywatnych punktów końcowych można przechwycić tylko na źródłowej maszynie wirtualnej. Ruch jest rejestrowany przy użyciu źródłowego adresu IP maszyny wirtualnej i docelowego adresu IP prywatnego punktu końcowego. Nie można rejestrować ruchu w samym prywatnym punkcie końcowym z powodu ograniczeń platformy.
Obsługa sieciowych grup zabezpieczeń skojarzonych z podsiecią usługi Application Gateway w wersji 2
Dzienniki przepływu dla sieciowych grup zabezpieczeń, które są skojarzone z podsiecią bramy aplikacyjnej Azure w wersji 2, nie są obecnie obsługiwane. Obsługiwane są dzienniki przepływu grup zabezpieczeń sieciowych dla grup zabezpieczeń skojarzonych z podsiecią Application Gateway V1.
Niezgodne usługi
Obecnie te usługi platformy Azure nie obsługują dzienników przepływu sieciowej grupy zabezpieczeń:
- Azure Container Instances
- Azure Container Apps
- Azure Logic Apps
- Azure Functions
- Prywatny resolver DNS w usłudze Azure
- App Service
- Azure Database dla bazy danych MariaDB
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure SQL Managed Instance
- Azure NetApp Files
- Microsoft Power Platform
Uwaga
Usługi Azure App Service wdrożone w ramach planu usługi Azure App Service nie obsługują dzienników przepływów Grupy Zabezpieczeń Sieciowych (NSG). Aby dowiedzieć się więcej, zobacz Jak działa integracja sieci wirtualnej.
Niezgodne maszyny wirtualne
Dzienniki przepływu sieciowej grupy zabezpieczeń nie są obsługiwane w następujących rozmiarach maszyn wirtualnych:
Zalecamy używanie dzienników przepływu sieci wirtualnej dla tych rozmiarów maszyn wirtualnych.
Uwaga
Maszyny wirtualne, na których działa duży ruch sieciowy, mogą napotkać błędy rejestrowania przepływów. Zalecamy przeprowadzenie migracji dzienników przepływu NSG do dzienników przepływu sieci wirtualnej dla tego typu obciążeń.
Najlepsze rozwiązania
Włącz dzienniki przepływu sieciowej grupy zabezpieczeń w podsieciach krytycznych: Dzienniki przepływu powinny być włączone we wszystkich krytycznych podsieciach w ramach subskrypcji jako najlepsza praktyka w zakresie inspekcji i zabezpieczeń.
Włącz dzienniki przepływu NSG dla wszystkich grup zabezpieczeń sieciowych dołączonych do zasobu: Dzienniki przepływu NSG są konfigurowane w grupach zabezpieczeń sieciowych. Przepływ jest skojarzony tylko z jedną regułą sieciowej grupy zabezpieczeń. W scenariuszach, w których używasz wielu sieciowych grup zabezpieczeń, zalecamy włączenie dzienników przepływu NSG we wszystkich stosowanych grupach zabezpieczeń na poziomie podsieci i interfejsu sieciowego (NIC), aby zapewnić rejestrację całego ruchu. Aby uzyskać więcej informacji, zobacz Jak sieciowe grupy zabezpieczeń filtrować ruch sieciowy.
Oto kilka typowych scenariuszy:
- Wiele kart sieciowych na maszynie wirtualnej: jeśli wiele kart sieciowych jest dołączonych do maszyny wirtualnej, musisz włączyć dzienniki przepływu na wszystkich z nich.
- Sieciowa grupa zabezpieczeń na poziomie karty sieciowej i podsieci: jeśli sieciowa grupa zabezpieczeń jest skonfigurowana na poziomie karty sieciowej i na poziomie podsieci, należy włączyć dzienniki przepływu w obu sieciowych grupach zabezpieczeń. Dokładna sekwencja przetwarzania reguł przez sieciowe grupy zabezpieczeń na poziomie karty sieciowej i podsieci jest zależna od platformy i różni się w zależności od przypadku. Przepływy ruchu są rejestrowane względem sieciowej grupy zabezpieczeń, która jest przetwarzana jako ostatnia. Stan platformy zmienia kolejność przetwarzania. Należy sprawdzić oba dzienniki przepływu.
- Podsieć klastra AKS: AKS domyślnie dodaje sieciową grupę zabezpieczeń do podsieci klastra. Należy włączyć dzienniki przepływu w tej sieciowej grupie zabezpieczeń (NSG).
Przydzielanie zasobów magazynowych: Przydziel zasoby magazynowe zgodnie z oczekiwaną ilością dzienników logowania przepływów.
Nazewnictwo: nazwa sieciowej grupy zabezpieczeń musi zawierać maksymalnie 80 znaków, a nazwa reguły sieciowej grupy zabezpieczeń musi zawierać maksymalnie 65 znaków. Jeśli nazwy przekraczają limity znaków, mogą zostać obcięte podczas rejestrowania.
Rozwiązywanie typowych problemów
Nie mogę włączyć dzienników przepływu NSG (sieciowej grupy zabezpieczeń)
Może pojawić się błąd AuthorizationFailed lub GatewayAuthenticationFailed, jeśli nie włączono dostawcy zasobów Microsoft.Insights w ramach subskrypcji przed próbą włączenia dzienników przepływu Grupy Zabezpieczeń Sieci. Aby uzyskać więcej informacji, zobacz Rejestrowanie dostawcy Insights.
Włączyłem dzienniki przepływu grupy zabezpieczeń sieci, ale nie widzę danych na moim koncie przechowywania
Ten problem może być związany z:
Czas konfiguracji: dzienniki przepływu grupy zabezpieczeń sieciowej mogą pojawić się na koncie magazynu do 5 minut (jeśli zostały prawidłowo skonfigurowane). Zostanie wyświetlony plik PT1H.json . Aby uzyskać więcej informacji, zobacz Pobieranie dziennika przepływu.
Brak ruchu w sieciowych grupach zabezpieczeń: czasami dzienniki nie są widoczne, ponieważ maszyny wirtualne nie są aktywne lub ponieważ filtry nadrzędne w usłudze Application Gateway lub innych urządzeniach blokują ruch do sieciowych grup zabezpieczeń.
Cennik
Naliczanie opłat za dzienniki przepływów Grupy Zabezpieczeń Sieci (NSG) odbywa się za każdy gigabajt zebranych dzienników przepływu sieci i obejmuje bezpłatny poziom 5 GB/miesiąc na subskrypcję.
Jeśli analiza ruchu jest włączona wraz z dziennikami przepływów grupy zabezpieczeń sieci, ceny analizy ruchu mają zastosowanie przy stawkach przetwarzania za gigabajt. Analiza ruchu nie jest oferowana z darmową wersją cenową. Aby uzyskać więcej informacji, zobacz Cennik usługi Network Watcher.
Opłata za magazyn logów jest naliczana oddzielnie. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Blob Storage.
Dostępność
W poniższych tabelach wymieniono regiony, w których można włączyć dzienniki przepływu NSG.
- Ameryka Północna / Ameryka Południowa
- Europa
- Australia / Azja / Pacyfik
- Bliski Wschód / Afryka
- Azure Government
| Rejon | Dzienniki przepływu grupy zabezpieczeń sieciowych | Dzienniki przepływu sieci wirtualnej | Analiza ruchu | Obszar roboczy usługi Log Analytics |
|---|---|---|---|---|
| Brazylia Południowa | ✓ | ✓ | ✓ | ✓ |
| Brazylia Południowo–Wschodnia | ✓ | ✓ | ✓ | ✓ |
| Kanada Środkowa | ✓ | ✓ | ✓ | ✓ |
| Kanada Wschodnia | ✓ | ✓ | ✓ | ✓ |
| Centralna część USA | ✓ | ✓ | ✓ | ✓ |
| Wschodnie USA | ✓ | ✓ | ✓ | ✓ |
| Wschodnie stany USA 2 | ✓ | ✓ | ✓ | ✓ |
| Meksyk Środkowy | ✓ | ✓ | ✓ | |
| Północno-środkowe stany USA | ✓ | ✓ | ✓ | ✓ |
| Południowo-centralna część USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnio-środkowe stany USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA 2 | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA 3 | ✓ | ✓ | ✓ | ✓ |
Powiązana zawartość
- Aby dowiedzieć się, jak zarządzać dziennikami przepływów sieciowej grupy zabezpieczeń, zobacz Tworzenie, zmienianie, wyłączanie lub usuwanie dzienników przepływów sieciowej grupy zabezpieczeń.
- Aby znaleźć odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących dzienników przepływu NSG, zobacz sekcję Dzienniki przepływu — często zadawane pytania.
- Aby dowiedzieć się więcej o analizie ruchu, zobacz Omówienie analizy ruchu.