Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu programu Azure PowerShell

Ważne

30 września 2027 r. dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane. W ramach tego wycofania nie będzie już można tworzyć nowych dzienników przepływów sieciowej grupy zabezpieczeń od 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala wyeliminować ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona z dziennikami przepływów sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby przepływów sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i będą nadal zgodne z odpowiednimi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.

Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu programu Azure PowerShell. Możesz dowiedzieć się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub szablonu usługi ARM.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Dostawca szczegółowych informacji. Aby uzyskać więcej informacji, zobacz Rejestrowanie dostawcy szczegółowych informacji.

• Sieciowa grupa zabezpieczeń. Jeśli musisz utworzyć sieciową grupę zabezpieczeń, zobacz Tworzenie, zmienianie lub usuwanie sieciowej grupy zabezpieczeń.

• Konto usługi Azure Storage. Jeśli musisz utworzyć konto magazynu, zobacz tworzenie konta magazynu przy użyciu programu PowerShell.

• Zainstalowano lokalnie usługę Azure Cloud Shell lub program Azure PowerShell.

  • Kroki opisane w tym artykule uruchamiają interaktywne polecenia cmdlet programu Azure PowerShell w usłudze Azure Cloud Shell. Aby uruchomić polecenia w usłudze Cloud Shell, wybierz pozycję Otwórz usługę Cloud Shell w prawym górnym rogu bloku kodu. Wybierz pozycję Kopiuj , aby skopiować kod, a następnie wklej go w usłudze Cloud Shell, aby go uruchomić. Możesz również uruchomić usługę Cloud Shell z poziomu witryny Azure Portal.

  • Możesz również zainstalować program Azure PowerShell lokalnie, aby uruchomić polecenia cmdlet. Ten artykuł wymaga modułu Az programu PowerShell. Aby uzyskać więcej informacji, zobacz How to install Azure PowerShell (Jak zainstalować program Azure PowerShell). Aby dowiedzieć się, jaka wersja została zainstalowana, uruchom polecenie Get-InstalledModule -Name Az. Jeśli uruchomisz program PowerShell lokalnie, zaloguj się do platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .

Rejestrowanie dostawcy szczegółowych informacji

Dostawca Microsoft.Insights musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Insights jest zarejestrowany, użyj polecenia Register-AzResourceProvider , aby go zarejestrować.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

Tworzenie dziennika przepływu

1. Pobierz właściwości sieciowej grupy zabezpieczeń, dla której chcesz utworzyć dziennik przepływu, oraz konto magazynu, którego chcesz użyć do przechowywania utworzonego dziennika przepływu przy użyciu odpowiednio polecenia Get-AzNetworkSecurityGroup i Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Uwaga

   • Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.

2. Utwórz dziennik przepływu przy użyciu polecenia New-AzNetworkWatcherFlowLog. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.

   # Create a version 1 NSG flow log.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
   

Tworzenie obszaru roboczego dziennika przepływu i analizy ruchu

1. Pobierz właściwości sieciowej grupy zabezpieczeń, dla której chcesz utworzyć dziennik przepływu, oraz konto magazynu, którego chcesz użyć do przechowywania utworzonego dziennika przepływu przy użyciu odpowiednio polecenia Get-AzNetworkSecurityGroup i Get-AzStorageAccount .

   # Place the network security group properties into a variable.
   $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
   
   # Place the storage account properties into a variable.
   $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
   

   Uwaga

   • Konto magazynu nie może mieć reguł sieciowych, które ograniczają dostęp sieciowy tylko do usługi firmy Microsoft lub określonych sieci wirtualnych.
   • Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą usługi Azure Active Directory. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.

2. Utwórz obszar roboczy analizy ruchu przy użyciu polecenia New-AzOperationalInsightsWorkspace.

   # Create a traffic analytics workspace and place its properties into a variable.
   $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Utwórz dziennik przepływu przy użyciu polecenia New-AzNetworkWatcherFlowLog. Dziennik przepływu jest tworzony w domyślnej grupie zasobów Network Watcher NetworkWatcherRG.

   # Create a version 1 NSG flow log with traffic analytics.
   New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
   

Zmienianie dziennika przepływu

Aby zmienić właściwości dziennika przepływu, możesz użyć polecenia Set-AzNetworkWatcherFlowLog . Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -FormatVersion 2 

Wyświetlanie listy wszystkich dzienników przepływu w regionie

Użyj polecenia Get-AzNetworkWatcherFlowLog , aby wyświetlić listę wszystkich zasobów dziennika przepływu sieciowej grupy zabezpieczeń w określonym regionie w ramach subskrypcji.

# Get all NSG flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Uwaga

Aby użyć parametru -Location z Get-AzNetworkWatcherFlowLog poleceniem cmdlet, potrzebujesz dodatkowego uprawnienia czytelnika w grupie zasobów NetworkWatcherRG .

Wyświetlanie szczegółów zasobu dziennika przepływu

Użyj polecenia Get-AzNetworkWatcherFlowLog , aby wyświetlić szczegóły zasobu dziennika przepływu.

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Uwaga

Aby użyć parametru -Location z Get-AzNetworkWatcherFlowLog poleceniem cmdlet, potrzebujesz dodatkowego uprawnienia czytelnika w grupie zasobów NetworkWatcherRG .

Pobieranie dziennika przepływu

Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.

Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.

Wyłączanie dziennika przepływu

Aby tymczasowo wyłączyć dziennik przepływu bez jego usuwania, użyj polecenia Set-AzNetworkWatcherFlowLog z parametrem -Enabled $false . Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.

Uwaga

Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Usuwanie dziennika przepływu

Aby trwale usunąć dziennik przepływu sieciowej grupy zabezpieczeń, użyj polecenia Remove-AzNetworkWatcherFlowLog . Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Uwaga

Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania.

Powiązana zawartość

• Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do przeprowadzania inspekcji lub wdrażania dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy.
• Aby dowiedzieć się więcej o analizie ruchu, zobacz Analiza ruchu.