Share via

Wizualizowanie dzienników przepływu sieciowej grupy zabezpieczeń za pomocą usługi Power BI

  • Artykuł

Dzienniki przepływu sieciowej grupy zabezpieczeń umożliwiają wyświetlanie informacji o ruchu przychodzącym i wychodzącym IP w sieciowych grupach zabezpieczeń. Te dzienniki przepływu pokazują przepływy wychodzące i przychodzące na podstawie reguły, karta sieciowa, do którego ma zastosowanie przepływ, 5-krotka informacji o przepływie (źródłowy/docelowy adres IP, port źródłowy/docelowy, protokół) i jeśli ruch był dozwolony lub blokowany.

Uzyskanie szczegółowych informacji na temat danych rejestrowania przepływów może być trudne przez ręczne przeszukiwanie plików dziennika. W tym artykule udostępnimy rozwiązanie umożliwiające wizualizowanie najnowszych dzienników przepływu i poznanie ruchu w sieci.

Ostrzeżenie

Poniższe kroki działają z dziennikami przepływu w wersji 1. Aby uzyskać szczegółowe informacje, zobacz Wprowadzenie do rejestrowania przepływów dla sieciowych grup zabezpieczeń. Poniższe instrukcje nie będą działać z wersją 2 plików dziennika bez modyfikacji.

Scenariusz

W poniższym scenariuszu połączymy program Power BI Desktop z kontem magazynu skonfigurowanym jako ujście dla danych rejestrowania przepływu sieciowej grupy zabezpieczeń. Po nawiązaniu połączenia z kontem magazynu usługa Power BI pobiera dzienniki i analizuje je, aby zapewnić wizualną reprezentację ruchu rejestrowanego przez sieciowe grupy zabezpieczeń.

Korzystając z wizualizacji podanych w szablonie, możesz sprawdzić:

  • Najlepsi rozmówcy
  • Dane przepływu szeregów czasowych według kierunku i decyzji reguły
  • Przepływy według adresu MAC interfejsu sieciowego
  • Przepływy według sieciowej grupy zabezpieczeń i reguły
  • Przepływy według portu docelowego

Udostępniony szablon można edytować, aby można było go modyfikować, aby dodawać nowe dane, wizualizacje lub edytować zapytania zgodnie z twoimi potrzebami.

Ustawienia

Przed rozpoczęciem należy włączyć rejestrowanie przepływu sieciowej grupy zabezpieczeń na jednym lub wielu sieciowych grupach zabezpieczeń na koncie. Aby uzyskać instrukcje dotyczące włączania dzienników przepływu zabezpieczeń sieci, zapoznaj się z następującym artykułem: Wprowadzenie do rejestrowania przepływów dla sieciowych grup zabezpieczeń.

Musisz również mieć zainstalowanego na komputerze klienta programu Power BI Desktop i wystarczającą ilość wolnego miejsca na komputerze, aby pobrać i załadować dane dziennika, które istnieją na koncie magazynu.

Diagram programu Visio

Kroki

  1. Pobierz i otwórz następujący szablon usługi Power BI w szablonie dzienników przepływu usługi Power BI Application Network Watcher aplikacji programu Power BI

  2. Wprowadź wymagane parametry zapytania

    1. StorageAccountName — określa nazwę konta magazynu zawierającego dzienniki przepływu sieciowej grupy zabezpieczeń, które chcesz załadować i zwizualizować.

    2. NumberOfLogFiles — określa liczbę plików dziennika, które mają być pobierane i wizualizowane w usłudze Power BI. Na przykład jeśli określono 50, 50 najnowszych plików dziennika. Jeśli mamy włączone 2 sieciowe grupy zabezpieczeń i skonfigurowano do wysyłania dzienników przepływów sieciowej grupy zabezpieczeń do tego konta, można wyświetlić ostatnie 25 godzin dzienników.

      power BI main

  3. Wprowadź klucz dostępu dla konta magazynu. Prawidłowe klucze dostępu można znaleźć, przechodząc do konta magazynu w witrynie Azure Portal i wybierając pozycję Klucze dostępu z menu Ustawienia. Kliknij Połączenie następnie zastosuj zmiany.

    klucze dostępu

    klucz dostępu 2

  4. Dzienniki są pobierane i analizowane, a teraz możesz korzystać ze wstępnie utworzonych wizualizacji.

Informacje o wizualizacjach

Podany w szablonie to zestaw wizualizacji, które ułatwiają zrozumienie danych dziennika przepływu sieciowej grupy zabezpieczeń. Na poniższych obrazach przedstawiono przykładowy wygląd pulpitu nawigacyjnego po wypełnieniu danymi. Poniżej dokładniej przyjrzymy się każdej wizualizacji.

powerbi

Wizualizacja Top Talkers pokazuje adresy IP, które zainicjowały większość połączeń w określonym okresie. Rozmiar pól odpowiada względnej liczbie połączeń.

toptalkers

Poniższe wykresy szeregów czasowych pokazują liczbę przepływów w danym okresie. Górny graf jest segmentowany według kierunku przepływu, a dolna jest segmentowana przez podjętą decyzję (zezwalaj lub odmawiaj). Dzięki tej wizualizacji możesz zbadać trendy ruchu w czasie i wykryć wszelkie nietypowe wzrosty lub spadek ruchu lub segmentacji ruchu.

flowsoverperiod

Na poniższych wykresach przedstawiono przepływy dla interfejsu sieciowego z górnym segmentem według kierunku przepływu i niższym segmentem po podjęciu decyzji. Dzięki tym informacjom możesz uzyskać wgląd w to, które maszyny wirtualne komunikowały się najbardziej w stosunku do innych użytkowników, a jeśli ruch do określonej maszyny wirtualnej jest dozwolony lub blokowany.

przepływypernic

Poniższy wykres pierścieniowy przedstawia podział przepływów według portu docelowego. Dzięki tym informacjom można wyświetlić najczęściej używane porty docelowe używane w określonym przedziale czasu.

Pączek

Poniższy wykres słupkowy przedstawia przepływ według sieciowej grupy zabezpieczeń i reguły. Dzięki tym informacjom można zobaczyć sieciowe grupy zabezpieczeń odpowiedzialne za najwięcej ruchu oraz podział ruchu w sieciowej grupie zabezpieczeń według reguły.

wykres barchart

Poniższe wykresy informacyjne zawierają informacje o sieciowych grupach zabezpieczeń znajdujących się w dziennikach, liczbie przepływów przechwyconych w danym okresie oraz dacie najwcześniejszego przechwycenia dziennika. Te informacje umożliwiają określenie, jakie sieciowe grupy zabezpieczeń są rejestrowane i zakres dat przepływów.

infochart1

infochart2

Ten szablon zawiera następujące fragmentatory, aby umożliwić wyświetlanie tylko zainteresowanych danych. Możesz filtrować według grup zasobów, sieciowych grup zabezpieczeń i reguł. Można również filtrować według 5 krotki informacji, decyzji i czasu zapisu dziennika.

fragmentatory

Podsumowanie

Pokazaliśmy w tym scenariuszu, że przy użyciu dzienników przepływu sieciowej grupy zabezpieczeń udostępnianych przez usługę Network Watcher i Power BI możemy wizualizować i interpretować ruch. Przy użyciu dostarczonego szablonu usługa Power BI pobiera dzienniki bezpośrednio z magazynu i przetwarza je lokalnie. Czas potrzebny na załadowanie szablonu różni się w zależności od liczby żądanych plików i całkowitego rozmiaru pobranych plików.

Możesz dostosować ten szablon do własnych potrzeb. Istnieje wiele sposobów używania usługi Power BI z dziennikami przepływu sieciowej grupy zabezpieczeń.

Uwagi

  • Dzienniki są domyślnie przechowywane w programie https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Jeśli inne dane istnieją w innym katalogu, zapytania dotyczące ściągania i przetwarzania danych muszą zostać zmodyfikowane.

  • Podany szablon nie jest zalecany do użycia z więcej niż 1 GB dzienników.

  • Jeśli masz dużą ilość dzienników, zalecamy zbadanie rozwiązania przy użyciu innego magazynu danych, takiego jak Data Lake lub SQL Server.

Następne kroki

Dowiedz się, jak wizualizować dzienniki przepływu sieciowej grupy zabezpieczeń za pomocą usługi Elastic Stack, odwiedzając stronę Visualize Azure Network Watcher NSG flow logs using open source tools (Wizualizowanie dzienników przepływu sieciowej grupy zabezpieczeń usługi Azure Network Watcher przy użyciu narzędzi typu open source)