Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager

Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Z tego artykułu dowiesz się, jak programowo zarządzać dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager i programu Azure PowerShell. Możesz dowiedzieć się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu przy użyciu składni deklaratywnej.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

Obiekt dzienników przepływu sieciowej grupy zabezpieczeń

Obiekt dziennika przepływu sieciowej grupy zabezpieczeń ze wszystkimi parametrami jest pokazany w poniższym przykładzie. Aby zapoznać się z pełnym omówieniem właściwości obiektu, zobacz Dokumentacja szablonu dzienników przepływu sieciowej grupy zabezpieczeń.

{
  "name": "string",
  "type": "Microsoft.Network/networkWatchers/flowLogs",
  "location": "string",
  "apiVersion": "2022-07-01",
  "properties": {
    "targetResourceId": "string",
    "storageId": "string",
    "enabled": "boolean",
    "flowAnalyticsConfiguration": {
      "networkWatcherFlowAnalyticsConfiguration": {
         "enabled": "boolean",
         "workspaceResourceId": "string",
          "trafficAnalyticsInterval": "integer"
        },
        "retentionPolicy": {
           "days": "integer",
           "enabled": "boolean"
         },
        "format": {
           "type": "string",
           "version": "integer"
         }
      }
    }
  }

Aby utworzyć zasób Microsoft.Network/networkWatchers/flowLogs, dodaj powyższy kod JSON do sekcji zasobów szablonu.

Tworzenie szablonu

Aby dowiedzieć się więcej na temat korzystania z szablonów usługi Azure Resource Manager, zobacz:

• Deploy resources with Resource Manager templates and Azure PowerShell (Wdrażanie zasobów za pomocą szablonów usługi Resource Manager i programu Azure PowerShell)
• Samouczek: tworzenie i wdrażanie pierwszego szablonu usługi Azure Resource Manager

W poniższych przykładach przedstawiono kompletne szablony umożliwiające włączanie dzienników przepływu sieciowej grupy zabezpieczeń.

Przykład 1

W przykładzie 1 użyto najprostszej wersji szablonu usługi ARM z przekazanymi minimalnymi parametrami. Poniższy szablon umożliwia dzienniki przepływu sieciowej grupy zabezpieczeń w docelowej sieciowej grupie zabezpieczeń i przechowuje je na danym koncie magazynu.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "apiProfile": "2019-09-01",
  "resources": [
 {
    "name": "myNSG-myresourcegroup-flowlog",
    "type": "Microsoft.Network/networkWatchers/FlowLogs/",
    "location": "eastus",
    "apiVersion": "2022-11-01",
    "properties": {
      "targetResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
      "storageId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myStorageAccount",
      "enabled": true,
      "flowAnalyticsConfiguration": {},
      "retentionPolicy": {},
      "format": {}
    }

  }
  ]
}

Uwaga

• targetResourceId to identyfikator zasobu docelowej sieciowej grupy zabezpieczeń.
• storageId to identyfikator zasobu docelowego konta magazynu.

Przykład 2

Przykład 2 używa następującego szablonu, aby włączyć dzienniki przepływów sieciowej grupy zabezpieczeń (wersja 2) z przechowywaniem 5 dni i analizą ruchu z interwałem przetwarzania wynoszącym 10 minut.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "apiProfile": "2019-09-01",
  "resources": [
    {
      "name": "myNSG-myresourcegroup-flowlog",
      "type": "Microsoft.Network/networkWatchers/FlowLogs/",
      "location": "eastus",
      "apiVersion": "2022-11-01",
      "properties": {
        "targetResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myNSG",
        "storageId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myStorageAccount",
        "enabled": true,
        "flowAnalyticsConfiguration": {
          "networkWatcherFlowAnalyticsConfiguration": {
            "enabled": true,
            "workspaceResourceId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/defaultresourcegroup-eus/providers/Microsoft.OperationalInsights/workspaces/DefaultWorkspace-abcdef01-2345-6789-0abc-def012345678-EUS",
            "trafficAnalyticsInterval": 10
          }
        },
        "retentionPolicy": {
          "days": 5,
          "enabled": true
        },
        "format": {
          "type": "JSON",
          "version": 2
        }
      }
    }
  ]
}

Uwaga

• targetResourceId to identyfikator zasobu docelowej sieciowej grupy zabezpieczeń.
• storageId to identyfikator zasobu docelowego konta magazynu.
• workspaceResourceId to identyfikator zasobu obszaru roboczego analizy ruchu.

Wdrażanie szablonu usługi Azure Resource Manager

W tym samouczku założono, że masz istniejącą grupę zasobów i sieciową grupę zabezpieczeń, na której można włączyć rejestrowanie przepływu. Możesz zapisać dowolny z powyższych przykładowych szablonów lokalnie jako azuredeploy.json. Zaktualizuj wartości właściwości, aby wskazywały prawidłowe zasoby w subskrypcji.

Aby wdrożyć szablon, uruchom następujące polecenie w programie PowerShell.

$context = Get-AzSubscription -SubscriptionId <SubscriptionId>
Set-AzContext $context
New-AzResourceGroupDeployment -Name EnableFlowLog -ResourceGroupName NetworkWatcherRG `
    -TemplateFile "C:\MyTemplates\azuredeploy.json"

Uwaga

Poprzednie polecenia wdrażają zasób w grupie zasobów NetworkWatcherRG , a nie grupę zasobów zawierającą sieciową grupę zabezpieczeń.

Weryfikowanie wdrożenia

Istnieje kilka sposobów sprawdzania, czy wdrożenie zakończyło się pomyślnie. Konsola programu PowerShell powinna wyświetlić wartość "ProvisioningState" jako "Powodzenie". Ponadto możesz odwiedzić stronę portalu dzienników usługi Flow, aby potwierdzić zmiany. Jeśli wystąpiły problemy z wdrożeniem, zobacz Rozwiązywanie typowych błędów wdrażania platformy Azure w usłudze Azure Resource Manager.

Usuwanie zasobu

Platforma Azure umożliwia usuwanie zasobów za pośrednictwem trybu pełnego wdrażania. Aby usunąć zasób dzienników przepływu, określ wdrożenie w trybie ukończonym bez dołączania zasobu, który chcesz usunąć. Aby uzyskać więcej informacji, zobacz Pełny tryb wdrażania.

Następne kroki

• Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do przeprowadzania inspekcji lub wdrażania dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy.
• Aby dowiedzieć się więcej o analizie ruchu, zobacz Analiza ruchu.