Udostępnij za pośrednictwem

Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal

  • Artykuł

Rejestrowanie przepływu sieciowej grupy zabezpieczeń to funkcja usługi Azure Network Watcher, która umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieciową grupę zabezpieczeń. Aby uzyskać więcej informacji na temat rejestrowania przepływu sieciowej grupy zabezpieczeń, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Z tego artykułu dowiesz się, jak tworzyć, zmieniać, wyłączać lub usuwać dziennik przepływu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal. Dowiesz się, jak zarządzać dziennikiem przepływu sieciowej grupy zabezpieczeń przy użyciu programu PowerShell, interfejsu wiersza polecenia platformy Azure, interfejsu API REST lub szablonu usługi ARM.

Wymagania wstępne

Rejestrowanie dostawcy usługi Insights

Dostawca Microsoft.Insights musi być zarejestrowany w celu pomyślnego rejestrowania ruchu przepływającego przez sieciową grupę zabezpieczeń. Jeśli nie masz pewności, czy dostawca Microsoft.Insights jest zarejestrowany, możesz sprawdzić jego stan, wykonując następujące kroki:

  1. W polu wyszukiwania w górnej części portalu wprowadź subskrypcje. Wybierz pozycję Subskrypcje z wyników wyszukiwania.

    Zrzut ekranu przedstawiający sposób wyszukiwania subskrypcji w witrynie Azure Portal.

  2. Wybierz subskrypcję platformy Azure, dla której chcesz włączyć dostawcę w obszarze Subskrypcje.

  3. W obszarze Ustawienia wybierz opcję Dostawcy zasobów.

  4. Wprowadź szczegółowe informacje w polu filtru.

  5. Upewnij się, że wyświetlany stan dostawcy to Zarejestrowano. Jeśli stan to NotRegistered, wybierz dostawcę Microsoft.Insights , a następnie wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający rejestrowanie dostawcy usługi Microsoft Insights w witrynie Azure Portal.

Tworzenie dziennika przepływu

Utwórz dziennik przepływu dla sieciowej grupy zabezpieczeń. Ten dziennik przepływu sieciowej grupy zabezpieczeń jest zapisywany na koncie usługi Azure Storage.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz przycisk + Utwórz lub Utwórz dziennik przepływu niebieski.

    Zrzut ekranu przedstawiający stronę Dzienniki usługi Flow w witrynie Azure Portal.

  4. Na karcie Podstawy tworzenia dziennika przepływu wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure sieciowej grupy zabezpieczeń, którą chcesz zarejestrować.
    Typ dziennika przepływu Wybierz pozycję Sieciowa grupa zabezpieczeń, a następnie wybierz pozycję + Wybierz zasób docelowy.
    Wybierz sieciowa grupa zabezpieczeń, którą chcesz przepływać, a następnie wybierz pozycję Potwierdź wybór.
    Nazwa dziennika przepływu Wprowadź nazwę dziennika przepływu lub pozostaw nazwę domyślną. Witryna Azure Portal używa {ResourceName}-{ResourceGroupName}-flowlog jako domyślnej nazwy dziennika przepływu. myNSG-myResourceGroup-flowlog to domyślna nazwa używana w tym artykule.
    Szczegóły wystąpienia
    Subskrypcja Wybierz subskrypcję platformy Azure konta magazynu.
    Konta magazynu Wybierz konto magazynu, do którego chcesz zapisać dzienniki przepływu. Jeśli chcesz utworzyć nowe konto magazynu, wybierz pozycję Utwórz nowe konto magazynu.
    Przechowywanie (dni) Wprowadź czas przechowywania dzienników (ta opcja jest dostępna tylko w przypadku kont magazynu ogólnego przeznaczenia w warstwie Standardowa w wersji 2 ). Wprowadź wartość 0 , jeśli chcesz zachować dane dzienników przepływu na koncie magazynu na zawsze (dopóki nie usuniesz ich z konta magazynu). Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure Storage.

    Zrzut ekranu przedstawiający tworzenie dziennika przepływu sieciowej grupy zabezpieczeń w witrynie Azure Portal.

    Uwaga

    Jeśli konto magazynu znajduje się w innej subskrypcji, sieciowa grupa zabezpieczeń i konto magazynu muszą być skojarzone z tą samą dzierżawą firmy Microsoft Entra. Konto używane dla każdej subskrypcji musi mieć niezbędne uprawnienia.

  5. Aby włączyć analizę ruchu, wybierz przycisk Dalej: Analiza lub wybierz kartę Analiza. Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Wersja dzienników przepływu Wybierz wersję dziennika przepływu sieciowej grupy zabezpieczeń. Dostępne opcje to: Wersja 1 i Wersja 2. Wersja domyślna to wersja 2. Aby uzyskać więcej informacji, zobacz Rejestrowanie przepływu dla sieciowych grup zabezpieczeń.
    Włączanie analizy ruchu Zaznacz pole wyboru, aby włączyć analizę ruchu dla dziennika przepływu.
    Interwał przetwarzania analizy ruchu Wybierz preferowany interwał przetwarzania: co 1 godzinę i co 10 minut. Domyślny interwał przetwarzania to co godzinę. Aby uzyskać więcej informacji, zobacz Analiza ruchu.
    Subskrypcja Wybierz subskrypcję platformy Azure obszaru roboczego usługi Log Analytics.
    Obszar roboczy usługi Log Analytics Wybierz obszar roboczy usługi Log Analytics. Domyślnie witryna Azure Portal tworzy obszar roboczy DefaultWorkspace-{SubscriptionID}-{Region} obszaru roboczego usługi Log Analytics w grupie zasobów defaultresourcegroup-{Region}.

    Zrzut ekranu przedstawiający sposób włączania analizy ruchu dla nowego dziennika przepływu w witrynie Azure Portal.

    Uwaga

    Aby utworzyć i wybrać obszar roboczy usługi Log Analytics inny niż domyślny, zobacz Tworzenie obszaru roboczego usługi Log Analytics

  6. Wybierz pozycję Przejrzyj i utwórz.

  7. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Włączanie lub wyłączanie analizy ruchu

Włącz analizę ruchu dla dziennika przepływu, aby analizować dane dziennika przepływu. Analiza ruchu zapewnia wgląd w wzorce ruchu. W dowolnym momencie możesz włączyć lub wyłączyć analizę ruchu dla dziennika przepływu.

Aby włączyć analizę ruchu dla dziennika przepływu, wykonaj następujące kroki:

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz dziennik przepływu, dla którego chcesz włączyć analizę ruchu.

  4. W obszarze Ustawienia dzienników usługi Flow zaznacz pole wyboru Włącz analizę ruchu.

    Zrzut ekranu przedstawiający sposób włączania analizy ruchu dla istniejącego dziennika przepływu w witrynie Azure Portal.

  5. Wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure obszaru roboczego usługi Log Analytics.
    Obszar roboczy usługi Log Analytics Wybierz obszar roboczy usługi Log Analytics. Domyślnie witryna Azure Portal tworzy obszar roboczy DefaultWorkspace-{SubscriptionID}-{Region} obszaru roboczego usługi Log Analytics w grupie zasobów defaultresourcegroup-{Region}.
    Interwał rejestrowania ruchu Wybierz preferowany interwał przetwarzania: co 1 godzinę i co 10 minut. Domyślny interwał przetwarzania to co godzinę. Aby uzyskać więcej informacji, zobacz Analiza ruchu.

    Zrzut ekranu przedstawiający konfiguracje analizy ruchu dla istniejącego dziennika przepływu w witrynie Azure Portal.

  6. Wybierz Zapisz, aby zastosować zmiany.

Aby wyłączyć analizę ruchu dla dziennika przepływu, wykonaj poprzednie kroki 1–3, a następnie usuń zaznaczenie pola wyboru Włącz analizę ruchu i wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający sposób wyłączania analizy ruchu dla istniejącego dziennika przepływu w witrynie Azure Portal.

Zmienianie dziennika przepływu

Właściwości dziennika przepływu można zmienić po jego utworzeniu. Można na przykład zmienić wersję dziennika przepływu lub wyłączyć analizę ruchu.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz dziennik przepływu, który chcesz zmienić.

  4. W obszarze Ustawienia dzienników usługi Flow można zmienić dowolne z następujących ustawień:

    Ustawienie Wartość
    Konto magazynu
    Subskrypcja Zmień subskrypcję platformy Azure konta magazynu, którego chcesz użyć.
    Konto magazynu Zmień konto magazynu, do którego chcesz zapisać dzienniki przepływu. Jeśli chcesz utworzyć nowe konto magazynu, wybierz pozycję Utwórz nowe konto magazynu.
    Przechowywanie (dni) Zmień czas przechowywania na koncie magazynu. Wprowadź wartość 0 , jeśli chcesz zachować dane dzienników przepływu na koncie magazynu na zawsze (dopóki nie usuniesz ręcznie danych z konta magazynu).
    Analiza ruchu
    Włączanie analizy ruchu Włącz lub wyłącz analizę ruchu, zaznaczając lub usuwając zaznaczenie pola wyboru.
    Subskrypcja Zmień subskrypcję platformy Azure obszaru roboczego usługi Log Analytics, którego chcesz użyć.
    Obszar roboczy usługi Log Analytics Zmień obszar roboczy usługi Log Analytics, do którego chcesz zapisać dzienniki przepływu (jeśli włączono analizę ruchu).
    Interwał rejestrowania ruchu Zmień interwał przetwarzania analizy ruchu (jeśli włączono analizę ruchu). Dostępne opcje to: jedna godzina i 10 minut. Domyślny interwał przetwarzania to co godzinę. Aby uzyskać więcej informacji, zobacz Analiza ruchu.

Wyświetlanie listy wszystkich dzienników przepływu

Możesz wyświetlić listę wszystkich dzienników przepływu w subskrypcji lub grupie subskrypcji. Możesz również wyświetlić listę wszystkich dzienników przepływu w regionie.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. Wybierz pozycję Subskrypcja równa się filtrowi, aby wybrać co najmniej jedną subskrypcję. Możesz zastosować inne filtry, takie jak Lokalizacja równa się, aby wyświetlić listę wszystkich dzienników przepływu w regionie.

    Zrzut ekranu przedstawiający sposób używania filtrów do wyświetlania listy wszystkich istniejących dzienników przepływu w subskrypcji przy użyciu witryny Azure Portal.

Wyświetlanie szczegółów zasobu dziennika przepływu

Możesz wyświetlić szczegóły dziennika przepływu w subskrypcji lub grupie subskrypcji. Możesz również wyświetlić listę wszystkich dzienników przepływu w regionie.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, wybierz dziennik przepływu, który chcesz wyświetlić.

  4. W obszarze Ustawienia dzienników usługi Flow można wyświetlić ustawienia zasobu dziennika przepływu.

    Zrzut ekranu przedstawiający stronę Ustawień dzienników usługi Flow w witrynie Azure Portal.

Pobieranie dziennika przepływu

Lokalizacja magazynu dziennika przepływu jest definiowana podczas tworzenia. Aby uzyskać dostęp do dzienników przepływu i pobrać je z konta magazynu, możesz użyć Eksplorator usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Wprowadzenie do Eksplorator usługi Storage.

Pliki dziennika przepływu sieciowej grupy zabezpieczeń zapisane na koncie magazynu są zgodne z następującą ścieżką:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Aby uzyskać informacje o strukturze dziennika przepływu, zobacz Format dziennika dzienników przepływów sieciowej grupy zabezpieczeń.

Wyłączanie dziennika przepływu

Dziennik przepływu sieciowej grupy zabezpieczeń można tymczasowo wyłączyć bez jego usuwania. Wyłączenie dziennika przepływu powoduje zatrzymanie rejestrowania przepływu dla skojarzonej sieciowej grupy zabezpieczeń. Jednak zasób dziennika przepływu pozostaje ze wszystkimi jego ustawieniami i skojarzeniami. Można ją ponownie włączyć w dowolnym momencie, aby wznowić rejestrowanie przepływu dla skonfigurowanej sieciowej grupy zabezpieczeń.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, zaznacz pole wyboru dziennika przepływu, który chcesz wyłączyć.

  4. Wybierz opcję Wyłącz.

    Zrzut ekranu przedstawiający sposób wyłączania dziennika przepływu w witrynie Azure Portal.

Uwaga

Jeśli analiza ruchu jest włączona dla dziennika przepływu, musi zostać wyłączona, zanim będzie można wyłączyć dziennik przepływu. Aby wyłączyć analizę ruchu, zobacz Zmienianie dziennika przepływu.

Usuwanie dziennika przepływu

Możesz trwale usunąć dziennik przepływu sieciowej grupy zabezpieczeń. Usunięcie dziennika przepływu powoduje usunięcie wszystkich ustawień i skojarzeń. Aby ponownie rozpocząć rejestrowanie przepływu dla tej samej sieciowej grupy zabezpieczeń, należy utworzyć dla niego nowy dziennik przepływu.

  1. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

  2. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

  3. W usłudze Network Watcher | Dzienniki przepływu, zaznacz pole wyboru dziennika przepływu, który chcesz usunąć.

  4. Wybierz Usuń.

    Zrzut ekranu przedstawiający sposób usuwania dziennika przepływu w witrynie Azure Portal.

Uwaga

Usunięcie dziennika przepływu nie powoduje usunięcia danych dziennika przepływu z konta magazynu. Dane dzienników przepływu przechowywane na koncie magazynu są zgodne ze skonfigurowanymi zasadami przechowywania lub pozostają przechowywane na koncie magazynu do momentu ręcznego usunięcia (w przypadku skonfigurowania zasad przechowywania).

Powiązana zawartość