Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzienniki przepływu sieci wirtualnej są funkcją usługi Azure Network Watcher. Można ich używać do rejestrowania informacji o ruchu IP przepływającym przez sieć wirtualną.
Dane przepływu z dzienników przepływu sieci wirtualnej są wysyłane do usługi Azure Storage. Z tego miejsca możesz uzyskać dostęp do danych i wyeksportować je do dowolnego narzędzia do wizualizacji, rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) lub systemu wykrywania włamań (IDS). Dzienniki przepływu sieci wirtualnej przezwyciężają niektóre ograniczenia dzienników przepływu sieciowej grupy zabezpieczeń.
Dlaczego warto używać dzienników przepływu?
Bardzo ważne jest, aby monitorować, zarządzać i znać swoją sieć, aby móc ją chronić i optymalizować. Może być konieczne poznanie bieżącego stanu sieci, tego, kto się łączy i skąd łączą się użytkownicy. Być może będziesz musiał również wiedzieć, które porty są otwarte dla Internetu, jakie zachowanie sieci jest oczekiwane, jakie zachowanie sieci jest nieregularne i kiedy występują nagłe wzrosty ruchu.
Dzienniki przepływów są źródłem prawdy dla całej aktywności sieciowej w środowisku chmury. Niezależnie od tego, czy jesteś w startupie, który próbuje zoptymalizować zasoby, czy duże przedsiębiorstwo, które próbuje wykryć włamanie, dzienniki przepływów mogą pomóc. Można ich używać do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.
Typowe przypadki użycia
Monitorowanie sieci
- Zidentyfikuj nieznany lub niepożądany ruch.
- Monitorowanie poziomów ruchu i zużycia przepustowości.
- Filtruj dzienniki przepływu według adresu IP i portu, aby zrozumieć zachowanie aplikacji.
- Wyeksportuj dzienniki przepływu do narzędzi analitycznych i wizualizacyjnych, aby skonfigurować pulpity monitorujące.
Monitorowanie i optymalizacja użycia
- Zidentyfikuj najważniejszych rozmówców w sieci.
- Połącz z danymi GeoIP, aby zidentyfikować ruch między regionami.
- Omówienie wzrostu ruchu na potrzeby prognozowania pojemności.
- Użyj danych, aby usunąć zbyt restrykcyjne reguły ruchu.
Zgodność
- Użyj danych przepływu, aby zweryfikować izolację sieci i zgodność z regułami dostępu przedsiębiorstwa.
Analiza śledcza sieci i analiza zabezpieczeń
- Analizowanie przepływów sieciowych z naruszonych adresów IP i interfejsów sieciowych.
- Wyeksportuj dzienniki przepływu do dowolnego wybranego narzędzia SIEM lub IDS.
Dzienniki przepływu sieci wirtualnej w porównaniu z dziennikami przepływu w grupach zabezpieczeń sieciowych
Zarówno dzienniki przepływu sieci wirtualnej, jak i dzienniki przepływu sieciowej grupy zabezpieczeń rejestrują ruch IP, ale różnią się zachowaniem i możliwościami.
Dzienniki przepływu sieci wirtualnej upraszczają zakres monitorowania ruchu, ponieważ można włączyć rejestrowanie w sieciach wirtualnych. Ruch przez wszystkie obsługiwane obciążenia w sieci wirtualnej jest rejestrowany.
Dzienniki przepływu sieci wirtualnej pozwalają również uniknąć konieczności włączania rejestrowania przepływu na wielu poziomach, na przykład w dziennikach przepływu sieciowej grupy zabezpieczeń. W dziennikach przepływu grup zabezpieczeń sieciowych, grupy te są konfigurowane zarówno na poziomie podsieci, jak i interfejsu sieciowego (NIC).
Oprócz istniejącej obsługi identyfikowania ruchu, który reguły sieciowej grupy zabezpieczeń zezwalają lub odmawiają, dzienniki przepływu sieci wirtualnej obsługują identyfikację ruchu, który reguły administratora zabezpieczeń usługi Azure Virtual Network Manager zezwalają lub odmawiają. Dzienniki przepływu sieci wirtualnej obsługują również ocenianie stanu szyfrowania ruchu sieciowego w scenariuszach, w których używasz szyfrowania sieci wirtualnej.
Ważne
Zalecamy wyłączenie dzienników przepływu grupy zabezpieczeń sieci przed włączeniem dzienników przepływu sieci wirtualnej na tych samych obciążeniach roboczych, aby uniknąć duplikowania rejestrowania ruchu i dodatkowych kosztów.
Jeśli włączysz dzienniki przepływu w sieciowej grupie zabezpieczeń na podsieci, a następnie włączysz dzienniki przepływu wirtualnej sieci w tej samej podsieci lub w nadrzędnej sieci wirtualnej, możesz otrzymać zdublowane logi lub tylko dzienniki przepływu wirtualnej sieci.
Jak działa rejestrowanie
Kluczowe właściwości dzienników przepływu sieci wirtualnej obejmują:
- Dzienniki przepływu działają w warstwie 4 modelu Open Systems Interconnection (OSI) i rejestrują wszystkie przepływy IP przechodzące przez sieć wirtualną.
- Dzienniki są zbierane w jednominutowych odstępach czasu za pośrednictwem platformy Azure. Nie mają one wpływu na zasoby platformy Azure ani ruch sieciowy.
- Dzienniki są zapisywane w formacie JavaScript Object Notation (JSON).
- Każdy rekord dziennika zawiera interfejs sieciowy, do którego ma zastosowanie przepływ, informacje o krotce 5, kierunek ruchu, stan przepływu, stan szyfrowania i informacje o przepływności.
- Wszystkie przepływy ruchu w sieci są oceniane za pomocą odpowiednich reguł sieciowej grupy zabezpieczeń lub reguł administratora zabezpieczeń usługi Azure Virtual Network Manager.
Format dziennika
Dzienniki przepływu sieci wirtualnej mają następujące właściwości:
-
time: godzina w formacie UTC, kiedy zdarzenie zostało zarejestrowane. -
flowLogVersion: Wersja dziennika przepływu danych. -
flowLogGUID: identyfikator GUID zasobuFlowLog. -
macAddress: Adres MAC interfejsu sieciowego, w którym przechwycono zdarzenie. -
category: kategoria zdarzenia. Kategoria to zawszeFlowLogFlowEvent. -
flowLogResourceID: Identyfikator zasobuFlowLog. -
targetResourceID: identyfikator zasobu docelowego, który jest skojarzony z zasobemFlowLog. -
operationName: ZawszeFlowLogFlowEvent. -
flowRecords: Zbiór zapisów przepływu.-
flows: Kolekcja przepływów. Ta właściwość ma wiele wpisów dla list kontroli dostępu (ACL):-
aclID: Identyfikator zasobu oceniającego ruch, jak np. sieciowa grupa zabezpieczeń lub Virtual Network Manager. W przypadku ruchu, który został odrzucony z powodu szyfrowania, ta wartość tounspecified. -
flowGroups: Zbieranie rekordów przepływu na poziomie reguły:-
rule: nazwa reguły, która zezwoliła na ruch lub go zablokowała. W przypadku ruchu, który został odrzucony z powodu szyfrowania, ta wartość tounspecified. -
flowTuples: Ciąg zawierający wiele właściwości krotki przepływu w formacie rozdzielanym przecinkami:-
Time Stamp: Sygnatura czasowa wystąpienia zdarzenia w formacie epoki systemu UNIX. -
Source IP: źródłowy adres IP. -
Destination IP: docelowy adres IP. -
Source port: port źródłowy. -
Destination port: port docelowy. -
Protocol: Protokół warstwy 4 przepływu, wyrażony w wartościach przypisanych przez IANA. -
Flow direction: Kierunek przepływu ruchu. Prawidłowe wartości sąIprzeznaczone dla ruchu przychodzącego iOwychodzącego. -
Flow state: stan przepływu. Możliwe stany to:-
B: Rozpocznij, gdy przepływ zostanie utworzony. Nie są dostarczane żadne statystyki. -
C: Kontynuacja trwającego przepływu. Statystyki są dostarczane w odstępach pięciominutowych. -
E: Koniec, gdy przepływ zostanie zakończony. Statystyki są podawane. -
D: Odmów, gdy przepływ jest odrzucany.
-
-
Flow encryption: Stan szyfrowania przepływu. Tabela po tej liście opisuje możliwe wartości. -
Packets sent: Łączna liczba pakietów wysłanych ze źródła do miejsca docelowego od ostatniej aktualizacji. -
Bytes sent: Łączna liczba bajtów pakietów wysłanych ze źródła do miejsca docelowego od ostatniej aktualizacji. Liczba bajtów pakietu obejmuje nagłówek i ładunek pakietu. -
Packets received: Łączna liczba pakietów wysłanych z miejsca docelowego do źródła od ostatniej aktualizacji. -
Bytes received: Łączna liczba bajtów pakietów wysłanych z miejsca docelowego do źródła od ostatniej aktualizacji. Liczba bajtów pakietu obejmuje nagłówek i ładunek pakietu.
-
-
-
-
Flow encryption Ma następujące możliwe stany szyfrowania:
| Stan szyfrowania | Opis |
|---|---|
X |
Połączenie jest szyfrowane. Szyfrowanie jest skonfigurowane, a platforma szyfruje połączenie. |
NX |
Połączenie jest nieszyfrowane. To zdarzenie jest rejestrowane w dwóch scenariuszach: - Gdy szyfrowanie nie jest skonfigurowane. - Gdy zaszyfrowana maszyna wirtualna komunikuje się z punktem końcowym, który nie ma szyfrowania (takim jak internetowy punkt końcowy). |
NX_HW_NOT_SUPPORTED |
Sprzęt nie jest obsługiwany. Szyfrowanie jest skonfigurowane, ale maszyna wirtualna jest uruchomiona na hoście, który nie obsługuje szyfrowania. Ten problem zwykle występuje, ponieważ programowalna przez użytkownika macierz bramek (FPGA) nie jest podłączona do hosta lub jest uszkodzona. Zgłoś ten problem do firmy Microsoft w celu zbadania. |
NX_SW_NOT_READY |
Oprogramowanie nie jest gotowe. Szyfrowanie jest skonfigurowane, ale składnik oprogramowania (GFT) w stosie sieci hosta nie jest gotowy do przetwarzania połączeń szyfrowanych. Ten problem może wystąpić, gdy maszyna wirtualna jest uruchamiana po raz pierwszy, jest uruchamiana ponownie lub jest ponownie wdrażana. Może się to również zdarzyć, gdy istnieje aktualizacja składników sieciowych na hoście, na którym jest uruchomiona maszyna wirtualna. We wszystkich tych scenariuszach pakiet jest odrzucany. Problem powinien być tymczasowy. Szyfrowanie powinno zacząć działać po pełnym uruchomieniu maszyny wirtualnej lub po zakończeniu aktualizacji oprogramowania na hoście. Jeśli problem trwa dłużej, zgłoś go do firmy Microsoft w celu zbadania. |
NX_NOT_ACCEPTED |
Odrzuć z powodu braku szyfrowania. Szyfrowanie jest konfigurowane zarówno w źródłowych, jak i docelowych punktach końcowych, z rezygnacją z niezaszyfrowanych zasad. Jeśli szyfrowanie ruchu nie powiedzie się, pakiet zostanie porzucony. |
NX_NOT_SUPPORTED |
Odnajdywanie nie jest obsługiwane. Szyfrowanie jest skonfigurowane, ale sesja szyfrowania nie została ustanowiona, ponieważ stos sieci hosta nie obsługuje odnajdywania. W takim przypadku pakiet jest porzucany. Jeśli napotkasz ten problem, zgłoś go do firmy Microsoft w celu zbadania. |
NX_LOCAL_DST |
Miejsce docelowe znajduje się na tym samym hoście. Szyfrowanie jest skonfigurowane, ale źródłowe i docelowe maszyny wirtualne są uruchomione na tym samym hoście platformy Azure. W takim przypadku połączenie nie jest szyfrowane zgodnie z projektem. |
NX_FALLBACK |
Wróć do braku szyfrowania. Szyfrowanie jest konfigurowane przy użyciu zasad Zezwalaj na niezaszyfrowane zarówno dla źródłowych, jak i docelowych punktów końcowych. System próbował zaszyfrować, ale wystąpił problem. W takim przypadku połączenie jest dozwolone, ale nie jest szyfrowane. Na przykład maszyna wirtualna początkowo wylądowała w węźle, który obsługuje szyfrowanie, ale ta obsługa została później usunięta. |
Ruch w sieciach wirtualnych jest domyślnie nieszyfrowany (NX). Aby uzyskać informacje o ruchu szyfrowanym, zobacz Szyfrowanie sieci wirtualnej.
Przykładowy rekord dziennika
W poniższym przykładzie dzienników przepływu sieci wirtualnej wiele rekordów jest zgodnych z opisaną wcześniej listą właściwości.
{
"records": [
{
"time": "2022-09-14T09:00:52.5625085Z",
"flowLogVersion": 4,
"flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"macAddress": "112233445566",
"category": "FlowLogFlowEvent",
"flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
"targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
"operationName": "FlowLogFlowEvent",
"flowRecords": {
"flows": [
{
"aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"flowGroups": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flowTuples": [
"1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
"1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
"1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
"1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
"1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
"1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
"1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
"1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
"1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
"1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
]
}
]
},
{
"aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"flowGroups": [
{
"rule": "BlockHighRiskTCPPortsFromInternet",
"flowTuples": [
"1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
"1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
]
},
{
"rule": "Internet",
"flowTuples": [
"1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
"1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
"1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
"1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
"1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
"1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
"1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
]
}
]
}
]
}
}
]
}
Obliczanie krotki logów i przepustowości
Oto przykładowe obliczanie przepustowości dla krotek przepływu z konwersacji TCP między 203.0.113.105:35370 i 10.0.0.5:23:
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,,
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880
1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072
W przypadku stanów przepływu kontynuacji (C) i końcowych (E) liczba bajtów i pakietów to zliczenia agregacyjne od czasu zarejestrowania poprzedniego przepływu. W przykładowej konwersacji łączna liczba przesłanych pakietów wynosi 1 021 + 52 + 8 005 + 47 = 9 125. Całkowita liczba przesłanych bajtów wynosi 588 096 + 29 952 + 4 610 880 + 27 072 = 5 256 000.
Zagadnienia dotyczące dzienników przepływu sieci wirtualnej
Konto magazynu
- Lokalizacja: Konto magazynowe musi znajdować się w tym samym regionie co sieć wirtualna.
- Subskrypcja: Konto magazynu musi znajdować się w tej samej subskrypcji co sieć wirtualna lub w subskrypcji skojarzonej z tą samą dzierżawą Microsoft Entra, co subskrypcja sieci wirtualnej.
- Warstwa wydajności: konto przechowywania musi być standardowe. Konta premium przechowywania nie są obsługiwane.
- Rotacja kluczy samodzielnie zarządzanych: jeśli zmienisz lub zrotujesz klucze dostępu do konta magazynu, dzienniki przepływu w sieci wirtualnej przestaną działać. Aby rozwiązać ten problem, należy wyłączyć, a następnie ponownie włączyć dzienniki przepływu sieci wirtualnej.
Ruch prywatnego punktu końcowego
Nie można rejestrować ruchu w samym prywatnym punkcie końcowym. Ruch do prywatnego punktu końcowego można przechwytywać na źródłowej maszynie wirtualnej. Ruch jest rejestrowany przy użyciu źródłowego adresu IP maszyny wirtualnej i docelowego adresu IP prywatnego punktu końcowego. Za pomocą PrivateEndpointResourceId pola można zidentyfikować ruch przepływający do prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Schemat analizy ruchu.
Niezgodne usługi
Obecnie te usługi platformy Azure nie obsługują dzienników przepływu sieci wirtualnej:
- Azure Container Instances
- Azure Container Apps
- Azure Logic Apps
- Azure Functions
- Prywatny program rozpoznawania nazw usługi Azure DNS
- App Service
- Azure Database dla bazy danych MariaDB
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure SQL Managed Instance
- Azure NetApp Files
- Microsoft Power Platform
Uwaga / Notatka
Usługi App Services wdrożone w ramach planu Azure App Service nie obsługują dzienników przepływu sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Jak działa integracja sieci wirtualnej.
Ceny
Opłaty za dzienniki przepływu sieci wirtualnej są naliczane za gigabajt zebranych dzienników przepływu sieci i są objęte bezpłatną warstwą 5 GB/miesiąc na subskrypcję.
Jeśli analiza ruchu jest włączona z dziennikami przepływu sieci wirtualnej, ceny analizy ruchu są stosowane według stawek przetwarzania za gigabajt. Analiza ruchu nie jest oferowana z darmową wersją cenową. Aby uzyskać więcej informacji, zobacz Cennik usługi Network Watcher.
Opłata za magazyn logów jest naliczana oddzielnie. Aby uzyskać więcej informacji, zobacz cennik usługi Azure Blob Storage.
Obsługiwane scenariusze
W poniższej tabeli przedstawiono zakres obsługi dzienników przepływu.
| Zakres | Dzienniki przepływu grupy zabezpieczeń sieciowych | Dzienniki przepływu sieci wirtualnej |
|---|---|---|
| Bajty i pakiety w przepływach bezstanowych | Niewspierane | Wsparte |
| Identyfikacja szyfrowania sieci wirtualnej | Niewspierane | Wsparte |
| Azure API Management | Niewspierane | Wsparte |
| Azure Application Gateway | Niewspierane | Wsparte |
| Menedżer sieci wirtualnej platformy Azure | Niewspierane | Wsparte |
| Brama usługi ExpressRoute | Niewspierane | Wsparte |
| Zestawy do skalowania maszyn wirtualnych | Wsparte | Wsparte |
| Brama sieci VPN | Niewspierane | Wsparte |
Dostępność
W poniższych tabelach wymieniono obsługiwane regiony, w których można włączyć dzienniki przepływu sieci wirtualnej.
- Ameryka Północna / Ameryka Południowa
- Europa
- Australia / Azja / Pacyfik
- Bliski Wschód / Afryka
- Azure Government
| Rejon | Dzienniki przepływu grupy zabezpieczeń sieciowych | Dzienniki przepływu sieci wirtualnej | Analiza ruchu | Obszar roboczy usługi Log Analytics |
|---|---|---|---|---|
| Brazylia Południowa | ✓ | ✓ | ✓ | ✓ |
| Brazylia Południowo–Wschodnia | ✓ | ✓ | ✓ | ✓ |
| Kanada Środkowa | ✓ | ✓ | ✓ | ✓ |
| Kanada Wschodnia | ✓ | ✓ | ✓ | ✓ |
| Centralna część USA | ✓ | ✓ | ✓ | ✓ |
| Wschodnie USA | ✓ | ✓ | ✓ | ✓ |
| Wschodnie stany USA 2 | ✓ | ✓ | ✓ | ✓ |
| Meksyk Środkowy | ✓ | ✓ | ✓ | |
| Północno-środkowe stany USA | ✓ | ✓ | ✓ | ✓ |
| Południowo-centralna część USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnio-środkowe stany USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA 2 | ✓ | ✓ | ✓ | ✓ |
| Zachodnie stany USA 3 | ✓ | ✓ | ✓ | ✓ |
Treści powiązane
- Aby dowiedzieć się, jak tworzyć, zmieniać, włączać, wyłączać lub usuwać dzienniki przepływu sieci wirtualnej, zobacz Zarządzanie dziennikami przepływu sieci wirtualnej.
- Aby dowiedzieć się, jak używać wbudowanych zasad platformy Azure do inspekcji lub wdrażania dzienników przepływu sieci wirtualnej, zobacz Zarządzanie dziennikami przepływu sieci wirtualnej przy użyciu Azure Policy.
- Aby dowiedzieć się więcej na temat analizy ruchu, zobacz Omówienie analizy ruchu i Agregacja schematu i danych w analizie ruchu usługi Azure Network Watcher.