Udostępnij za pośrednictwem


Rejestrowanie zasobów dla sieciowej grupy zabezpieczeń

Sieciowa grupa zabezpieczeń zawiera reguły zezwalające lub odmawiające ruchu do podsieci sieci wirtualnej, interfejsu sieciowego lub obu tych grup.

Po włączeniu rejestrowania dla sieciowej grupy zabezpieczeń można zebrać następujące typy informacji dziennika zasobów:

  • Zdarzenie: wpisy są rejestrowane, dla których reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC.
  • Licznik reguł: zawiera wpisy, ile razy każda reguła sieciowej grupy zabezpieczeń jest stosowana do zezwalania na ruch lub odmawiania go. Stan tych reguł jest zbierany co 300 sekund.

Dzienniki zasobów są dostępne tylko dla sieciowych grup zabezpieczeń wdrożonych za pośrednictwem modelu wdrażania usługi Azure Resource Manager. Nie można włączyć rejestrowania zasobów dla sieciowych grup zabezpieczeń wdrożonych za pośrednictwem klasycznego modelu wdrażania. Aby uzyskać więcej informacji, zobacz Omówienie modeli wdrażania.

Rejestrowanie zasobów jest włączane oddzielnie dla każdej sieciowej grupy zabezpieczeń, dla której mają być zbierane dane diagnostyczne. Jeśli interesuje Cię aktywność lub operacje, zamiast tego dzienniki można znaleźć w temacie Omówienie dzienników platformy Azure. Jeśli interesuje Cię ruch IP przepływujący przez sieciowe grupy zabezpieczeń, zobacz Dzienniki przepływu dla sieciowych grup zabezpieczeń.

Włącz rejestrowanie

Aby włączyć rejestrowanie zasobów, możesz użyć witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Azure Portal

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części witryny Azure Portal wprowadź sieciowe grupy zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.

  3. Wybierz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie.

  4. W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne, a następnie wybierz pozycję Dodaj ustawienie diagnostyczne:

    Zrzut ekranu przedstawiający ustawienia diagnostyczne sieciowej grupy zabezpieczeń z wyróżnionym ustawieniem Dodaj diagnostykę.

  5. W polu Ustawienie diagnostyczne wprowadź nazwę, taką jak myNsgDiagnostic.

  6. W obszarze Dzienniki wybierz pozycję wszystkie Dzienniki lub wybierz poszczególne kategorie dzienników. Aby uzyskać więcej informacji na temat każdej kategorii, zobacz Kategorie dzienników.

  7. W obszarze Szczegóły miejsca docelowego wybierz co najmniej jedno miejsce docelowe:

    • Wysyłanie do obszaru roboczego usługi Log Analytics
    • Zarchiwizuj na koncie magazynu
    • Przesyłanie strumieniowe do centrum zdarzeń
    • Wysyłanie do rozwiązania partnerskiego

    Aby uzyskać więcej informacji, zobacz Lokalizacje docelowe dziennika.

  8. Wybierz pozycję Zapisz.

  9. Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Azure PowerShell

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Możesz uruchomić polecenia, które w tej sekcji w usłudze Azure Cloud Shell lub za pomocą programu PowerShell z komputera. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

W przypadku uruchamiania programu PowerShell z komputera potrzebny jest moduł Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli uruchomisz program PowerShell lokalnie, musisz również uruchomić polecenie cmdlet Connect-AzAccount , aby zalogować się do platformy Azure przy użyciu konta, które ma niezbędne uprawnienia.

Aby włączyć rejestrowanie zasobów, potrzebny jest identyfikator istniejącej sieciowej grupy zabezpieczeń. Jeśli nie masz istniejącej sieciowej grupy zabezpieczeń, utwórz grupę zabezpieczeń przy użyciu polecenia cmdlet New-AzNetworkSecurityGroup .

Pobierz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie zasobów przy użyciu polecenia cmdlet Get-AzNetworkSecurityGroup . Przechowuj sieciową grupę zabezpieczeń w zmiennej do późniejszego użycia. Aby na przykład pobrać sieciową grupę zabezpieczeń o nazwie myNsg , która istnieje w grupie zasobów o nazwie myResourceGroup, wprowadź następujące polecenie:

$Nsg=Get-AzNetworkSecurityGroup `
  -Name myNsg `
  -ResourceGroupName myResourceGroup

Dzienniki zasobów można zapisywać w różnych typach docelowych. Aby uzyskać więcej informacji, zobacz Lokalizacje docelowe dziennika. W tym artykule dzienniki są wysyłane do miejsca docelowego obszaru roboczego usługi Log Analytics. Jeśli nie masz istniejącego obszaru roboczego, możesz go utworzyć przy użyciu polecenia cmdlet New-AzOperationalInsightsWorkspace .

Pobierz istniejący obszar roboczy usługi Log Analytics za pomocą polecenia cmdlet Get-AzOperationalInsightsWorkspace . Aby na przykład pobrać i zapisać istniejący obszar roboczy o nazwie myWorkspace w grupie zasobów o nazwie myWorkspaces, wprowadź następujące polecenie:

$Oms=Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName myWorkspaces `
  -Name myWorkspace

Istnieją dwie kategorie rejestrowania, które można włączyć. Aby uzyskać więcej informacji, zobacz Kategorie dzienników. Włącz rejestrowanie zasobów dla sieciowej grupy zabezpieczeń za pomocą polecenia cmdlet New-AzDiagnosticSetting . Poniższy przykład rejestruje dane kategorii zdarzenia i licznika w obszarze roboczym sieciowej grupy zabezpieczeń. Używa identyfikatorów sieciowych grup zabezpieczeń i obszaru roboczego, które otrzymano za pomocą poprzednich poleceń:

New-AzDiagnosticSetting `
   -Name myDiagnosticSetting `
   -ResourceId $Nsg.Id `
   -WorkspaceId $Oms.ResourceId

Jeśli chcesz zalogować się do innego miejsca docelowego niż obszar roboczy usługi Log Analytics, użyj odpowiedniego parametru w poleceniu . Aby uzyskać więcej informacji, zobacz Dzienniki zasobów platformy Azure.

Aby uzyskać więcej informacji na temat ustawień, zobacz New-AzDiagnosticSetting.

Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Interfejs wiersza polecenia platformy Azure

Polecenia w tej sekcji można uruchomić w usłudze Azure Cloud Shell lub uruchamiając interfejs wiersza polecenia platformy Azure z komputera. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Jeśli uruchamiasz interfejs wiersza polecenia z komputera, potrzebujesz wersji 2.0.38 lub nowszej. Uruchom az --version polecenie na komputerze, aby znaleźć zainstalowaną wersję. Jeśli chcesz przeprowadzić uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. Jeśli uruchamiasz interfejs wiersza polecenia lokalnie, musisz również uruchomić polecenie az login , aby zalogować się do platformy Azure przy użyciu konta z wymaganymi uprawnieniami.

Aby włączyć rejestrowanie zasobów, potrzebny jest identyfikator istniejącej sieciowej grupy zabezpieczeń. Jeśli nie masz istniejącej sieciowej grupy zabezpieczeń, utwórz je przy użyciu polecenia az network nsg create.

Pobierz i zapisz sieciową grupę zabezpieczeń, dla której chcesz włączyć rejestrowanie zasobów za pomocą polecenia az network nsg show. Aby na przykład pobrać sieciową grupę zabezpieczeń o nazwie myNsg , która istnieje w grupie zasobów o nazwie myResourceGroup, wprowadź następujące polecenie:

nsgId=$(az network nsg show \
  --name myNsg \
  --resource-group myResourceGroup \
  --query id \
  --output tsv)

Dzienniki zasobów można zapisywać w różnych typach docelowych. Aby uzyskać więcej informacji, zobacz Lokalizacje docelowe dziennika. W tym artykule dzienniki są wysyłane do miejsca docelowego obszaru roboczego usługi Log Analytics, na przykład. Aby uzyskać więcej informacji, zobacz Kategorie dzienników.

Włącz rejestrowanie zasobów dla sieciowej grupy zabezpieczeń za pomocą polecenia az monitor diagnostic-settings create. Poniższy przykład rejestruje dane kategorii zdarzenia i licznika do istniejącego obszaru roboczego o nazwie myWorkspace, który istnieje w grupie zasobów o nazwie myWorkspaces. Używa identyfikatora sieciowej grupy zabezpieczeń zapisanej przy użyciu poprzedniego polecenia.

az monitor diagnostic-settings create \
  --name myNsgDiagnostics \
  --resource $nsgId \
  --logs '[ { "category": "NetworkSecurityGroupEvent", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } }, { "category": "NetworkSecurityGroupRuleCounter", "enabled": true, "retentionPolicy": { "days": 30, "enabled": true } } ]' \
  --workspace myWorkspace \
  --resource-group myWorkspaces

Jeśli nie masz istniejącego obszaru roboczego, utwórz go przy użyciu witryny Azure Portal lub programu Azure PowerShell. Istnieją dwie kategorie rejestrowania, dla których można włączyć dzienniki.

Jeśli chcesz rejestrować dane tylko dla jednej kategorii lub drugiej, usuń kategorię, dla której nie chcesz rejestrować danych w poprzednim poleceniu. Jeśli chcesz zalogować się do innego miejsca docelowego niż obszar roboczy usługi Log Analytics, użyj odpowiedniego parametru. Aby uzyskać więcej informacji, zobacz Dzienniki zasobów platformy Azure.

Wyświetlanie i analizowanie dzienników. Aby uzyskać więcej informacji, zobacz Wyświetlanie i analizowanie dzienników.

Miejsca docelowe dzienników

Dane diagnostyczne można wysyłać do następujących opcji:

Rejestruj kategorie

Dane sformatowane w formacie JSON są zapisywane dla następujących kategorii dzienników: zdarzenia i licznik reguł.

Zdarzenie

Dziennik zdarzeń zawiera informacje o tym, które reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC. Następujące dane są rejestrowane dla każdego zdarzenia. W poniższym przykładzie dane są rejestrowane dla maszyny wirtualnej z adresem IP 192.168.1.4 i adresem MAC 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupEvent",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupEvents",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "priority":"[PRIORITY-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "conditions":{
            "protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
            "destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
            "sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
            "destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
            }
        }
}

Licznik reguł

Dziennik licznika reguł zawiera informacje o każdej regule stosowanej do zasobów. Następujące przykładowe dane są rejestrowane za każdym razem, gdy jest stosowana reguła. W poniższym przykładzie dane są rejestrowane dla maszyny wirtualnej z adresem IP 192.168.1.4 i adresem MAC 00-0D-3A-92-6A-7C:

{
    "time": "[DATE-TIME]",
    "systemId": "[ID]",
    "category": "NetworkSecurityGroupRuleCounter",
    "resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
    "operationName": "NetworkSecurityGroupCounters",
    "properties": {
        "vnetResourceGuid":"[ID]",
        "subnetPrefix":"192.168.1.0/24",
        "macAddress":"00-0D-3A-92-6A-7C",
        "primaryIPv4Address":"192.168.1.4",
        "ruleName":"[SECURITY-RULE-NAME]",
        "direction":"[DIRECTION-SPECIFIED-IN-RULE]",
        "type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
        "matchedConnections":125
        }
}

Uwaga

Źródłowy adres IP komunikacji nie jest rejestrowany. Można włączyć rejestrowanie przepływu sieciowej grupy zabezpieczeń dla sieciowej grupy zabezpieczeń, która rejestruje wszystkie informacje licznika reguł i źródłowy adres IP, który zainicjował komunikację. Dane dziennika przepływu sieciowej grupy zabezpieczeń są zapisywane na koncie usługi Azure Storage. Możesz analizować dane za pomocą możliwości analizy ruchu w usłudze Azure Network Watcher.

Wyświetlanie i analizowanie dzienników

Jeśli wysyłasz dane diagnostyczne do:

  • Dzienniki usługi Azure Monitor: możesz użyć rozwiązania do analizy sieciowej grupy zabezpieczeń w celu uzyskania rozszerzonych szczegółowych informacji. Rozwiązanie udostępnia wizualizacje reguł sieciowej grupy zabezpieczeń, które zezwalają na ruch lub odmawiają ruchu na adres MAC interfejsu sieciowego na maszynie wirtualnej.

  • Konto usługi Azure Storage: dane są zapisywane w pliku PT1H.json . Możesz znaleźć następujące informacje:

    • Dziennik zdarzeń, który znajduje się w następującej ścieżce: insights-logs-networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]
    • Dziennik licznika reguł, który znajduje się w następującej ścieżce: insights-logs-networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT. NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=[HOUR]/m=[MINUTE]

Aby dowiedzieć się, jak wyświetlać dane dziennika zasobów, zobacz Omówienie dzienników platformy Azure.

Następne kroki

  • Aby uzyskać więcej informacji na temat rejestrowania aktywności, zobacz Omówienie dzienników platformy Azure.

    Rejestrowanie aktywności jest domyślnie włączone dla sieciowych grup zabezpieczeń utworzonych za pomocą dowolnego modelu wdrażania platformy Azure. Aby określić, które operacje zostały ukończone w sieciowych grupach zabezpieczeń w dzienniku aktywności, poszukaj wpisów zawierających następujące typy zasobów:

    • Microsoft.ClassicNetwork/networkSecurityGroups
    • Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
    • Microsoft.Network/networkSecurityGroups
    • Microsoft.Network/networkSecurityGroups/securityRules
  • Aby dowiedzieć się, jak rejestrować informacje diagnostyczne, zobacz Rejestrowanie ruchu sieciowego do i z maszyny wirtualnej przy użyciu witryny Azure Portal.