Gerenciar os logs de fluxo do NSG usando o portal do Azure

Importante

Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte dessa aposentadoria, você não poderá mais criar novos registros de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para logs de fluxo de rede virtual, que superam as limitações dos registros de fluxo do NSG. Após a data de aposentadoria, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada, e os recursos de logs de fluxo NSG existentes em suas assinaturas serão excluídos. No entanto, os registros de fluxo do NSG não serão excluídos e continuarão seguindo suas respectivas políticas de retenção. Para saber mais, confira o anúncio oficial.

Os logs de fluxo do grupo de segurança de rede são um recurso do Observador de Rede do Azure que permite registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. Para obter mais informações sobre o log de fluxo do grupo de segurança de rede, confira Visão geral dos logs de fluxo do NSG.

Neste artigo, você aprenderá a criar, alterar, desabilitar ou excluir um log de fluxo do grupo de segurança de rede usando o portal do Azure. Você pode aprender a gerenciar um log de fluxo do NSG por meio do PowerShell, da CLI do Azure, da API REST ou do Modelo do ARM.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, confira Registrar provedor de insights.

• Um grupo de segurança de rede. Se você precisa criar um grupo de segurança de rede, consulte Criar, alterar ou excluir um grupo de segurança de rede.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, confira Criar uma conta de armazenamento usando o portal do Azure.

Registrar o provedor Insights

O provedor Microsoft.Insights deve ser registrado para registrar com êxito o tráfego de log que flui por meio de um grupo de segurança de rede. Se não tiver certeza de que o provedor Microsoft.Insights está registrado, você pode verificar seu status seguindo estas etapas:

1. Na caixa de pesquisa na parte superior do portal, insira assinaturas. Selecione Assinaturas nos resultados da pesquisa.

   

2. Selecione a assinatura do Azure para a qual deseja habilitar o provedor em Assinaturas.

3. Em Configurações, selecione Provedores de recursos.

4. Insira insight na caixa de filtro.

5. Confirme se o status do provedor exibido é Registrado. Se o status for NotRegistered, selecione o provedor Microsoft.Insights e escolha Registrar.

   

Criar um log de fluxo

Crie um log de fluxo para o grupo de segurança de rede. Esse log de fluxo do NSG é salvo em uma conta de armazenamento do Azure.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione + Criar ou o botão azul Criar log de fluxo.

   

4. Na guia Noções Básicas de Criar um log de fluxo, insira ou selecione os seguintes valores:

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione a assinatura do Azure do seu grupo de segurança de rede que você deseja registrar.
   Tipo do log de fluxo	Selecione Grupo de segurança de rede e, em seguida, selecione + Selecionar recurso de destino. Selecione o grupo de segurança de rede para o qual você deseja fazer log de fluxo, e selecione Confirmar seleção.
   Nome do Log de fluxo	Insira um nome para o log de fluxo ou deixe o nome padrão. O portal do Azure usa {ResourceName}-{ResourceGroupName}-flowlog como um nome padrão do log de fluxo. myNSG-myResourceGroup-flowlog é o nome padrão usado neste artigo.
   Detalhes da instância
   Subscription	Selecione a assinatura do Azure de sua conta de armazenamento.
   Contas de armazenamento	Selecione a conta de armazenamento na qual deseja salvar os logs de fluxo. Se você quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Insira um tempo de retenção para os logs (essa opção só está disponível com contas de armazenamento Standard de finalidade geral v2). Insira 0 se quiser reter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluí-los da conta de armazenamento). Para saber mais sobre preços, confira Preços do Armazenamento do Microsoft Azure.

   

   Observação

   Se a conta de armazenamento estiver em uma assinatura diferente, o grupo de segurança de rede e a conta de armazenamento deverão ser associados ao mesmo locatário do Microsoft Entra. A conta que você usa para cada assinatura deve ter as permissões necessárias.

5. Para habilitar a análise de tráfego, selecione o botão Avançar: Análise ou selecione a guia Análise. Digite ou selecione os valores a seguir:

   Configuração	Valor
   Versão dos Logs de Fluxo	Selecione a versão do log de fluxo do grupo de segurança de rede. As opções disponíveis são: Versão 1 e Versão 2. A versão padrão é a versão 2. Para obter mais informações, consulte Log de fluxo para grupos de segurança de rede.
   Habilitar análise de tráfego	Marque a caixa de seleção para habilitar a análise de tráfego do log de fluxo.
   Intervalo de processamento da análise de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: De 1 em 1 hora e de 10 em 10 minutos. O intervalo de processamento padrão é de uma em uma hora. Para obter mais informações, confira Análise de tráfego.
   Subscription	Selecione a assinatura do Azure para o workspace do Log Analytics.
   Workspace do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, portal do Azure cria o workspace do Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} no grupo de recursos defaultresourcegroup-{Region}.

   

   Observação

   Para criar e selecionar um workspace do Log Analytics diferente do padrão, consulte Criar um workspace do Log Analytics

6. Selecione Examinar + criar.

7. Examine as configurações e selecione Criar.

Habilitar ou desabilitar análise de tráfego

Habilite a análise de tráfego para um log de fluxo para analisar os dados do log de fluxo. A análise de tráfego fornece insights sobre seus padrões de tráfego. Você pode habilitar ou desabilitar a análise de tráfego do log de fluxo a qualquer momento.

Para habilitar a análise de tráfego para um log de fluxo, siga essas etapas:

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Em Observador de Rede | Logs de fluxo, selecione o log de fluxo para o qual você deseja habilitar a análise de tráfego.

4. Em Configurações de logs de fluxo, marque a caixa de seleção Habilitar análise de tráfego.

   

5. Selecione os seguintes valores:

   Configuração	Valor
   Assinatura	Selecione a assinatura do Azure para o workspace do Log Analytics.
   Espaço de Trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, portal do Azure cria o workspace do Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} no grupo de recursos defaultresourcegroup-{Region}.
   Intervalo de log de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: De 1 em 1 hora e de 10 em 10 minutos. O intervalo de processamento padrão é de uma em uma hora. Para obter mais informações, confira Análise de tráfego.

   

6. Selecione Salvar para aplicar as alterações.

Para desabilitar a análise de tráfego de um log de fluxo, execute as etapas anteriores de 1 a 3, desmarque a caixa de seleção Habilitar análise de tráfego e selecione Salvar.

Alterar configurações de log de fluxo

Você pode alterar as configurações de um log de fluxo depois de criá-lo. Por exemplo, você pode alterar a versão do log de fluxo ou desabilitar a análise de tráfego.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Em Observador de Rede | Logs de fluxo, selecione o log de fluxo que você deseja alterar.

4. Em Configurações de logs de fluxo, você pode alterar qualquer uma das seguintes configurações:

   Configuração	Valor
   Conta de armazenamento
   Assinatura	Altere a assinatura do Azure da conta de armazenamento que você deseja usar.
   Conta de armazenamento	Selecione a conta de armazenamento na qual deseja salvar os logs de fluxo. Se você quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Altere o tempo de retenção na conta de armazenamento. Insira 0 se quiser reter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluir manualmente os dados da conta de armazenamento).
   Análise de tráfego
   Habilitar análise de tráfego	Habilite ou desabilite a análise de tráfego verificando ou desmarcando a caixa de seleção.
   Assinatura	Altere a assinatura do Azure do workspace do Log Analytics que você deseja usar.
   Workspace do Log Analytics	Altere o workspace do Log Analytics no qual você deseja salvar os logs de fluxo (se a análise de tráfego estiver habilitada).
   Intervalo de log de tráfego	Altere o intervalo de processamento da análise de tráfego (se a análise de tráfego estiver habilitada). As opções disponíveis são: uma hora e 10 minutos. O intervalo de processamento padrão é de uma em uma hora. Para obter mais informações, confira Análise de Tráfego.

   

5. Selecione Salvar para aplicar as alterações ou Cancelar para sair sem salvá-las.

Listar todos os logs de fluxo

Você pode listar todos os logs de fluxo em uma assinatura ou em um grupo de assinaturas. Você também pode listar todos os logs de fluxo em uma região.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Selecione o filtro Assinatura igual a para escolher uma ou mais de suas assinaturas. Você pode aplicar outros filtros como Localização igual a para listar todos os logs de fluxo em uma região.

   

Exibir detalhes de um recurso de log de fluxo

Você pode exibir os detalhes de um log de fluxo em uma assinatura ou em um grupo de assinaturas. Você também pode listar todos os logs de fluxo em uma região.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Em Observador de Rede | Logs de fluxo, selecione o log de fluxo que você deseja ver.

4. Em Configurações de logs de fluxo, exiba as configurações do recurso de log de fluxo.

   

5. Escolha Cancelar para fechar a página de configurações sem fazer nenhuma alteração.

Baixar um log de fluxo

O local de armazenamento de um log de fluxo é definido no momento da criação. Para acessar e baixar logs de fluxo de sua conta de armazenamento, você pode usar o Gerenciador de Armazenamento do Azure. Para obter mais informações, confira Introdução ao Gerenciador de Armazenamento.

Os arquivos de log de fluxo do NSG salvos em uma conta de armazenamento seguem este caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Para obter informações sobre a estrutura de um log de fluxo, consulte Formato de log dos logs de fluxo do NSG.

Desabilitar um log de fluxo

Você pode desabilitar temporariamente um log de fluxo do NSG sem excluí-lo. Desabilitar um log de fluxo interrompe o log de fluxo para o grupo de segurança de rede associado. No entanto, o recurso de log de fluxo permanece com todas as suas configurações e associações. Você pode habilitá-lo novamente a qualquer momento para retomar o log de fluxo para o grupo de segurança de rede configurado.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Em Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja desabilitar.

4. Selecione Desabilitar.

   

Observação

Se a análise de tráfego estiver habilitada para um log de fluxo, ela precisará ser desabilitada para que você possa desabilitar o log de fluxo. Para desabilitar a análise de tráfego, confira Alterar um log de fluxo.

Excluir um log de fluxo

Você pode excluir permanentemente um log de fluxo do NSG. Excluir um log de fluxo exclui todas as suas configurações e associações. Para iniciar o registro em log de fluxo novamente para o mesmo grupo de segurança de rede, você deve criar um novo log de fluxo para ele.

1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Em Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja excluir.

4. Selecione Excluir.

   

Observação

Excluir um log de fluxo não exclui os dados de log de fluxo da conta de armazenamento. Os dados de logs de fluxo armazenados na conta de armazenamento seguem a política de retenção configurada ou permanecem armazenados na conta de armazenamento até serem excluídos manualmente (caso nenhuma política de retenção esteja configurada).

Conteúdo relacionado

• Para saber como usar políticas internas do Azure para auditar ou implantar logs de fluxo do NSG, confira Gerenciar logs de fluxo do NSG usando o Azure Policy.
• Para saber mais sobre análise de tráfego, confira Análise de tráfego.