Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte desta desativação, não poderá mais criar novos registos de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para logs de fluxo de rede virtual, que superam as limitações dos logs de fluxo NSG. Após a data de desativação, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada e os recursos existentes de logs de fluxo NSG em suas assinaturas serão excluídos. No entanto, os dados de logs de fluxo do NSG não serão eliminados e continuarão a seguir as suas respetivas políticas de retenção. Para obter mais informações, veja o anúncio oficial.
O registo de fluxo do grupo de segurança de rede (NSG) é uma funcionalidade do Azure Network Watcher que lhe permite registar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Os dados de fluxo são enviados para o Armazenamento do Azure, de onde você pode acessá-los e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS) de sua escolha.
Por que usar registos de fluxo?
É vital monitorar, gerenciar e conhecer sua própria rede para que você possa protegê-la e otimizá-la. Você precisa saber o estado atual da rede, quem está se conectando e de onde os usuários estão se conectando. Você também precisa saber quais portas estão abertas para a internet, qual comportamento de rede é esperado, qual comportamento de rede é irregular e quando aumentos repentinos no tráfego acontecem.
Os registos de fluxos são a fonte fidedigna para a toda a atividade da rede no ambiente da cloud. Quer esteja numa startup que está a tentar otimizar recursos ou numa grande empresa que está a tentar detetar intrusões, os registos de fluxo podem ajudar. Você pode usá-los para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.
Casos comuns de utilização
Monitorização de rede
- Identifique tráfego desconhecido ou indesejado.
- Monitore os níveis de tráfego e o consumo de largura de banda.
- Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
- Exporte logs de fluxo para ferramentas de análise e visualização de sua escolha para configurar painéis de monitoramento.
Monitorização e otimização da utilização
- Identifique os principais locutores na sua rede.
- Combine com dados GeoIP para identificar tráfego entre regiões.
- Entenda o crescimento do tráfego para previsão de capacidade.
- Use dados para remover regras de trânsito excessivamente restritivas.
Conformidade
- Use dados de fluxo para verificar o isolamento da rede e a conformidade com as regras de acesso corporativo.
Perícia forense de rede e análise de segurança
- Analise fluxos de rede a partir de IPs comprometidos e interfaces de rede.
- Exporte logs de fluxo para qualquer ferramenta SIEM ou IDS de sua escolha.
Como funcionam os logs de fluxo NSG
As principais propriedades dos logs de fluxo NSG incluem:
- Os logs de fluxo operam na Camada 4 do modelo OSI (Open Systems Interconnection) e registram todos os fluxos IP que entram e saem de um grupo de segurança de rede.
- Os logs são coletados em intervalos de 1 minuto por meio da plataforma Azure. Eles não afetam seus recursos do Azure ou o desempenho da rede de forma alguma.
- Os logs são gravados no formato JSON e mostram fluxos de entrada e saída por regra de grupo de segurança de rede.
- Cada registro de log contém a interface de rede (NIC) à qual o fluxo se aplica, informações de 5 tuplas, a decisão de tráfego e (somente para a versão 2) informações de taxa de transferência.
- Os logs de fluxo NSG têm um recurso de retenção que permite excluir os logs automaticamente até um ano após sua criação.
Nota
A retenção só estará disponível se você usar contas de armazenamento v2 de uso geral.
Os principais conceitos para logs de fluxo incluem:
- As redes definidas por software são organizadas em torno de redes virtuais e sub-redes. Você pode gerenciar a segurança dessas redes virtuais e sub-redes usando grupos de segurança de rede.
- Um grupo de segurança de rede contém regras de segurança que permitem ou negam tráfego de rede de ou para os recursos do Azure aos quais o grupo de segurança de rede está conectado. Um grupo de segurança de rede pode ser associado a uma sub-rede ou a uma interface de rede de uma máquina virtual (VM). Para obter mais informações, consulte Visão geral do grupo de segurança de rede.
- Todos os fluxos de tráfego na sua rede são avaliados através das regras do grupo de segurança de rede aplicável. O resultado dessas avaliações são os logs de fluxo do NSG.
- Os logs de fluxo NSG são coletados por meio da plataforma Azure e não exigem nenhuma alteração em seus recursos do Azure.
- Existem dois tipos de regras de grupo de segurança de rede: terminadoras e não terminadoras. Cada um tem comportamentos de registro diferentes:
- As regras de negação estão terminando. O grupo de segurança de rede que está a negar o tráfego regista-o nos registos de fluxo. O processamento, neste caso, é interrompido após qualquer Grupo de Segurança de Rede (NSG) negar o tráfego.
- As regras de permissão não terminam. Se o grupo de segurança de rede permitir o tráfego, o processamento continuará para o próximo grupo de segurança de rede. O último grupo de segurança de rede que permite o tráfego regista-o nos logs de fluxo.
- Os logs de fluxo do NSG são gravados em contas de armazenamento. Você pode exportar, processar, analisar e visualizar logs de fluxo NSG usando ferramentas como análise de tráfego do Network Watcher, Splunk, Grafana e Stealthwatch.
Formato de registo
Os logs de fluxo NSG incluem as seguintes propriedades:
-
time: Hora em UTC em que o evento foi registado. -
systemId: ID do sistema do grupo de segurança de rede. -
category: Categoria do evento. A categoria é sempreNetworkSecurityGroupFlowEvent. -
resourceid: ID do recurso do grupo de segurança de rede. -
operationName: SempreNetworkSecurityGroupFlowEvents. -
properties: Coleção de propriedades do fluxo:-
Version: Número da versão do esquema de eventos do log de fluxo. -
flows: Recolha de fluxos. Esta propriedade tem várias entradas correspondentes a diferentes regras.-
rule: Regra para a qual os fluxos estão listados. -
flows: Recolha de fluxos.-
mac: Endereço MAC da NIC para a VM onde o fluxo foi coletado. -
flowTuples: Uma string que contém várias propriedades para a tupla de fluxo num formato separado por vírgula:-
Time stamp: Carimbo de data/hora do momento em que o fluxo ocorreu no formato de época UNIX. -
Source IP: Endereço IP de origem. -
Destination IP: Endereço IP de destino. -
Source port: Porta de origem. -
Destination port: Porto de destino. -
Protocol: Protocolo do fluxo. Os valores válidos sãoTpara TCP eUUDP. -
Traffic flow: Direção do fluxo de tráfego. Os valores válidos sãoIpara entrada eOsaída. -
Traffic decision: Se o tráfego foi permitido ou negado. Os valores válidos sãoApara permitido eDpara negado. -
Flow State - Version 2 Only: Estado do fluxo. Os estados possíveis são:-
B: Comece quando um fluxo é criado. As estatísticas não são fornecidas. -
C: Continuar para um fluxo contínuo. As estatísticas são fornecidas em intervalos de 5 minutos. -
E: Fim, quando um fluxo é encerrado. São fornecidas estatísticas.
-
-
Packets sent - Version 2 Only: Número total de pacotes TCP enviados da origem para o destino desde a última atualização. -
Bytes sent - Version 2 Only: Número total de bytes de pacotes TCP enviados da origem para o destino desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil. -
Packets received - Version 2 Only: Número total de pacotes TCP enviados do destino para a origem desde a última atualização. -
Bytes received - Version 2 Only: Número total de bytes de pacotes TCP enviados do destino para a origem desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.
-
-
-
-
A versão 2 dos logs de fluxo do NSG introduz o conceito de estado de fluxo. Você pode configurar qual versão dos logs de fluxo você recebe.
O estado B do fluxo é registado quando um fluxo é iniciado. Estado de fluxo C e estado E de fluxo são estados que marcam a continuação de um fluxo e terminação de fluxo, respectivamente. Ambos os estados C e E contêm informações de largura de banda de tráfego.
Registros de log de exemplo
Nos exemplos a seguir do log de fluxo NSG, vários registros seguem a lista de propriedades descrita anteriormente.
Nota
Os valores na flowTuples propriedade são uma lista separada por vírgula.
Versão 1
Aqui está um exemplo de formato de um log de fluxo NSG versão 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,203.0.113.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,192.0.2.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,192.0.2.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
Versão 2
Aqui está um formato de exemplo de um log de fluxo NSG versão 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,192.0.2.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,203.0.113.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,198.51.100.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,203.0.113.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,203.0.113.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,203.0.113.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,198.51.100.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Cálculo de tupla de log e largura de banda
Aqui está um exemplo de cálculo de largura de banda para tuplas de fluxo de uma conversa TCP entre 203.0.113.105:35370 e 10.0.0.5:443.
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,B,,,,
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,C,1021,588096,8005,4610880
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,E,52,29952,47,27072
Para os estados de fluxo de continuação (C) e de término (E), as contagens de bytes e pacotes são contagens agregadas desde o momento do registo do tuplo do fluxo anterior. Na conversa de exemplo, o número total de pacotes transferidos é 1021+52+8005+47 = 9125. O número total de bytes transferidos é 588096+29952+4610880+27072 = 5256000.
Trabalhar com registos de fluxo
Ler e exportar fluxos de logs
Para saber como ler e exportar logs de fluxo NSG, consulte um dos seguintes guias:
- Baixar e visualizar logs de fluxo
- Ler logs de fluxo usando funções do PowerShell
- Exportar registos de fluxo NSG para Splunk
Os arquivos de log de fluxo NSG são armazenados em uma conta de armazenamento no seguinte caminho:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualizar logs de fluxo
Para aprender a visualizar logs de fluxo NSG, consulte um dos seguintes guias:
- Visualize os logs de fluxo do NSG usando a análise de tráfego do Network Watcher
- Visualizar logs de fluxo do NSG usando o Power BI
- Visualize logs de fluxo NSG usando o Elastic Stack
- Gerencie e analise logs de fluxo NSG usando o Grafana
- Gerencie e analise logs de fluxo NSG usando o Graylog
Considerações sobre logs de fluxo NSG
Conta de armazenamento
- Local: A conta de armazenamento deve estar na mesma região que o grupo de segurança de rede.
- Assinatura: A conta de armazenamento deve estar na mesma assinatura do grupo de segurança de rede ou numa assinatura associada ao mesmo inquilino do Microsoft Entra da assinatura do grupo de segurança de rede.
- Nível de desempenho: a conta de armazenamento deve ser padrão. As contas de armazenamento Premium não são suportadas
- Rotação de chaves autogerenciada: se você alterar ou girar as chaves de acesso à sua conta de armazenamento, os logs de fluxo NSG pararão de funcionar. Para corrigir esse problema, você deve desabilitar e reativar os logs de fluxo NSG.
Custo
A faturação do registo de fluxo NSG é feita com base no volume de logs produzidos. Um volume elevado de tráfego pode resultar em um grande volume de logs de fluxo, o que aumenta os custos associados.
Os preços do log de fluxo NSG não incluem os custos subjacentes associados ao armazenamento. Reter os dados dos logs de fluxo do NSG para sempre ou usar o recurso de política de retenção significa incorrer em custos de armazenamento por longos períodos de tempo.
Regras TCP de entrada não padrão
Os grupos de segurança de rede são implementados como um firewall de estado. Mas, devido às limitações atuais da plataforma, as regras de segurança não padrão do grupo de segurança de rede que afetam os fluxos TCP de entrada são implementadas de maneira sem estado.
Os fluxos afetados por regras de entrada não padrão tornam-se não terminativos. Além disso, as contagens de bytes e pacotes não são registadas para esses fluxos. Devido a esses fatores, o número de bytes e pacotes relatados nos logs de fluxo do NSG (e na análise de tráfego do Network Watcher) pode ser diferente dos números reais.
Você pode resolver essa diferença definindo a FlowTimeoutInMinutes propriedade nas redes virtuais associadas como um valor não nulo. Você pode obter o comportamento padrão de estado ao definir FlowTimeoutInMinutes para 4 minutos. Para conexões de longa duração em que você não deseja que os fluxos se desconectem de um serviço ou destino, você pode definir FlowTimeoutInMinutes um valor de até 30 minutos. Utilize Set-AzVirtualNetwork para definir FlowTimeoutInMinutes a propriedade:
$virtualNetwork = @{
Name = 'myVNet'
ResourceGroupName = 'myResourceGroup'
}
$virtualNetworkConfig = Get-AzVirtualNetwork @virtualNetwork
$virtualNetworkConfig.FlowTimeoutInMinutes = 4
$virtualNetworkConfig | Set-AzVirtualNetwork
O tempo limite de fluxo também pode ser definido usando o portal do Azure:
Fluxos de entrada registados de endereços IP da Internet para VMs sem endereços IP públicos
As máquinas virtuais (VMs) que não têm um endereço IP público associado à NIC como um IP público de nível de instância ou que são parte de um pool de back-end de um balanceador de carga básico, usam SNAT padrão. O Azure atribui um endereço IP a essas VMs para facilitar a conectividade de saída. Como resultado, poderá ver entradas de log de fluxo para fluxos de endereços IP de Internet, se o fluxo estiver destinado a uma porta no intervalo de portas atribuídas para SNAT.
Embora o Azure não permita estes fluxos para a VM, a tentativa é registada e, por design, aparece no log de fluxo NSG do Network Watcher. Recomendamos que bloqueie explicitamente o tráfego de entrada indesejado da Internet com um grupo de segurança de rede.
Grupo de segurança de rede em uma sub-rede de gateway de ExpressRoute
Não recomendamos que você registre fluxos em uma sub-rede de gateway do Azure ExpressRoute porque o tráfego pode ignorar esse tipo de gateway (por exemplo, FastPath). Se um NSG estiver vinculado a uma sub-rede de gateway de ExpressRoute e os logs de fluxo do NSG estiverem habilitados, poderá não capturar os fluxos de saída para máquinas virtuais. Esses fluxos devem ser capturados na sub-rede ou NIC da VM.
Tráfego para um ponto de extremidade privado
O tráfego para pontos de extremidade privados só pode ser capturado na VM de origem. O tráfego é registrado com o endereço IP de origem da VM e o endereço IP de destino do ponto de extremidade privado. O tráfego não pode ser gravado no próprio endpoint privado devido a limitações da plataforma.
Suporte para grupos de segurança de rede associados à sub-rede do Application Gateway v2
Atualmente, logs de fluxo NSG para grupos de segurança de rede associados à sub-rede do Azure Application Gateway V2 não são suportados. Há suporte para logs de fluxo NSG para grupos de segurança de rede associados à sub-rede do Application Gateway V1.
Serviços incompatíveis
Atualmente, esses serviços do Azure não oferecem suporte a logs de fluxo NSG:
- Instâncias de contêiner do Azure
- Aplicativos de contêiner do Azure
- Aplicativos Lógicos do Azure
- Funções do Azure
- Resolvedor Privado de DNS do Azure
- Serviço de Aplicações
- Banco de Dados do Azure para MariaDB
- Base de Dados do Azure para MySQL
- Base de Dados do Azure para PostgreSQL
- Instância Gerenciada SQL do Azure
- Arquivos NetApp do Azure
- Plataforma de Energia da Microsoft
Nota
Os serviços de aplicação implantados sob um plano do Azure App Service não oferecem suporte a logs de fluxo NSG. Para saber mais, consulte Como funciona a integração de rede virtual.
Máquinas virtuais incompatíveis
Não são suportados logs de fluxo NSG nos seguintes tamanhos de máquina virtual:
Recomendamos que utilize registos de fluxo de rede virtual para estes tamanhos de máquinas virtuais.
Nota
As máquinas virtuais que executam tráfego de rede pesado podem encontrar falhas no registo de fluxos. Recomendamos que se migrem os logs de fluxo NSG para logs de fluxo de rede virtual para este tipo de carga de trabalho.
Melhores práticas
Habilitar logs de fluxo NSG em sub-redes críticas: os logs de fluxo devem ser habilitados em todas as sub-redes críticas na sua subscrição como uma prática recomendada de auditoria e segurança.
Habilitar logs de fluxo NSG em todos os grupos de segurança de rede anexados a um recurso: Os logs de fluxo NSG são configurados em grupos de segurança de rede. Um fluxo está associado a apenas uma regra de grupo de segurança de rede. Em cenários em que você usa vários grupos de segurança de rede, recomendamos habilitar os logs de fluxo NSG em todos os grupos de segurança de rede aplicados na sub-rede e na interface de rede (NIC) do recurso para garantir que todo o tráfego seja registrado. Para obter mais informações, consulte Como os grupos de segurança de rede filtram o tráfego de rede.
Veja a seguir alguns cenários comuns:
- Várias NICs em uma máquina virtual: se várias NICs estiverem conectadas a uma máquina virtual, você deverá habilitar os logs de fluxo em todas elas.
- Grupo de segurança de rede nos níveis NIC e sub-rede: Se um grupo de segurança de rede estiver configurado no nível da NIC e no nível da sub-rede, você deverá habilitar os logs de fluxo em ambos os grupos de segurança de rede. A sequência exata de processamento de regras por grupos de segurança de rede nos níveis de NIC e sub-rede depende da plataforma e varia de caso para caso. Os fluxos de tráfego são registados em relação ao grupo de segurança de rede processado por último. O estado da plataforma altera a ordem de processamento. Tens de consultar os dois logs de fluxo.
- Sub-rede de cluster do Serviço Kubernetes do Azure (AKS): o AKS adiciona um grupo de segurança de rede padrão na sub-rede do cluster. Deve activar os registos de fluxo do NSG neste grupo de segurança de rede.
Provisionamento de armazenamento: Ajuste o armazenamento conforme o volume esperado de logs de fluxo.
Nomenclatura: O nome do grupo de segurança de rede deve ter até 80 caracteres e um nome de regra de grupo de segurança de rede deve ter até 65 caracteres. Se os nomes excederem seus limites de caracteres, eles poderão ser truncados durante o registro.
Solução de problemas comuns
Não consigo ativar os logs de fluxo do NSG
Você pode receber um erro AuthorizationFailed ou GatewayAuthenticationFailed se não tiver ativado o provedor de recursos Microsoft.Insights na sua subscrição antes de tentar ativar os logs de fluxo NSG. Para obter mais informações, consulte Registrar provedor do Insights.
Ativei os logs de fluxo do NSG, mas não vejo dados na minha conta de armazenamento
Esse problema pode estar relacionado a:
Tempo de configuração: os logs de fluxo NSG podem levar até 5 minutos para aparecer na sua conta de armazenamento (se estiverem configurados corretamente). É apresentado um ficheiro PT1H.json . Para obter mais informações, consulte Download flow log.
Falta de tráfego em seus grupos de segurança de rede: às vezes você não vê logs porque suas máquinas virtuais não estão ativas ou porque os filtros upstream no Application Gateway ou em outros dispositivos estão bloqueando o tráfego para seus grupos de segurança de rede.
Preços
Os logs de fluxo NSG são cobrados por gigabyte de logs de fluxo de rede recolhidos e incluem um nível gratuito de 5 GB/mês por assinatura.
Se a análise de tráfego estiver ativada com logs de fluxo NSG, os preços da análise de tráfego serão aplicados por gigabyte processado. A análise de tráfego não é oferecida com um plano gratuito. Para obter mais informações, consulte Preços do Inspetor de Rede.
O armazenamento de logs é cobrado separadamente. Para obter mais informações, consulte Preços do Armazenamento de Blob do Azure.
Disponibilidade
As tabelas seguintes apresentam as regiões suportadas onde é possível habilitar os logs de fluxo NSG.
- América do Norte / América do Sul
- Europa
- Austrália / Ásia / Pacífico
- Médio Oriente / África
- Azure Government
| Região | Logs de fluxo do grupo de segurança de rede | Registos de fluxo de rede virtual | Análise de tráfego | Área de trabalho do Log Analytics |
|---|---|---|---|---|
| Brasil Sul | ✓ | ✓ | ✓ | ✓ |
| Brasil Sudeste | ✓ | ✓ | ✓ | ✓ |
| Canadá Central | ✓ | ✓ | ✓ | ✓ |
| Leste do Canadá | ✓ | ✓ | ✓ | ✓ |
| Região Central dos EUA | ✓ | ✓ | ✓ | ✓ |
| Leste dos Estados Unidos | ✓ | ✓ | ✓ | ✓ |
| Região Leste dos EUA 2 | ✓ | ✓ | ✓ | ✓ |
| México Central | ✓ | ✓ | ✓ | |
| Centro-Norte dos EUA | ✓ | ✓ | ✓ | ✓ |
| E.U.A. Centro-Sul | ✓ | ✓ | ✓ | ✓ |
| Centro-Oeste dos EUA | ✓ | ✓ | ✓ | ✓ |
| Oeste dos EUA | ✓ | ✓ | ✓ | ✓ |
| E.U.A. Oeste 2 | ✓ | ✓ | ✓ | ✓ |
| O Oeste dos EUA 3 | ✓ | ✓ | ✓ | ✓ |
Conteúdos relacionados
- Para saber como gerenciar logs de fluxo NSG, consulte Criar, alterar, desabilitar ou excluir logs de fluxo NSG.
- Para encontrar respostas para algumas das perguntas mais frequentes sobre os logs de fluxo NSG, consulte Perguntas frequentes sobre logs de fluxo.
- Para saber mais sobre a análise de tráfego, consulte Visão geral da análise de tráfego.