Registos de fluxo de rede virtual

Os logs de fluxo de rede virtual são um recurso do Azure Network Watcher. Você pode usá-los para registrar informações sobre o tráfego IP que flui através de uma rede virtual.

Os dados de fluxos dos registos de rede virtual são enviados para o Armazenamento do Azure. A partir daí, você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de eventos e informações de segurança (SIEM) ou sistema de deteção de intrusão (IDS). Os logs de fluxo de rede virtual superam algumas das limitações dos logs de fluxo do grupo de segurança de rede.

Por que usar registos de fluxo?

É vital monitorar, gerenciar e conhecer sua rede para que você possa protegê-la e otimizá-la. Talvez seja necessário saber o estado atual da rede, quem está se conectando e de onde os usuários estão se conectando. Você também pode precisar saber quais portas estão abertas para a internet, qual comportamento de rede é esperado, qual comportamento de rede é irregular e quando aumentos repentinos no tráfego acontecem.

Os registos de fluxos são a fonte fidedigna para a toda a atividade da rede no ambiente da cloud. Quer esteja numa startup que está a tentar otimizar recursos ou numa grande empresa que está a tentar detetar intrusões, os registos de fluxo podem ajudar. Você pode usá-los para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.

Casos comuns de utilização

Monitorização de rede

• Identifique tráfego desconhecido ou indesejado.
• Monitore os níveis de tráfego e o consumo de largura de banda.
• Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
• Exporte logs de fluxo para ferramentas de análise e visualização de sua escolha para configurar painéis de monitoramento.

Monitorização e otimização da utilização

• Identifique os principais locutores na sua rede.
• Combine com dados GeoIP para identificar tráfego entre regiões.
• Entenda o crescimento do tráfego para previsão de capacidade.
• Use dados para remover regras de trânsito excessivamente restritivas.

Conformidade

• Use dados de fluxo para verificar o isolamento da rede e a conformidade com as regras de acesso corporativo.

Perícia forense de rede e análise de segurança

• Analise fluxos de rede a partir de IPs comprometidos e interfaces de rede.
• Exporte logs de fluxo para qualquer ferramenta SIEM ou IDS de sua escolha.

Comparação entre fluxos de rede virtual e fluxos de grupo de segurança de rede

Os logs de fluxo de rede virtual e os logs de fluxo do grupo de segurança de rede registram o tráfego IP, mas diferem em seus comportamentos e capacidades.

Os logs de fluxo de rede virtual simplificam o escopo do monitoramento de tráfego porque você pode habilitar o registro em redes virtuais. O tráfego através de todas as cargas de trabalho suportadas dentro de uma rede virtual é registrado.

Os logs de fluxo de rede virtual evitam também a necessidade de habilitar os logs de fluxo em vários níveis, como em logs de fluxo de grupo de segurança de rede. Nos registos de fluxo dos grupos de segurança de rede, estes grupos são configurados tanto na sub-rede como na interface de rede (NIC).

Além do suporte existente para identificar o tráfego que as regras do grupo de segurança de rede permitem ou negam, os logs de fluxo de rede virtual dão suporte à identificação do tráfego que as regras de administração de segurança do Gerenciador de Rede Virtual do Azure permitem ou negam. Os logs de fluxo de rede virtual também oferecem suporte à avaliação do status de criptografia do tráfego de rede em cenários em que você está usando a criptografia de rede virtual.

Importante

Recomendamos desativar os logs de fluxo do grupo de segurança de rede antes de habilitar os logs de fluxo de rede virtual nas mesmas cargas de trabalho subjacentes para evitar gravação de tráfego duplicado e custos adicionais.

Se habilitar os logs de fluxo do grupo de segurança de rede no grupo de segurança de rede de uma sub-rede, e então habilitar os logs de fluxo de rede virtual na mesma sub-rede ou na rede virtual pai, poderá obter logs duplicados ou apenas logs de fluxo de rede virtual.

Como funciona o registo de atividades

As principais propriedades dos logs de fluxo de rede virtual incluem:

• Os logs de fluxo operam na Camada 4 do modelo OSI (Open Systems Interconnection) e registram todos os fluxos IP que passam por uma rede virtual.
• Os logs são coletados em intervalos de um minuto por meio da plataforma Azure. Eles não afetam seus recursos do Azure ou tráfego de rede.
• Os logs são gravados no formato JSON (JavaScript Object Notation).
• Cada registro de log contém a interface de rede à qual o fluxo se aplica, informações de 5 tuplas, direção do tráfego, estado do fluxo, estado de criptografia e informações de taxa de transferência.
• Todos os fluxos de tráfego na sua rede são avaliados através das regras de grupo de segurança de rede aplicáveis ou das regras de administração de segurança do Azure Virtual Network Manager.

Formato de registo

Os logs de fluxo de rede virtual têm as seguintes propriedades:

• time: Hora em UTC em que o evento foi registado.
• flowLogVersion: Versão do log de fluxo.
• flowLogGUID: GUID do recurso FlowLog.
• macAddress: Endereço MAC da interface de rede onde o evento foi capturado.
• category: Categoria do evento. A categoria é sempre FlowLogFlowEvent.
• flowLogResourceID: ID do recurso FlowLog.
• targetResourceID: ID do recurso de destino associado ao FlowLog recurso.
• operationName: Sempre FlowLogFlowEvent.
• flowRecords: Recolha de registos de fluxo.
  • flows: Recolha de fluxos. Esta propriedade tem várias entradas para listas de controle de acesso (ACLs):
    • aclID: Identificador do recurso que está avaliando o tráfego, seja um grupo de segurança de rede ou o Virtual Network Manager. Para o tráfego negado devido à criptografia, esse valor é unspecified.
    • flowGroups: Coleta de registos de fluxo a um nível de regra:
      • rule: Nome da regra que permitiu ou negou o tráfego. Para o tráfego negado devido à criptografia, esse valor é unspecified.
      • flowTuples: Cadeia que contém várias propriedades para a tupla de fluxo num formato separado por vírgulas:
        • Time Stamp: Carimbo de data/hora de quando o fluxo ocorreu, em formato de época do UNIX.
        • Source IP: Endereço IP de origem.
        • Destination IP: Endereço IP de destino.
        • Source port: Porta de origem.
        • Destination port: Porto de destino.
        • Protocol: Protocolo de camada 4 do fluxo, expresso em valores atribuídos IANA.
        • Flow direction: Direção do fluxo de tráfego. Os valores válidos são I para entrada e O saída.
        • Flow state: Estado do fluxo. Os estados possíveis são:
          • B: Comece quando um fluxo é criado. Não são fornecidas estatísticas.
          • C: Continuar para um fluxo contínuo. As estatísticas são fornecidas em intervalos de cinco minutos.
          • E: Fim, quando um fluxo é encerrado. São fornecidas estatísticas.
          • D: Negar, quando um fluxo é recusado.
        • Flow encryption: Estado de criptografia do fluxo. A tabela após esta lista descreve os valores possíveis.
        • Packets sent: Número total de pacotes enviados da origem para o destino desde a última atualização.
        • Bytes sent: Número total de bytes de pacote enviados da origem para o destino desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.
        • Packets received: Número total de pacotes enviados do destino para a origem desde a última atualização.
        • Bytes received: Número total de bytes de pacote enviados do destino para a origem desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil.

Flow encryption tem os seguintes estados de encriptação possíveis:

Estado da encriptação	Descrição
X	A conexão é criptografada. A criptografia é configurada e a plataforma criptografa a conexão.
NX	A conexão não é criptografada. Esse evento é registrado em dois cenários: - Quando a encriptação não está configurada. - Quando uma máquina virtual criptografada se comunica com um ponto de extremidade que não possui criptografia (como um ponto de extremidade da Internet).
NX_HW_NOT_SUPPORTED	O hardware não é suportado. A criptografia está configurada, mas a máquina virtual está sendo executada em um host que não oferece suporte à criptografia. Esse problema geralmente acontece porque o FPGA (field-programmable gate array) não está conectado ao host ou está com defeito. Comunique este problema à Microsoft para investigação.
NX_SW_NOT_READY	O software não está pronto. A criptografia está configurada, mas o componente de software (GFT) na pilha de rede do host não está pronto para processar conexões criptografadas. Esse problema pode acontecer quando a máquina virtual está iniciando pela primeira vez, está reiniciando ou é reimplantada. Isso também pode acontecer quando há uma atualização para os componentes de rede no host onde a máquina virtual está sendo executada. Em todos esses cenários, o pacote é descartado. O problema deve ser temporário. A criptografia deve começar a funcionar depois que a máquina virtual estiver totalmente instalada e em execução ou a atualização de software no host estiver concluída. Se o problema tiver uma duração maior, reporte-o à Microsoft para investigação.
NX_NOT_ACCEPTED	Queda devido à falta de criptografia. A criptografia é configurada nos terminais de origem e de destino, com bloqueio das políticas não criptografadas. Se a criptografia de tráfego falhar, o pacote será descartado.
NX_NOT_SUPPORTED	Não há suporte para a descoberta. A criptografia está configurada, mas a sessão de criptografia não foi estabelecida porque a pilha de rede do host não oferece suporte à descoberta. Nesse caso, o pacote é descartado. Se encontrar este problema, informe-o à Microsoft para investigação.
NX_LOCAL_DST	O destino está no mesmo host. A criptografia está configurada, mas as máquinas virtuais de origem e destino estão sendo executadas no mesmo host do Azure. Nesse caso, a conexão não é criptografada por design.
NX_FALLBACK	Reverter para sem encriptação. A criptografia é configurada com a política Permitir comunicações não criptografadas para os pontos de extremidade de origem e destino. O sistema tentou encriptar, mas teve um problema. Nesse caso, a conexão é permitida, mas não é criptografada. Por exemplo, uma máquina virtual inicialmente aterrissou em um nó que suporta criptografia, mas esse suporte foi removido posteriormente.

O tráfego em suas redes virtuais não é criptografado (NX) por padrão. Para tráfego criptografado, consulte Criptografia de rede virtual.

Registro de log de exemplo

No exemplo a seguir de logs de fluxo de rede virtual, vários registros seguem a lista de propriedades descrita anteriormente.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Cálculo de tupla de log e largura de banda

Aqui está um exemplo de cálculo de largura de banda para tuplas de fluxo de uma comunicação TCP entre 203.0.113.105:35370 e 10.0.0.5:23.

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Nos estados de fluxo de continuação (C) e final (E), as contagens de bytes e pacotes são contagens agregadas a partir do momento do registo da tupla do fluxo anterior. Na conversa de exemplo, o número total de pacotes transferidos é 1.021 + 52 + 8.005 + 47 = 9.125. O número total de bytes transferidos é 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Considerações sobre logs de fluxo de rede virtual

Conta de armazenamento

• Local: A conta de armazenamento deve estar na mesma região da rede virtual.
• Assinatura: A conta de armazenamento deve estar na mesma assinatura da rede virtual ou numa assinatura associada ao mesmo tenant do Microsoft Entra da assinatura da rede virtual.
• Nível de desempenho: a conta de armazenamento deve ser padrão. As contas de armazenamento Premium não são suportadas
• Rotação de chaves autogerenciada: se você alterar ou girar as chaves de acesso à sua conta de armazenamento, os logs de fluxo de rede virtual param de funcionar. Para corrigir este problema, deve desativar e, em seguida, ativar novamente os logs de fluxo da rede virtual.

Tráfego de ponto final privado

O tráfego não pode ser registado diretamente no ponto de extremidade privado. Você pode capturar o tráfego para um ponto de extremidade privado na VM de origem. O tráfego é registrado com o endereço IP de origem da VM e o endereço IP de destino do ponto de extremidade privado. Você pode usar o campo PrivateEndpointResourceId para identificar o tráfego direcionado para um ponto de extremidade privado. Para obter mais informações, consulte Esquema de análise de tráfego.

Serviços incompatíveis

Atualmente, estes serviços do Azure não suportam logs de fluxo de rede virtual:

• Instâncias de contêiner do Azure
• Aplicativos de contêiner do Azure
• Aplicativos Lógicos do Azure
• Funções do Azure
• Resolvedor Privado de DNS do Azure
• Serviço de Aplicações
• Banco de Dados do Azure para MariaDB
• Base de Dados do Azure para MySQL
• Base de Dados do Azure para PostgreSQL
• Instância Gerenciada SQL do Azure
• Arquivos NetApp do Azure
• Plataforma de Energia da Microsoft

Nota

Os serviços de aplicativo implantados em um plano do Serviço de Aplicativo do Azure não oferecem suporte a logs de fluxo de rede virtual. Para saber mais, consulte Como funciona a integração de rede virtual.

Preços

• Os logs de fluxo de rede virtual são cobrados por gigabyte de logs de fluxo de rede recolhidos e vêm com um nível gratuito de 5 GB/mês por assinatura.

• Se a análise de tráfego estiver ativada com registos de fluxo de rede virtual, a tarifação da análise de tráfego será calculada com base na taxa de processamento por gigabyte. A análise de tráfego não é oferecida com um plano de preços gratuito. Para obter mais informações, consulte Preços do Monitor de Rede.

• O armazenamento de logs é cobrado separadamente. Para obter mais informações, consulte Preços do Armazenamento de Blob do Azure.

Cenários suportados

A tabela a seguir descreve o escopo de suporte dos logs de fluxo.

Âmbito de aplicação	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual
Bytes e pacotes em fluxos sem estado	Não suportado	Suportado
Identificação da encriptação de rede virtual	Não suportado	Suportado
Gestão de API do Azure	Não suportado	Suportado
Gateway de Aplicação do Azure	Não suportado	Suportado
Azure Virtual Network Manager	Não suportado	Suportado
Gateway de Rota Expressa	Não suportado	Suportado
Conjuntos de escala de máquinas virtuais	Suportado	Suportado
Gateway de VPN	Não suportado	Suportado

Disponibilidade

As tabelas a seguir listam as regiões suportadas onde você pode habilitar logs de fluxo de rede virtual.

América do Norte / América do Sul

Região	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Brasil Sul	✓	✓	✓	✓
Brasil Sudeste	✓	✓	✓	✓
Canadá Central	✓	✓	✓	✓
Leste do Canadá	✓	✓	✓	✓
Região Central dos EUA	✓	✓	✓	✓
Leste dos Estados Unidos	✓	✓	✓	✓
Região Leste dos EUA 2	✓	✓	✓	✓
México Central	✓	✓	✓
Centro-Norte dos EUA	✓	✓	✓	✓
E.U.A. Centro-Sul	✓	✓	✓	✓
Centro-Oeste dos EUA	✓	✓	✓	✓
Oeste dos EUA	✓	✓	✓	✓
E.U.A. Oeste 2	✓	✓	✓	✓
O Oeste dos EUA 3	✓	✓	✓	✓

Europa

Região	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
França Central	✓	✓	✓	✓
Sul de França	✓	✓
Alemanha Norte	✓	✓	✓	✓
Alemanha Centro-Oeste	✓	✓	✓	✓
Itália Norte	✓	✓	✓	✓
Norte da Europa	✓	✓	✓	✓
Leste da Noruega	✓	✓	✓	✓
Noruega Oeste	✓	✓		✓
Polónia Central	✓	✓	✓	✓
Espanha Central	✓	✓	✓
Suécia Central	✓	✓	✓	✓
Suíça Norte	✓	✓	✓	✓
Suíça Oeste	✓	✓	✓	✓
Sul do Reino Unido	✓	✓	✓	✓
Oeste do Reino Unido	✓	✓	✓	✓
Europa Ocidental	✓	✓	✓	✓

Austrália / Ásia / Pacífico

Região	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Austrália Central	✓	✓	✓	✓
Austrália Central 2	✓	✓		✓
Leste da Austrália	✓	✓	✓	✓
Austrália Sudeste	✓	✓	✓	✓
Índia Central	✓	✓	✓	✓
Norte da China	✓	✓
China Leste 2	✓	✓	✓	✓
China Leste 3	✓	✓	✓
China Norte	✓	✓	✓	✓
China Norte 2	✓	✓	✓	✓
China Norte 3	✓	✓	✓
Ásia Leste	✓	✓	✓	✓
Leste do Japão	✓	✓	✓	✓
Oeste do Japão	✓	✓	✓	✓
Jio Índia Central				✓
Jio Índia Oeste	✓	✓	✓	✓
Coreia Central	✓	✓	✓	✓
Coreia do Sul	✓	✓	✓	✓
Sul da Índia	✓	✓	✓	✓
Sudeste Asiático	✓	✓	✓	✓
Taiwan Norte	✓	✓	✓
Noroeste de Taiwan	✓	✓
Oeste da Índia	✓	✓

Médio Oriente / África

Região	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Israel Central	✓	✓	✓	✓
Catar Central	✓	✓	✓	✓
África do Sul (Norte)	✓	✓	✓	✓
África do Sul Ocidental	✓	✓		✓
Emirados Árabes Unidos Central	✓	✓	✓	✓
o Norte dos Emirados Árabes Unidos	✓	✓	✓	✓

Azure Government

Região	Logs de fluxo do grupo de segurança de rede	Registos de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Departamento de Defesa dos EUA - Central	✓	✓
Departamento de Defesa dos EUA - Leste	✓	✓
Governo dos EUA - Arizona	✓	✓	✓	✓
Governo dos EUA - Iowa	✓	✓
Governo dos EUA - Texas	✓	✓	✓	✓
Governo dos EUA - Virgínia	✓	✓	✓	✓
Leste Nacional dos EUA	✓	✓	✓	✓
EUA NatWest	✓	✓	✓	✓
Secção Leste dos EUA	✓	✓	✓	✓
US Sec - Oeste	✓	✓	✓	✓
US Sec - Centro-Oeste	✓	✓

Conteúdos relacionados

• Para saber como criar, alterar, habilitar, desabilitar ou excluir logs de fluxo de rede virtual, consulte Gerenciar logs de fluxo de rede virtual.
• Para saber como usar as políticas internas do Azure para auditar ou implantar logs de fluxo de rede virtual, consulte Gerenciar logs de fluxo de rede virtual usando a Política do Azure.
• Para saber mais sobre a análise de tráfego, consulte Visão geral da análise de tráfego e Agregação de esquema e dados na análise de tráfego do Azure Network Watcher.