Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Neste artigo, irá aprender sobre os registos de diagnóstico do Perímetro de Segurança de Rede e como habilitar o registo. Aprende sobre as categorias de logs de acesso utilizadas. Em seguida, descobres as opções para armazenar logs de diagnóstico e como ativar o registo através do portal do Azure.
Importante
O Perímetro de Segurança de Rede está em pré-visualização pública e disponível em todas as regiões de nuvem pública do Azure. Esta versão de pré-visualização está disponível sem um contrato de nível de serviço e não é recomendada para ambientes de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Categorias de registos de acesso
As categorias de logs de acesso para um perímetro de segurança de rede são baseadas nos resultados da avaliação das regras de acesso. As categorias de log escolhidas nas configurações de diagnóstico são enviadas para o local de armazenamento escolhido pelo cliente. A seguir estão as descrições para cada uma das categorias de log de acesso, incluindo os modos em que elas são aplicáveis:
| Categoria de log | Descrição | Aplicável aos modos |
|---|---|---|
| RegrasPermitidasDoPerímetroDeEntradaPúblicaNsp | O acesso de entrada é permitido com base nas regras de acesso ao perímetro de segurança da rede. | Transição/Imposição |
| NspPublicInboundPerimeterRulesDenied | Acesso externo público negado pelo perímetro de segurança da rede. | Aplicado |
| Regras Do Perímetro De Saída Pública Nsp Permitidas | O acesso de saída é permitido com base nas regras de acesso ao perímetro de segurança da rede. | Transição/Imposição |
| NspPublicOutboundPerimeterRulesDenied | Acesso público de saída bloqueado pelo perímetro de segurança da rede. | Aplicado |
| NspOutboundAttempt | Tentativa de saída para além do perímetro de segurança da rede. | Transição/Imposição |
| NspIntraPerímetroEntradaPermitida | O acesso interno dentro do perímetro é permitido. | Transição/Imposição |
| NspPublicInboundResourceRulesAllowed | Quando as regras de segurança perimétrica da rede negam acesso, o acesso de entrada é permitido com base nas regras dos recursos de PaaS. | Transição |
| NspPublicInboundResourceRulesDenied | Quando as regras de perímetro da segurança de rede negam acesso, o acesso de entrada é negado pelas regras dos recursos PaaS. | Transição |
| NspPublicOutboundResourceRulesAllowed | Quando as regras de perímetro de segurança de rede bloqueiam o acesso, o acesso de saída é permitido com base nas regras dos recursos PaaS. | Transição |
| NspPublicOutboundResourceRulesDenied | Quando as regras do perímetro de segurança de rede negam o acesso, o acesso de saída é também negado pelas regras dos recursos PaaS. | Transição |
| NspPrivateInboundAllowed | O tráfego de ponto final privado é permitido. | Transição/Imposição |
Nota
Os modos de acesso disponíveis para um perímetro de segurança de rede são Transição e Forçado. O modo de transição foi anteriormente chamado de modo de aprendizagem . Você pode continuar a ver referências ao modo de aprendizagem em alguns casos.
Esquema de log de acesso
Cada recurso PaaS associado ao perímetro de segurança de rede gera logs de acesso com esquema de log unificado quando habilitado.
Nota
Os registos de acesso ao perímetro de segurança da rede podem ter sido agregados. Se os campos 'count' e 'timeGeneratedEndTime' estiverem ausentes, considere a contagem de agregação como 1.
| Valor | Descrição |
|---|---|
| Tempo | O carimbo de data/hora (UTC) do primeiro evento na janela de agregação de registos. |
| timeGeneratedEndTime | O timestamp (UTC) do último evento na janela de agregação de log. |
| contagem | Número de registos agregados. |
| resourceId | O identificador de recurso do perímetro de segurança da rede. |
| Localização | A região do perímetro de segurança da rede. |
| operationName | O nome da operação de recurso PaaS representada por este evento. |
| operationVersion | A versão api associada à operação. |
| categoria | Categorias de log definidas para logs do Access. |
| propriedades | Propriedades estendidas específicas do perímetro de segurança de rede relacionadas a essa categoria de eventos. |
| descrição do resultado | A descrição de texto estático desta operação no recurso PaaS, por exemplo, "Obter arquivo de armazenamento". |
Propriedades específicas do perímetro de segurança de rede
Esta seção descreve as propriedades específicas do perímetro de segurança de rede no esquema de log.
Nota
A aplicação das propriedades está sujeita ao tipo de categoria log. Consulte os respetivos esquemas de categoria de log para aplicabilidade.
| Valor | Descrição |
|---|---|
| serviceResourceId | ID do recurso PaaS que emite logs de acesso do perímetro de segurança da rede. |
| serviceFqdn | Nome de domínio totalmente qualificado do recurso PaaS que emite logs de acesso ao perímetro de segurança da rede. |
| perfil | Nome do perfil de perímetro de segurança de rede associado ao recurso. |
| Parâmetros | Lista de propriedades de recurso PaaS opcionais no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | GUID exclusivo que representa a ID da aplicação do recurso no Azure Active Directory. |
| matchedRule | Pacote de propriedades JSON contendo o nome accessRule correspondente, {"accessRule" : "{ruleName}"}. Pode ser o nome da regra de acesso ao perímetro de segurança de rede ou o nome da regra de recurso (não o ArmId). |
| fonte | Conjunto de propriedades JSON descrevendo a origem da ligação de entrada. |
| destino | Saco de propriedades JSON descrevendo o destino da conexão de saída. |
| accessRulesVersion | Pacote de propriedades JSON contendo a versão da regra de acesso do recurso. |
Propriedades de origem
Propriedades que descrevem a origem da conexão de entrada.
| Valor | Descrição |
|---|---|
| resourceId | ID do recurso PaaS de origem para uma conexão de entrada. Existirá, se aplicável. |
| Endereço IP | Endereço IP da fonte que faz a conexão de entrada. Existirá, se aplicável. |
| porto | Número da porta da conexão de entrada. Pode não existir para todos os tipos de recursos. |
| protocolo | Protocolos de camada de aplicação e transporte para a conexão de entrada no formato {AppProtocol}:{TptProtocol}. Por exemplo, HTTPS:TCP. Pode não existir para todos os tipos de recursos. |
| perimeterGuids | Lista de GUIDs do perímetro do recurso de origem. Deve ser especificado apenas se permitido de acordo com o GUID do perímetro. |
| appId | GUID exclusivo que representa a ID do aplicativo de origem no Azure Ative Directory. |
| Parâmetros | Lista de propriedades de origem opcionais no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Propriedades de destino
Propriedades que descrevem o destino da conexão de saída.
| Valor | Descrição |
|---|---|
| resourceId | ID do recurso PaaS de destino para uma ligação de saída. Existirá, se aplicável. |
| nome de domínio totalmente qualificado | Nome de Domínio Totalmente Qualificado (FQDN) do destino. |
| Parâmetros | Lista de propriedades de destino opcionais no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| porto | Número da porta da conexão de saída. Pode não existir para todos os tipos de recursos. |
| protocolo | Aplicação e protocolos de camada de transporte para ligação de saída no formato {AppProtocol}:{TptProtocol}. Por exemplo, HTTPS:TCP. Pode não existir para todos os tipos de recursos. |
Exemplo de entrada de log para categorias de inbound
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Exemplo de entrada de log para categorias de saída
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Opções de destino de registo para logs de acesso
Os destinos para armazenar logs de diagnóstico para um perímetro de segurança de rede incluem serviços como o espaço de trabalho Log Analytic (Nome da tabela: NSPAccessLogs), a conta de Armazenamento do Azure e os Hubs de Eventos do Azure. Para obter a lista completa e os detalhes dos destinos suportados, consulte Destinos suportados para registos de diagnóstico.
Ativar o registo através do portal do Azure
Você pode habilitar o log de diagnóstico para um perímetro de segurança de rede usando o portal do Azure em Configurações de diagnóstico. Ao adicionar uma configuração de diagnóstico, você pode escolher as categorias de log que deseja coletar e o destino onde deseja entregar os logs.
Nota
Ao usar o Azure Monitor com um perímetro de segurança de rede, o espaço de trabalho do Log Analytics a ser associado ao perímetro de segurança de rede precisa estar localizado em uma das regiões com suporte do Azure Monitor.
Advertência
Os destinos de log devem estar dentro do mesmo perímetro de segurança de rede que o recurso PaaS para garantir o fluxo adequado de logs de recursos PaaS. A configuração/configurações de diagnóstico já configuradas para recursos não incluídos na lista de recursos de link privado integrados resultará na cessação do fluxo de log para esses recursos.