Учебник. Регистрация потока входящего и исходящего сетевого трафика виртуальной машины с помощью портала Azure

Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журнала потоков группы безопасности сети см. в обзоре журналов потоков NSG.

В этом руководстве показано, как использовать журналы потоков NSG для регистрации сетевого трафика виртуальной машины, который проходит через группу безопасности сети, связанную с сетевым интерфейсом.

На схеме показаны ресурсы, созданные во время руководства.

В этом руководстве описано следующее:

  • Создание виртуальной сети
  • Создание виртуальной машины с группой безопасности сети, связанной с сетевым интерфейсом
  • Регистрация поставщика Microsoft.insights
  • Включение ведения журнала потоков для группы безопасности сети с помощью журналов потоков Наблюдатель за сетями
  • Скачивание зарегистрированных в журнале данных.
  • Просмотр зарегистрированных в журнале данных.

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть myVNet с одной подсетью для виртуальной машины.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

    Снимок экрана: поиск виртуальных сетей в портал Azure.

  3. Выберите + Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать.
    Введите myResourceGroup в поле Имя.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите myVNet.
    Область/регион Выберите регион (США) Восточная часть США.
  4. Выберите Review + create (Просмотреть и создать).

  5. Проверьте параметры, а затем нажмите кнопку Создать.

Создание виртуальной машины

В этом разделе описано, как создать виртуальную машину myVM .

  1. В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.

  2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

  3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Virtual machine name Введите myVM.
    Область/регион Выберите регион (США) Восточная часть США.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Изображения Выберите Windows Server 2022 Datacenter: Azure Edition — x64-го поколения 2-го поколения.
    Размер Выберите размер или оставьте параметр по умолчанию.
    Учетная запись администратора
    Username Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке "Сеть" выберите следующие значения:

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите mySubnet.
    Общедоступный IP-адрес Выберите (новое) myVM-ip.
    Группа безопасности сети сетевого адаптера Выберите Базовый. Этот параметр создает группу безопасности сети с именем myVM-nsg и связывает ее с сетевым интерфейсом виртуальной машины myVM .
    Общедоступные входящие порты Выберите Разрешить выбранные порты.
    Выбрать входящие порты Выберите RDP (3389).

    Внимание

    Выход из порта RDP в Интернет рекомендуется только для тестирования. Для рабочих сред рекомендуется ограничить доступ к порту RDP определенным IP-адресом или диапазоном IP-адресов. Вы также можете заблокировать доступ к интернету через порт RDP и использовать Бастион Azure для безопасного подключения к виртуальной машине из портал Azure.

  6. Выберите Review + create (Просмотреть и создать).

  7. Проверьте параметры, а затем нажмите кнопку Создать.

  8. После завершения развертывания выберите "Перейти к ресурсу", чтобы перейти на страницу обзора myVM.

  9. Выберите Подключение затем выберите RDP.

  10. Выберите "Скачать файл RDP " и откройте скачанный файл.

  11. Выберите Подключение, а затем введите имя пользователя и пароль, созданные на предыдущих шагах. Примите сертификат при появлении запроса.

Регистрация поставщика Microsoft Insights

Для регистрации потока NSG требуется поставщик Microsoft.Insights. Чтобы проверка его состояние, выполните следующие действия.

  1. В поле поиска в верхней части портала введите подписки. В результатах поиска выберите Подписки.

  2. Выберите подписку Azure, для которой нужно включить поставщика в подписках.

  3. Выберите поставщики ресурсов в Параметры подписки.

  4. Введите аналитические сведения в поле фильтра.

  5. Убедитесь, что состояние поставщика — Зарегистрировано. Если состояние не зарегистрировано, выберите поставщик Microsoft.Аналитика, а затем нажмите кнопку "Зарегистрировать".

    Снимок экрана: регистрация поставщика microsoft Аналитика в портал Azure.

Создание учетной записи хранилища

В этом разделе описано, как создать учетную запись хранения для хранения журналов потоков.

  1. В поле поиска в верхней части портала введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

  2. Выберите + Создать. В разделе "Создание учетной записи хранения" введите или выберите следующие значения на вкладке "Основные сведения".

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Storage account name Введите уникальное имя. В этом руководстве используется mynwstorageaccount.
    Область/регион Выберите регион (США) Восточная часть США. Учетная запись хранения должна находиться в том же регионе, что и виртуальная машина и ее группа безопасности сети.
    Производительность Выберите Стандартное. Журналы потоков NSG поддерживают только учетные записи хранения уровня "Стандартный".
    Избыточность Выберите локально избыточное хранилище (LRS) или другую стратегию реплика, которая соответствует вашим требованиям к устойчивости.
  3. Выберите вкладку "Рецензирование" или нажмите кнопку "Рецензирование" внизу.

  4. Проверьте параметры, а затем нажмите кнопку Создать.

Создание журнала потоков NSG

В этом разделе описано, как создать журнал потоков NSG, сохраненный в учетной записи хранения, созданной ранее в руководстве.

  1. В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.

  2. В разделе "Журналы" выберите журналы потоков.

  3. В Наблюдатель за сетями | Журналы потоков, нажмите кнопку "Создать или создать журнал потока" синим цветом.

    Снимок экрана: страница журналов потоков в портал Azure.

  4. Введите или выберите следующие значения в журнале потоков:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать.
    группу безопасности сети; Выберите и выберите ресурс.
    В группе безопасности сети выберите myVM-nsg. Затем нажмите кнопку "Подтвердить выбор".
    Имя журнала потоков Оставьте значение по умолчанию — myVM-nsg-myResourceGroup-flowlog.
    Сведения об экземпляре
    Отток подписок Выберите подписку Azure учетной записи хранения.
    Учетные записи хранения Выберите учетную запись хранения, созданную на предыдущих шагах. В этом руководстве используется mynwstorageaccount.
    Период удержания (в днях) Введите 0 , чтобы сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Чтобы применить политику хранения, введите время хранения в днях. Сведения о ценах на хранилище см. в служба хранилища Azure ценах.

    Снимок экрана: страница создания журнала потоков NSG в портал Azure.

    Примечание.

    Портал Azure создает журналы потоков NSG в группе ресурсов NetworkWatcherRG.

  5. Выберите Review + create (Просмотреть и создать).

  6. Проверьте параметры, а затем нажмите кнопку Создать.

  7. После завершения развертывания выберите "Перейти к ресурсу ", чтобы убедиться, что журнал потоков создан и указан на странице журналов потоков.

    Снимок экрана: страница журналов потоков в портал Azure, на которой показан только что созданный журнал потоков.

  8. Вернитесь к сеансу RDP с виртуальной машиной myVM .

  9. Откройте Microsoft Edge и перейдите к ней www.bing.com.

Скачивание журнала потоков

В этом разделе описано, как перейти к выбранной учетной записи хранения и скачать журнал потоков NSG, созданный в предыдущем разделе.

  1. В поле поиска в верхней части портала введите учетные записи хранения. Выбор Учетные записи хранения в результатах поиска.

  2. Выберите mynwstorageaccount или учетную запись хранения, созданную ранее и выбранную для хранения журналов.

  3. В разделе Хранилище данных выберите Контейнеры.

  4. Выберите контейнер insights-logs-networksecuritygroupflowevent.

  5. В контейнере перейдите к иерархии папок, пока не перейдете к файлу PT1H.json . Файлы журналов NSG записываются в иерархию папок, которая соответствует следующему соглашению об именовании:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
    
  6. Выберите многоточие ... справа от файла PT1H.json, а затем нажмите кнопку "Скачать".

    Снимок экрана: скачивание журнала потоков nsg из контейнера учетной записи хранения в портал Azure.

Примечание.

Вы можете использовать служба хранилища Azure Обозреватель для доступа к журналам потоков и скачивания из учетной записи хранения. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".

Просмотр журнала потока

Откройте скачанный PT1H.json файл с помощью текстового редактора. Следующий пример — это раздел, взятый из скачавшего PT1H.json файла, в котором показан поток, обработанный правилом DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/abcdef01-2345-6789-0abc-def012345678/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Сведения, разделенные запятыми для flowTuples , приведены следующим образом:

Демонстрационные данные Что представляют собой данные Описание
1677455097 Отметка времени Метка времени возникновения потока в формате UNIX EPOCH. В предыдущем примере дата преобразуется в 26 февраля 2023 г. 11:44:57 UTC/GMT.
10.0.0.4 Исходный IP-адрес Исходный IP-адрес, с которого поступил поток. 10.0.0.4 — это частный IP-адрес созданной ранее виртуальной машины.
13.107.21.200 IP-адрес назначения IP-адрес назначения, которому предназначен поток. 13.107.21.200 — ЭТО IP-адрес www.bing.com. Так как трафик предназначен за пределами Azure, правило безопасности DefaultRule_AllowInternetOutBound обработал поток.
49982 Исходный порт Исходный порт, с которого был отправлен поток.
443 Порт назначения Порт назначения, на который был отправлен поток.
T Протокол Протокол потока. T: TCP.
O Направление Направление потока. O: Исходящий трафик.
а Decision Решение, принятое правилом безопасности. Ответ. Разрешено.
О Только состояние потока версии 2 Состояние потока. C: продолжить для текущего потока.
7 Только пакеты, отправленные версией 2 Общее количество пакетов TCP, отправленных в место назначения с момента последнего обновления.
1158 Только отправленные байты версии 2 Общее количество байтов TCP-пакетов, отправляемых из источника в место назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.
12 Пакеты получили только версии 2 Общее количество пакетов TCP, полученных от назначения с момента последнего обновления.
8143 Байты получили только версию 2 Общее количество байтов TCP-пакетов, полученных от назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.

Очистка ресурсов

При отсутствии необходимости удалите группу ресурсов myResourceGroup и все содержащиеся в ней ресурсы:

  1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

  4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Примечание.

Журнал потока потока myVM-nsg-myResourceGroup-flowlog находится в группе ресурсов NetworkWatcherRG, но после удаления группы безопасности сети myVM-nsg (удалив группу ресурсов myResourceGroup).

  • Дополнительные сведения о журналах потоков NSG см. в разделе "Ведение журнала потоков" для групп безопасности сети.
  • Сведения о создании, изменении, включении, отключении или удалении журналов потоков NSG см. в статье "Управление журналами потоков NSG".
  • Дополнительные сведения об аналитике трафика см. в обзоре аналитики трафика.