Учебник. Регистрация потока входящего и исходящего сетевого трафика виртуальной машины с помощью портала Azure
Внимание
30 сентября 2027 г. журналы потоков безопасности сети (NSG) будут прекращены. В рамках этого выхода на пенсию вы больше не сможете создавать новые журналы потоков NSG с 30 июня 2025 года. Мы рекомендуем перенести журналы потоков виртуальной сети, которые преодолевают ограничения журналов потоков NSG. После выхода на пенсию аналитика трафика, включенная с помощью журналов потоков NSG, больше не будет поддерживаться, а существующие ресурсы журналов потоков NSG в подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.
Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журнала потоков группы безопасности сети см. в обзоре журналов потоков NSG.
В этом руководстве показано, как использовать журналы потоков NSG для регистрации сетевого трафика виртуальной машины, который проходит через группу безопасности сети, связанную с сетевым интерфейсом.
В этом руководстве описано следующее:
- Создание виртуальной сети
- Создание виртуальной машины с группой безопасности сети, связанной с сетевым интерфейсом
- Регистрация поставщика Microsoft.insights
- Включение ведения журнала потоков для группы безопасности сети с помощью журналов потоков Наблюдатель за сетями
- Скачивание зарегистрированных в журнале данных.
- Просмотр зарегистрированных в журнале данных.
Необходимые компоненты
- Учетная запись Azure с активной подпиской. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начать работу.
Создание виртуальной сети
В этом разделе описано, как создать виртуальную сеть myVNet с одной подсетью для виртуальной машины.
Войдите на портал Azure.
В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.
Выберите + Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите Создать.
Введите myResourceGroup в поле Имя.
Нажмите кнопку ОК.Сведения об экземпляре Имя. Введите myVNet. Область/регион Выберите регион (США) Восточная часть США. Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
Создание виртуальной машины
В этом разделе описано, как создать виртуальную машину myVM .
В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.
Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.
В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите myResourceGroup. Сведения об экземпляре Virtual machine name Введите myVM. Область/регион Выберите регион (США) Восточная часть США. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Выберите Стандартное. Изображения Выберите Windows Server 2022 Datacenter: Azure Edition — x64-го поколения 2-го поколения. Размер Выберите размер или оставьте параметр по умолчанию. Учетная запись администратора Username Введите имя пользователя. Пароль Введите пароль. Подтверждение пароля Введите пароль еще раз. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).
На вкладке "Сеть" выберите следующие значения:
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите myVNet. Подсеть Выберите mySubnet. Общедоступный IP-адрес Выберите (новое) myVM-ip. Группа безопасности сети сетевого адаптера Выберите Базовый. Этот параметр создает группу безопасности сети с именем myVM-nsg и связывает ее с сетевым интерфейсом виртуальной машины myVM . Общедоступные входящие порты Выберите Разрешить выбранные порты. Выбрать входящие порты Выберите RDP (3389). Внимание
Выход из порта RDP в Интернет рекомендуется только для тестирования. Для рабочих сред рекомендуется ограничить доступ к порту RDP определенным IP-адресом или диапазоном IP-адресов. Вы также можете заблокировать доступ к интернету через порт RDP и использовать Бастион Azure для безопасного подключения к виртуальной машине из портал Azure.
Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
После завершения развертывания выберите "Перейти к ресурсу", чтобы перейти на страницу обзора myVM.
Выберите "Подключиться", а затем выберите RDP.
Выберите "Скачать файл RDP " и откройте скачанный файл.
Выберите "Подключиться ", а затем введите имя пользователя и пароль, созданные на предыдущих шагах. Примите сертификат при появлении запроса.
Регистрация поставщика Microsoft Insights
Для регистрации потока NSG требуется поставщик Microsoft.Insights. Чтобы проверить его состояние, выполните следующие действия.
В поле поиска в верхней части портала введите подписки. Выберите подписки из результатов поиска.
Выберите подписку Azure, для которой нужно включить поставщика в подписках.
Выберите поставщики ресурсов в разделе "Параметры" подписки.
Введите аналитические сведения в поле фильтра.
Убедитесь, что состояние поставщика — Зарегистрировано. Если состояние не зарегистрировано, выберите поставщик Microsoft.Insights и нажмите кнопку Register(Регистрация).
Создание учетной записи хранилища
В этом разделе описано, как создать учетную запись хранения для хранения журналов потоков.
В поле поиска в верхней части портала введите учетные записи хранения. Выберите учетные записи хранения из результатов поиска.
Выберите + Создать. В разделе "Создание учетной записи хранения" введите или выберите следующие значения на вкладке "Основные сведения".
Параметр Значение Сведения о проекте Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите myResourceGroup. Сведения об экземпляре Storage account name Введите уникальное имя. В этом руководстве используется mynwstorageaccount. Область/регион Выберите регион (США) Восточная часть США. Учетная запись хранения должна находиться в том же регионе, что и виртуальная машина и ее группа безопасности сети. Производительность Выберите Стандартное. Журналы потоков NSG поддерживают только учетные записи хранения уровня "Стандартный". Избыточность Выберите локально избыточное хранилище (LRS) или другую стратегию репликации, соответствующую вашим требованиям к устойчивости. Выберите вкладку "Рецензирование" или нажмите кнопку "Рецензирование" внизу.
Проверьте параметры, а затем нажмите кнопку Создать.
Создание журнала потоков NSG
В этом разделе описано, как создать журнал потоков NSG, сохраненный в учетной записи хранения, созданной ранее в руководстве.
В поле поиска в верхней части портала введите наблюдателя за сетями. Выберите Наблюдатель за сетями из результатов поиска.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков, нажмите кнопку "Создать или создать журнал потока" синим цветом.
Введите или выберите следующие значения в журнале потоков:
Параметр Значение Сведения о проекте Отток подписок Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать. группу безопасности сети; Выберите и выберите ресурс.
В группе безопасности сети выберите myVM-nsg. Затем нажмите кнопку "Подтвердить выбор".Имя журнала потоков Оставьте значение по умолчанию — myVM-nsg-myResourceGroup-flowlog. Сведения об экземпляре Отток подписок Выберите подписку Azure учетной записи хранения. Учетные записи хранения Выберите учетную запись хранения, созданную на предыдущих шагах. В этом руководстве используется mynwstorageaccount. Период удержания (в днях) Введите 0 , чтобы сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Чтобы применить политику хранения, введите время хранения в днях. Сведения о ценах на хранилище см. в служба хранилища Azure ценах. Примечание.
Портал Azure создает журналы потоков NSG в группе ресурсов NetworkWatcherRG.
Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
После завершения развертывания выберите "Перейти к ресурсу ", чтобы убедиться, что журнал потоков создан и указан на странице журналов потоков.
Вернитесь к сеансу RDP с виртуальной машиной myVM .
Откройте Microsoft Edge и перейдите к ней
www.bing.com
.
Скачивание журнала потоков
В этом разделе описано, как перейти к выбранной учетной записи хранения и скачать журнал потоков NSG, созданный в предыдущем разделе.
В поле поиска в верхней части портала введите учетные записи хранения. Выберите учетные записи хранения из результатов поиска.
Выберите mynwstorageaccount или учетную запись хранения, созданную ранее и выбранную для хранения журналов.
В разделе Хранилище данных выберите Контейнеры.
Выберите контейнер insights-logs-networksecuritygroupflowevent.
В контейнере перейдите к иерархии папок, пока не перейдете к файлу
PT1H.json
. Файлы журналов NSG записываются в иерархию папок, которая соответствует следующему соглашению об именовании:https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
Выберите многоточие ... справа от файла PT1H.json, а затем нажмите кнопку "Скачать".
Примечание.
С помощью обозревателя служба хранилища Azure можно получить доступ к журналам потоков и скачать их из учетной записи хранения. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
Просмотр журнала потока
Откройте скачанный PT1H.json
файл с помощью текстового редактора. Следующий пример — это раздел, взятый из скачавшего PT1H.json
файла, в котором показан поток, обработанный правилом DefaultRule_AllowInternetOutBound.
{
"time": "2023-02-26T23:45:44.1503927Z",
"systemId": "00000000-0000-0000-0000-000000000000",
"macAddress": "112233445566",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "112233445566",
"flowTuples": [
"1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"
]
}
]
}
]
}
}
Сведения, разделенные запятыми для flowTuples , приведены следующим образом:
Демонстрационные данные | Что представляют собой данные | Описание |
---|---|---|
1677455097 | Отметка времени | Метка времени возникновения потока в формате UNIX EPOCH. В предыдущем примере дата преобразуется в 26 февраля 2023 г. 11:44:57 UTC/GMT. |
10.0.0.4 | Исходный IP-адрес | Исходный IP-адрес, с которого поступил поток. 10.0.0.4 — это частный IP-адрес созданной ранее виртуальной машины. |
13.107.21.200 | IP-адрес назначения | IP-адрес назначения, которому предназначен поток. 13.107.21.200 — ЭТО IP-адрес www.bing.com . Так как трафик предназначен за пределами Azure, правило безопасности DefaultRule_AllowInternetOutBound обработал поток. |
49982 | Исходный порт | Исходный порт, с которого был отправлен поток. |
443 | Порт назначения | Порт назначения, на который был отправлен поток. |
T | Протокол | Протокол потока. T: TCP. |
O | Направление | Направление потока. O: Исходящий трафик. |
а | Decision | Решение, принятое правилом безопасности. Ответ. Разрешено. |
C | Только состояние потока версии 2 | Состояние потока. C: продолжить для текущего потока. |
7 | Только пакеты, отправленные версией 2 | Общее количество пакетов TCP, отправленных в место назначения с момента последнего обновления. |
1158 | Только отправленные байты версии 2 | Общее количество байтов TCP-пакетов, отправляемых из источника в место назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные. |
12 | Пакеты получили только версии 2 | Общее количество пакетов TCP, полученных от назначения с момента последнего обновления. |
8143 | Байты получили только версию 2 | Общее количество байтов TCP-пакетов, полученных от назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные. |
Очистка ресурсов
При отсутствии необходимости удалите группу ресурсов myResourceGroup и все содержащиеся в ней ресурсы:
В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.
Выберите команду Удалить группу ресурсов.
В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".
Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.
Примечание.
Журнал потока потока myVM-nsg-myResourceGroup-flowlog находится в группе ресурсов NetworkWatcherRG, но после удаления группы безопасности сети myVM-nsg (удалив группу ресурсов myResourceGroup).
Связанный контент
- Дополнительные сведения о журналах потоков NSG см. в разделе "Ведение журнала потоков" для групп безопасности сети.
- Сведения о создании, изменении, включении, отключении или удалении журналов потоков NSG см. в статье "Управление журналами потоков NSG".
- Дополнительные сведения об аналитике трафика см. в обзоре аналитики трафика.