Общие сведения о ведении журнала потоков для групп безопасности сети
Ведение журнала потоков группы безопасности сети (NSG) — это функция Наблюдатель за сетями Azure, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Данные потока отправляются в служба хранилища Azure, откуда вы можете получить доступ к нему и экспортировать их в любое средство визуализации, решение для управления сведениями о безопасности и событиями (SIEM) или систему обнаружения вторжений (IDS) по вашему усмотрению.
Зачем использовать журналы потоков?
Важно отслеживать, управлять и знать собственную сеть, чтобы вы могли защитить и оптимизировать ее. Необходимо знать текущее состояние сети, кто подключается и откуда подключаются пользователи. Кроме того, необходимо знать, какие порты открыты в Интернете, какое поведение сети ожидается, что такое нерегулярное поведение сети, а также при внезапном росте трафика.
Журналы потоков — это источник достоверных сведений обо всей сетевой активности в вашей облачной среде. Независимо от того, находится ли вы в запуске, который пытается оптимизировать ресурсы или крупное предприятие, которое пытается обнаружить вторжение, журналы потоков могут помочь. Их можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого.
Распространенные варианты использования
Мониторинг сетей
- Определение неизвестного или нежелательного трафика.
- Мониторинг уровней трафика и потребления пропускной способности.
- Фильтрация журналов потоков по IP-адресу и порту для анализа поведения приложений.
- Экспорт журналов потоков в средства аналитики и визуализации для настройки панелей мониторинга.
Мониторинг использования и оптимизация
- Выделение машин, наиболее интенсивно использующих сеть.
- Соотнесение с данными о географическом расположении по IP-адресу для определения межрегионального трафика.
- Анализ роста трафика для прогнозирования потребности в мощностях.
- Используйте данные для удаления чрезмерно строгих правил трафика.
Соответствие нормативным требованиям
- Используйте потоковые данные для проверки изоляции сети и соответствия корпоративным правилам доступа.
Аналитика сети и анализ безопасности
- Анализируйте сетевые потоки от взломанных IP-адресов и сетевых интерфейсов.
- Экспорт журналов потоков в любую SIEM-систему или систему обнаружения вторжений.
Как работают журналы потоков NSG
К ключевым свойствам журналов потоков NSG относятся:
- Журналы потоков работают на уровне 4 модели взаимодействия с открытыми системами (OSI) и записывают все потоки IP-адресов, поступающие в группу безопасности сети и из нее.
- Журналы собираются через 1 минуту через платформу Azure. Они не влияют на ресурсы Azure или производительность сети каким-либо образом.
- Журналы записываются в формате JSON и отображают исходящие и входящие потоки для каждого правила группы безопасности сети.
- Каждая запись журнала содержит сетевой интерфейс (сетевой адаптер), к которому применяется поток, к 5 кортежам, решению трафика и (только для версии 2).
- Журналы потоков NSG имеют функцию хранения, которая позволяет автоматически удалять журналы до года после их создания.
Примечание.
Хранение доступно только в том случае, если вы используете учетные записи хранения общего назначения версии 2.
Основные понятия для журналов потоков включают:
- Программные сети организованы вокруг виртуальных сетей и подсетей. Вы можете управлять безопасностью этих виртуальных сетей и подсетей с помощью групп безопасности сети.
- Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают сетевой трафик к ресурсам Azure, к которым подключена группа безопасности сети. Группу безопасности сети можно связать с подсетью или сетевым интерфейсом виртуальной машины. Дополнительные сведения см. в статье Безопасность сети.
- Все потоки трафика в сети оцениваются с помощью правил в соответствующей группе безопасности сети. Результатом этих вычислений является журналы потоков NSG.
- Журналы потоков NSG собираются с помощью платформы Azure и не требуют каких-либо изменений в ресурсах Azure.
- Существует два типа правил группы безопасности сети: завершение и прекращение. В каждом из них есть различные ведения журнала:
- Правила запрета завершаются. Группа безопасности сети, которая запрещает журналы трафика в журналах потоков. Обработка в этом случае останавливается после того, как любой NSG запрещает трафик.
- Разрешенные правила не завершаются. Если группа безопасности сети разрешает трафик, обработка продолжается в следующей группе безопасности сети. Последняя группа безопасности сети, которая позволяет записывать трафик в журналы потоков.
- Журналы потоков NSG записываются в учетные записи хранения. Вы можете экспортировать, обрабатывать, анализировать и визуализировать журналы потоков NSG с помощью таких средств, как аналитика трафика Наблюдатель за сетями, Splunk, Grafana и Stealthwatch.
Формат журнала
Журналы потоков NSG включают следующие свойства:
time: время в формате UTC при регистрации события.systemId: системный идентификатор группы безопасности сети.category: категория события. Категория всегдаNetworkSecurityGroupFlowEvent.resourceid: идентификатор ресурса группы безопасности сети.operationName: ВсегдаNetworkSecurityGroupFlowEvents.properties: коллекция свойств потока:Version: номер версии схемы событий журнала потоков.flows: коллекция потоков. Это свойство содержит несколько записей для разных правил.rule: правило, для которого перечислены потоки.flows: коллекция потоков.mac: MAC-адрес сетевой карты для виртуальной машины, в которой был собран поток.flowTuples: строка, содержащая несколько свойств кортежа потока в формате, разделенном запятыми:Time stamp: метка времени возникновения потока в формате эпохи UNIX.Source IP: исходный IP-адрес.Destination IP: конечный IP-адрес.Source port: исходный порт.Destination port: порт назначения.Protocol: протокол потока. Допустимые значения предназначеныTдля TCP иUдля UDP.Traffic flow: направление потока трафика. Допустимые значения предназначеныIдля входящих иOисходящих подключений.Traffic decision: разрешен или запрещен трафик. Допустимые значения допустимыAиDзапрещены.Flow State - Version 2 Only: состояние потока. Возможные состояния:B: начинается при создании потока. Статистика не предоставляется.C: продолжение текущего потока. Статистика предоставляется с интервалом в 5 минут.E: заканчивается, когда поток завершается. Статистика предоставляется.
Packets sent - Version 2 Only: общее количество пакетов TCP, отправляемых из источника в место назначения с момента последнего обновления.Bytes sent - Version 2 Only: общее количество байтов TCP-пакетов, отправленных из источника в место назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.Packets received - Version 2 Only: общее количество tcp-пакетов, отправленных из назначения в источник с момента последнего обновления.Bytes received - Version 2 Only: общее количество байтов TCP-пакетов, отправленных из назначения в источник с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.
Версия 2 журналов потоков NSG представляет концепцию состояния потока. Вы можете указать, какая версия журналов потоков будет сохраняться.
Состояние B потока записывается при инициировании потока. Состояние C потока и состояние E потока — это состояния, которые помечают продолжение потока и завершения потока соответственно. Оба C состояния E содержат сведения о пропускной способности трафика.
Примеры записей журнала
В следующих примерах журнала потоков NSG несколько записей следуют описанному ранее списку свойств.
Примечание.
Значения в свойстве flowTuples — это разделенный запятыми список.
версия 1
Ниже приведен пример формата журнала потоков NSG версии 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
версия 2
Ниже приведен пример формата журнала потоков NSG версии 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Вычисление кортежей журналов и пропускной способности
Ниже приведен пример вычисления пропускной способности кортежей потоков из беседы TCP между 185.170.185.105:35370 и 10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
Для состояний потока продолжения (C) и конечных (E) число байтов и пакетов являются статистическими подсчетами с момента записи кортежа предыдущего потока. В примере беседы общее количество передаваемых пакетов — 1021+52+8005+47 = 9125. Общее число переданных байтов: 588096+29952+4610880+27072 = 5256000.
Управление журналами потоков NSG
Сведения о создании, изменении, отключении или удалении журналов потоков NSG см. в одном из следующих руководств:
Работа с журналами потоков
Чтение и экспорт журналов потоков
Сведения о чтении и экспорте журналов потоков NSG см. в одном из следующих руководств:
- Скачивание и просмотр журналов потоков на портале
- Чтение журналов потоков с помощью функций PowerShell
- Экспорт журналов потоков NSG в Splunk
Файлы журнала потоков NSG хранятся в учетной записи хранения по следующему пути:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Визуализация журналов потоков
Чтобы узнать, как визуализировать журналы потоков NSG, см. одно из следующих руководств:
- Визуализация журналов потоков NSG с помощью аналитики трафика Наблюдатель за сетями
- Визуализация журналов потоков NSG с помощью Power BI
- Визуализация журналов потоков NSG с помощью эластичного стека
- Управление и анализ журналов потоков NSG с помощью Grafana
- Управление и анализ журналов потоков NSG с помощью Graylog
Рекомендации по журналам потоков NSG
Storage account
- Расположение. Учетная запись хранения должна находиться в том же регионе, что и группа безопасности сети.
- Подписка. Учетная запись хранения должна находиться в той же подписке группы безопасности сети или в подписке, связанной с тем же клиентом Microsoft Entra подписки группы безопасности сети.
- Уровень производительности. Учетная запись хранения должна быть стандартной. Учетные записи хранения класса Premium не поддерживаются.
- Самостоятельная смена ключей: если изменить или повернуть ключи доступа к учетной записи хранения, журналы потоков NSG перестают работать. Чтобы устранить эту проблему, необходимо отключить и повторно включить журналы потоков NSG.
Себестоимость
Плата за ведение журнала потоков NSG взимается по объему созданных журналов. Большой объем трафика может привести к большому объему журнала потоков, что увеличивает связанные затраты.
Цены на журнал потоков NSG не включают базовые затраты на хранение. Сохранение данных журналов потоков NSG навсегда или использование функции политики хранения означает, что затраты на хранение в течение длительного периода времени влечет за собой затраты на хранение.
Правила TCP, отличные от входящего трафика по умолчанию
Группы безопасности сети реализуются как брандмауэр с отслеживанием состояния. Но из-за текущих ограничений платформы правила безопасности группы безопасности сети, не влияющие на входящие потоки TCP, реализуются без отслеживания состояния.
Потоки, затронутые правилами входящего трафика, не используемыми по умолчанию, становятся неисключаемыми. Кроме того, счетчики байтов и пакетов не записываются для этих потоков. Из-за этих факторов количество байтов и пакетов, сообщаемых в журналах потоков NSG (и Наблюдатель за сетями аналитике трафика), может отличаться от фактических чисел.
Это различие можно устранить, задав свойству FlowTimeoutInMinutes связанные виртуальные сети значение, отличное от NULL. Поведение с отслеживанием состояния по умолчанию можно достичь, установив FlowTimeoutInMinutes значение 4 минуты. Для длительных подключений, в которых не требуется отключать потоки от службы или назначения, можно задать FlowTimeoutInMinutes значение до 30 минут. Используйте Set-AzVirtualNetwork для задания FlowTimeoutInMinutes свойства:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Входящие потоки, зарегистрированные из IP-адресов Интернета в виртуальные машины без общедоступных IP-адресов
Виртуальные машины, у которых нет общедоступного IP-адреса, связанного с сетевым адаптером в качестве общедоступного IP-адреса уровня экземпляра или которые являются частью базового серверного пула подсистемы балансировки нагрузки, используйте SNAT по умолчанию. Azure назначает IP-адрес этим виртуальным машинам для упрощения исходящего подключения. В результате вы можете увидеть записи журнала потоков для потоков из IP-адресов Интернета, если поток предназначен для порта в диапазоне портов, назначенных для SNAT.
Хотя Azure не разрешает эти потоки виртуальной машине, попытка регистрируется и отображается в журнале потоков NSG Наблюдатель за сетями по проектированию. Рекомендуется явно блокировать нежелательный входящий интернет-трафик с помощью группы безопасности сети.
Группа безопасности сети в подсети шлюза ExpressRoute
Не рекомендуется записывать потоки в подсети шлюза Azure ExpressRoute, так как трафик может обходить этот тип шлюза (например, FastPath). Если группа безопасности сети связана с подсетью шлюза ExpressRoute и журналами потоков NSG включена, то исходящие потоки к виртуальным машинам могут не записываться. Такие потоки нужно сканировать в подсети или сетевом адаптере виртуальной машины.
Трафик к частной конечной точке
Трафик к частным конечным точкам можно записать только на исходной виртуальной машине. Трафик записывается с исходным IP-адресом виртуальной машины и IP-адресом назначения частной конечной точки. Трафик не может быть записан в частной конечной точке из-за ограничений платформы.
Поддержка групп безопасности сети, связанных с подсетью Шлюз приложений версии 2
Журналы потоков NSG для групп безопасности сети, связанных с подсетью Шлюз приложений Azure версии 2, в настоящее время не поддерживаются. Поддерживаются журналы потоков NSG для групп безопасности сети, связанных с Шлюз приложений подсети версии 1.
Несовместимые службы
В настоящее время эти службы Azure не поддерживают журналы потоков NSG:
- Экземпляры контейнеров Azure
- Приложения логики Azure
- Функции Azure
- Частный сопоставитель DNS Azure
- Служба приложений
- База данных Azure для MariaDB
- База данных Azure для MySQL
- База данных Azure для PostgreSQL
Примечание.
Службы приложений, развернутые в рамках плана службы приложение Azure, не поддерживают журналы потоков NSG. Дополнительные сведения см. в статье о том, как работает интеграция виртуальной сети.
Рекомендации
Включите журналы потоков NSG в критически важных подсетях: журналы потоков должны быть включены во всех критически важных подсетях в подписке в качестве рекомендации по аудиту и безопасности.
Включите журналы потоков NSG во всех группах безопасности сети, подключенных к ресурсу: журналы потоков NSG настраиваются в группах безопасности сети. Поток связан только с одним правилом группы безопасности сети. В сценариях, где используется несколько групп безопасности сети, рекомендуется включить журналы потоков NSG во всех группах безопасности сети, применяемых в подсети ресурса и сетевом интерфейсе , чтобы обеспечить запись всего трафика. Дополнительные сведения см. в статье "Фильтрация сетевого трафика групп безопасности сети".
Ниже приведено несколько распространенных сценариев.
- Несколько сетевых адаптеров на виртуальной машине: если несколько сетевых адаптеров подключены к виртуальной машине, необходимо включить журналы потоков на всех из них.
- Группа безопасности сети на уровнях сетевого адаптера и подсети: если группа безопасности сети настроена на уровне сетевого адаптера и подсети, необходимо включить журналы потоков в обеих группах безопасности сети. Точную последовательность обработки правил группами безопасности сети на уровнях сетевого адаптера и подсети зависит от платформы и зависит от регистра. Потоки трафика регистрируются в группе безопасности сети, которая обрабатывается последней. Состояние платформы изменяет порядок обработки. Необходимо проверка обоих журналов потоков.
- подсеть кластера Служба Azure Kubernetes (AKS): AKS добавляет группу безопасности сети по умолчанию в подсети кластера. В этой группе безопасности сети необходимо включить журналы потоков NSG.
служба хранилища подготовке. Подготовка хранилища настроена с ожидаемым объемом журналов потоков.
Именование: имя группы безопасности сети должно быть не более 80 символов, а имя правила группы безопасности сети должно составлять до 65 символов. Если имена превышают их ограничения символов, они могут быть усечены во время ведения журнала.
Устранение распространенных проблем
Не удается включить журналы потоков NSG
Вы можете получить ошибку AuthorizationFailed или GatewayAuthenticationFailed, если вы не включите поставщик ресурсов Microsoft.Аналитика в подписке, прежде чем пытаться включить журналы потоков NSG. Дополнительные сведения см. в разделе "Регистрация поставщика Аналитика".
Я включил журналы потоков NSG, но не отображают данные в моей учетной записи хранения
Эта проблема может быть связана с:
Время установки: журналы потоков NSG могут занять до 5 минут, чтобы отображаться в учетной записи хранения (если они настроены правильно). Появится файл PT1H.json. Дополнительные сведения см. в разделе "Журнал потоков загрузки".
Отсутствие трафика в группах безопасности сети. Иногда журналы не отображаются, так как виртуальные машины не активны или так как фильтры вышестоящий на Шлюз приложений или других устройствах блокируют трафик к группам безопасности сети.
Цены
Журналы потоков NSG взимается за гигабайты собранных журналов потоков сети и предоставляются бесплатный уровень 5 ГБ в месяц для каждой подписки.
Если аналитика трафика включена с журналами потоков NSG, цены на аналитику трафика применяются по тарифам обработки гигабайтов. Аналитика трафика не предлагается с бесплатной ценовой категорией. Дополнительные сведения см. в Наблюдатель за сетями ценах.
плата за служба хранилища журналов взимается отдельно. Дополнительные сведения см. в Хранилище BLOB-объектов Azure ценах.
Связанный контент
- Сведения об управлении журналами потоков NSG см. в статье "Создание, изменение, отключение или удаление журналов потоков NSG с помощью портал Azure".
- Чтобы найти ответы на некоторые из наиболее часто задаваемых вопросов о журналах потоков NSG, ознакомьтесь с часто задаваемыми вопросами о журналах потоков.
- Дополнительные сведения об аналитике трафика см. в обзоре аналитики трафика.