Управление журналами потоков NSG с помощью портал Azure
Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журнала потоков группы безопасности сети см. в обзоре журналов потоков NSG.
В этой статье вы узнаете, как создавать, изменять, отключать или удалять журнал потоков NSG с помощью портал Azure. Вы можете узнать, как управлять журналом потоков NSG с помощью PowerShell, Azure CLI, REST API или шаблона ARM.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
поставщик Аналитика. Дополнительные сведения см. в разделе "Регистрация поставщика Аналитика".
Группа безопасности сети. Если необходимо создать группу безопасности сети, см. статью "Создание, изменение" или удаление группы безопасности сети.
Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см. статью "Создание учетной записи хранения с помощью PowerShell".
Регистрация поставщика Microsoft Insights
Microsoft. Аналитика поставщик должен быть зарегистрирован для успешного прохождения трафика журнала через группу безопасности сети. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Аналитика, проверка его состояние:
В поле поиска в верхней части портала введите подписки. В результатах поиска выберите Подписки.
Выберите подписку Azure, для которой нужно включить поставщика в подписках.
В разделе Параметры выберите Поставщики ресурсов.
Введите аналитические сведения в поле фильтра.
Убедитесь, что состояние поставщика — Зарегистрировано. Если состояние не зарегистрировано, выберите поставщик Microsoft.Аналитика, а затем нажмите кнопку "Зарегистрировать".
Создание журнала потока
Создайте журнал потоков для группы безопасности сети. Этот журнал потоков NSG сохраняется в учетной записи хранения Azure.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков, нажмите кнопку "Создать или создать журнал потока" синим цветом.
Введите или выберите следующие значения в журнале потоков:
Параметр Значение Сведения о проекте Отток подписок Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать. группу безопасности сети; Выберите и выберите ресурс.
В группе безопасности сети выберите myNSG. Затем нажмите кнопку "Подтвердить выбор".Имя журнала потоков Введите имя журнала потоков или оставьте имя по умолчанию. myNSG-myResourceGroup-flowlog — это имя по умолчанию для этого примера. Сведения об экземпляре Отток подписок Выберите подписку Azure учетной записи хранения. Учетные записи хранения Выберите учетную запись хранения, в которую нужно сохранить журналы потоков. Если вы хотите создать новую учетную запись хранения, выберите "Создать новую учетную запись хранения". Период удержания (в днях) Укажите время хранения журналов. Введите 0 , если вы хотите сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Сведения о ценах см. в служба хранилища Azure ценах. 
Примечание.
Если учетная запись хранения находится в другой подписке, группа безопасности сети и учетная запись хранения должны быть связаны с тем же клиентом Azure Active Directory. Используемая учетная запись для каждой подписки должна иметь необходимые разрешения.
Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
Создание рабочей области журнала потоков и аналитики трафика
Создайте журнал потоков для группы безопасности сети и включите аналитику трафика. Журнал потоков NSG сохраняется в учетной записи хранения Azure.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков, нажмите кнопку "Создать или создать журнал потока" синим цветом.
Введите или выберите следующие значения в журнале потоков:
Параметр Значение Сведения о проекте Отток подписок Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать. группу безопасности сети; Выберите и выберите ресурс.
В группе безопасности сети выберите myNSG. Затем нажмите кнопку "Подтвердить выбор".Имя журнала потоков Введите имя журнала потоков или оставьте имя по умолчанию. По умолчанию портал Azure создает журнал потока потока ресурсов {network-security-group}-{resource-group}-flowlog в группе ресурсов NetworkWatcherRG. Сведения об экземпляре Отток подписок Выберите подписку Azure учетной записи хранения. Учетные записи хранения Выберите учетную запись хранения, в которую нужно сохранить журналы потоков. Если вы хотите создать новую учетную запись хранения, выберите "Создать новую учетную запись хранения". Период удержания (в днях) Укажите время хранения журналов. Введите 0 , если вы хотите сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Сведения о ценах см. в служба хранилища Azure ценах. 
Примечание.
Если учетная запись хранения находится в другой подписке, группа безопасности сети и учетная запись хранения должны быть связаны с тем же клиентом Azure Active Directory. Используемая учетная запись для каждой подписки должна иметь необходимые разрешения.
Нажмите кнопку " Далее": "Аналитика " или вкладку "Аналитика ". Затем введите или выберите следующие значения:
Параметр Значение Версия журналов потоков Выберите версию журнала потоков. Версия 2 выбрана по умолчанию при создании журнала потоков с помощью портал Azure. Дополнительные сведения о версиях журналов потоков см . в формате журналов потоков NSG. Анализ трафика. Включение Аналитики трафика Выберите проверка box, чтобы включить аналитику трафика для журнала потоков. Интервал обработки Аналитики трафика Выберите нужный интервал обработки: каждые 1 час и каждые 10 минут. Интервал обработки по умолчанию — каждые час. Дополнительные сведения см. в разделе "Аналитика трафика". Отток подписок Выберите подписку Azure рабочей области Log Analytics. Рабочая область Log Analytics Выберите рабочую область Log Analytics. По умолчанию портал Azure создает и выбирает область DefaultWorkspace-{subscription-id}-{region} Log Analytics в группе ресурсов defaultresourcegroup-{Region}. 
Выберите Review + create (Просмотреть и создать).
Проверьте параметры, а затем нажмите кнопку Создать.
Изменение журнала потока
Вы можете изменить свойства журнала потоков после его создания. Например, можно изменить версию журнала потоков или отключить аналитику трафика.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков выберите журнал потоков, который требуется изменить.
В параметрах журналов потоков можно изменить любой из следующих параметров:
- Версия журналов потоков: изменение версии журнала потока. Доступные версии: версия 1 и версия 2. Версия 2 выбрана по умолчанию при создании журнала потоков с помощью портал Azure. Дополнительные сведения о версиях журналов потоков см . в формате журналов потоков NSG.
- служба хранилища учетная запись. Измените учетную запись хранения, в которую вы хотите сохранить журналы потоков. Если вы хотите создать новую учетную запись хранения, выберите "Создать новую учетную запись хранения".
- Хранение (дни): изменение времени хранения в учетной записи хранения. Введите 0 , если вы хотите сохранить данные журналов потоков в учетной записи хранения навсегда (пока вы не удалите данные из учетной записи хранения вручную).
- Аналитика трафика: включение или отключение аналитики трафика для журнала потоков. Дополнительные сведения см. в разделе "Аналитика трафика".
- Интервал обработки аналитики трафика: изменение интервала обработки аналитики трафика (если включена аналитика трафика). Доступные варианты: один час и 10 минут. Интервал обработки по умолчанию — каждые час. Дополнительные сведения см. в разделе "Аналитика трафика".
- Рабочая область Log Analytics: измените рабочую область Log Analytics, в которую вы хотите сохранить журналы потоков (если аналитика трафика включена).
Вывод списка всех журналов потоков
Вы можете перечислить все журналы потоков в подписке или группе подписок. Вы также можете перечислить все журналы потоков в регионе.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
Выбор подписки равен фильтру, чтобы выбрать одну или несколько подписок. Другие фильтры, такие как Расположение, можно применить для перечисления всех журналов потоков в регионе.
Просмотр сведений о ресурсе журнала потоков
Вы можете просмотреть сведения о журнале потоков в подписке или группе подписок. Вы также можете перечислить все журналы потоков в регионе.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков выберите журнал потока, который вы хотите просмотреть.
В параметрах журналов потока можно просмотреть параметры ресурса журнала потоков.
Скачивание журнала потоков
Место хранения журнала потоков определяется при его создании. Чтобы получить доступ к журналам потоков и скачать их из учетной записи хранения, можно использовать служба хранилища Azure Обозреватель. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".
Файлы журнала потоков NSG, сохраненные в учетной записи хранения, соответствуют этому пути:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Сведения о структуре журнала потоков см . в формате журнала потоков NSG.
Отключение журнала потока
Вы можете временно отключить журнал потоков NSG, не удалив его. Отключение журнала потока останавливает ведение журнала потоков для связанной группы безопасности сети. Однако ресурс журнала потоков остается со всеми параметрами и связями. Вы можете повторно включить его в любое время, чтобы возобновить ведение журнала потоков для настроенной группы безопасности сети.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков выберите проверка box журнала потока, который требуется отключить.
Выберите Отключить.
Примечание.
Если аналитика трафика включена для журнала потоков, она должна быть отключена, прежде чем отключить журнал потоков. Сведения об отключении аналитики трафика см. в разделе "Изменение журнала потоков".
Удаление журнала потока
Вы можете окончательно удалить журнал потоков NSG. При удалении журнала потоков удаляются все его параметры и связи. Чтобы начать ведение журнала потоков для той же группы безопасности сети, необходимо создать для него новый журнал потоков.
В поле поиска в верхней части портала введите наблюдателя за сетями. В результатах поиска выберите Наблюдатель за сетями.
В разделе "Журналы" выберите журналы потоков.
В Наблюдатель за сетями | Журналы потоков выберите проверка box журнала потока, который требуется удалить.
Выберите команду Удалить.
Примечание.
Удаление журнала потока не удаляет данные журнала потоков из учетной записи хранения. Данные журналов потоков, хранящиеся в учетной записи хранения, соответствуют настроенной политике хранения или сохраняются в учетной записи хранения до тех пор, пока не будут удалены вручную (если политика хранения не настроена).
Следующие шаги
- Сведения об использовании встроенных политик Azure для аудита или развертывания журналов потоков NSG см. в статье "Управление журналами потоков NSG с помощью Политика Azure".
- Дополнительные сведения об аналитике трафика см. в статье "Аналитика трафика".