Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье вы узнаете о журналах диагностики для периметра безопасности сети и о том, как включить ведение журнала. Вы узнаете о категориях журналов доступа, которые используются. Затем вы узнаете, как хранить журналы диагностики и как включить ведение журнала через портал Azure.
Внимание
Периметр безопасности сети теперь общедоступен во всех общедоступных облачных регионах Azure. Сведения о поддерживаемых службах см. в разделе "Подключение ресурсов приватного канала " для поддерживаемых служб PaaS".
Категории журналов доступа
Категории журналов доступа для периметра безопасности сети основаны на результатах оценки правил доступа. Категории журналов, выбранные в параметрах диагностики, отправляются в выбранное клиентом расположение хранилища. Ниже приведены описания для каждой категории журнала доступа, включая режимы, в которых они применимы:
| Категория лога | Описание | Применимо к режимам |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | Входящий доступ разрешен на основе правил доступа к периметру безопасности сети. | Переход/Принудительное |
| NspPublicInboundPerimeterRulesDenied | Входящий общедоступный доступ блокирован в периметре сетевой безопасности. | Принудительный |
| NspПубличныеВнешниеПериметровыеПравилаРазрешены | Исходящий доступ разрешен в соответствии с правилами доступа к периметру безопасности сети. | Переход/Принудительное |
| NspPublicOutboundPerimeterRulesDenied | Публичный исходящий доступ заблокирован периметром безопасности сети. | Принудительный |
| NspOutboundAttempt | Попытка исходящего подключения в пределах периметра сетевой безопасности. | Переход/Принудительное |
| NspIntraPerimeterInboundAllowed | Входящий доступ в пределах периметра разрешен. | Переход/Принудительное |
| NspPublicInboundResourceRulesAllowed | Если правила периметра безопасности сети запрещают, входящий доступ разрешен на основе правил ресурсов PaaS. | Переход |
| NspPublicInboundResourceRulesDenied | Если правила периметра безопасности сети запрещают доступ, входящий доступ также блокируется правилами ресурсов PaaS. | Переход |
| NspPublicOutboundResourceRulesAllowed | Если правила периметра безопасности сети запрещают, исходящий доступ разрешен на основе правил ресурсов PaaS. | Переход |
| NspPublicOutboundResourceRulesDenied | Когда правила периметра безопасности сети отказывают в доступе, доступ исходящий также блокируется правилами ресурсов PaaS. | Переход |
| NspPrivateInboundAllowed | Разрешен трафик частной конечной точки. | Переход/Принудительное |
Примечание.
Доступные режимы доступа для периметра безопасности сети: переходный и принудительный. Режим перехода ранее был назван режимом обучения . В некоторых случаях могут по-прежнему отображаться ссылки на режим обучения.
Схема журнала доступа
Каждый ресурс PaaS, связанный с периметром безопасности сети, создает журналы доступа с унифицированной схемой журнала при включении.
Примечание.
Возможно, журналы доступа к периметру сети были агрегированы. Если отсутствуют поля count и timeGeneratedEndTime, рассмотрите число агрегатов как 1.
| Ценность | Описание |
|---|---|
| Время | Метка времени (UTC) первого события в окне агрегации журналов. |
| timeGeneratedEndTime | Метка времени (UTC) последнего события в окне агрегирования журнала. |
| число | Количество агрегированных журналов. |
| resourceId | Идентификатор ресурса периметра безопасности сети. |
| расположение | Область периметра безопасности сети. |
| operationName | Имя операции ресурса PaaS, представленной этим событием. |
| версияОперации | Версия API, связанная с операцией. |
| категория | Категории журналов, определенные для журналов Access. |
| свойства | Определенные расширенные свойства периметра безопасности сети, связанные с этой категорией событий. |
| описание результата | Статическое текстовое описание этой операции в ресурсе PaaS, например "Получение файла хранилища". |
Свойства периметра безопасности сети
В этом разделе описаны свойства периметра безопасности сети в схеме журнала.
Примечание.
Применение свойств зависит от типа категории журнала. Обратитесь к соответствующим схемам категорий журналов для применимости.
| Ценность | Описание |
|---|---|
| serviceResourceId | Идентификатор ресурса PaaS, создающего журналы доступа к периметру безопасности сети. |
| serviceFqdn | Полное доменное имя ресурса PaaS, который генерирует журналы доступа через периметр безопасности сети. |
| профиль | Имя профиля периметра безопасности сети, связанного с ресурсом. |
| Параметры | Список необязательных свойств ресурсов PaaS в формате строки JSON. Например, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | Уникальный GUID, представляющий идентификатор приложения ресурса в Azure Active Directory. |
| matchedRule | Контейнер свойств JSON, содержащий соответствующее имя accessRule, {"accessRule" : "{ruleName}"}. Это может быть имя правила доступа к периметру сети или имя правила ресурса (а не ArmId). |
| источник | Контейнер свойств JSON, описывающий источник входящего подключения. |
| назначение | Контейнер свойств JSON, описывающий пункт назначения исходящего подключения. |
| accessRulesVersion | Контейнер свойств JSON, содержащий версию правила доступа ресурса. |
Свойства источника
Свойства, описывающие источник входящего подключения.
| Ценность | Описание |
|---|---|
| resourceId | Идентификатор ресурса исходного ресурса PaaS для входящего подключения. Будет существовать, если применимо. |
| ipAddress | IP-адрес источника, выполняющего входящее подключение. Будет существовать, если применимо. |
| порт | Номер порта входящего подключения. Может не существовать для всех типов ресурсов. |
| протокол | Протоколы уровня приложения и транспорта для входящего подключения в формате {AppProtocol}:{TptProtocol}. Например, HTTPS:TCP. Может не существовать для всех типов ресурсов. |
| perimeterGuids | Список GUID идентификаторов периметра исходного ресурса. Его следует указать только в том случае, если это разрешено на основании GUID периметра. |
| appId | Уникальный GUID, представляющий идентификатор приложения источника в облачной службе Azure Active Directory. |
| Параметры | Список необязательных свойств источника в формате строки JSON. Например, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Свойства назначения
Свойства, описывающие назначение исходящего подключения.
| Ценность | Описание |
|---|---|
| resourceId | Идентификатор целевого ресурса PaaS для исходящего подключения. Будет существовать, если применимо. |
| полностью квалифицированное доменное имя | Полное доменное имя назначения (FQDN). |
| Параметры | Список необязательных свойств назначения в формате строки JSON. Например, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| порт | Номер порта исходящего подключения. Может не существовать для всех типов ресурсов. |
| протокол | Протоколы приложения и транспортного слоя для исходящего подключения в формате {AppProtocol}:{TptProtocol}. Например, HTTPS:TCP. Может не существовать для всех типов ресурсов. |
Пример записи журнала для входящих категорий
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Пример записи в журнале для категорий исходящих сообщений
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Параметры назначения регистраций для журналов доступа
Назначения для хранения журналов диагностики для периметра безопасности сети включают такие службы, как рабочая область Log Analytic (имя таблицы: NSPAccessLogs), учетная запись хранения Azure и Центры событий Azure. Полный список и сведения о поддерживаемых назначениях см. в разделе "Поддерживаемые назначения" для журналов диагностики.
Включение логирования через портал Azure
Вы можете включить ведение журнала диагностики для периметра безопасности сети с помощью портал Azure в разделе "Параметры диагностики". При добавлении параметра диагностики можно выбрать категории журналов, которые вы хотите собрать, и место назначения для доставки журналов.
Примечание.
При использовании Azure Monitor с периметром безопасности сети рабочая область Log Analytics, связанная с периметром безопасности сети, должна находиться в одном из поддерживаемых регионов Azure Monitor.
Предупреждение
Назначения журналов должны находиться в том же периметре безопасности сети, что и ресурс PaaS, чтобы обеспечить правильный поток журналов ресурсов PaaS. Настройка или уже выполненная настройка параметров диагностики для ресурсов, не включенных в перечень ресурсов приватного канала, повлияет на прекращение потока логов для этих ресурсов.