Share via

使用 Azure 入口網站 管理 NSG 流量記錄

  • 發行項

網路安全組流量記錄是 Azure 網路監看員 的一項功能,可讓您記錄流經網路安全組的 IP 流量相關信息。 如需網路安全組流量記錄的詳細資訊,請參閱 NSG 流量記錄概觀

在本文中,您將瞭解如何使用 Azure 入口網站 建立、變更、停用或刪除 NSG 流量記錄。 您可以瞭解如何使用 PowerShell、Azure CLIREST APIARM 範本來管理 NSG 流量記錄。

必要條件

註冊深入解析提供者

必須註冊 Microsoft.Insights 提供者,才能成功記錄流經網路安全組的流量。 如果您不確定 是否已註冊 Microsoft.Insights 提供者,請檢查其狀態:

  1. 在入口網站頂端的搜尋方塊中,輸入 訂用帳戶。 在搜尋結果中選取 [訂用帳戶 ]。

  2. 在 [訂用帳戶] 中 ,選取您想要啟用提供者的 Azure 訂用帳戶

  3. 在 [設定] 下,選取 [資源提供者]。

  4. 在篩選方塊中輸入 深入解析

  5. 確認顯示的提供者狀態為 [已註冊]。 如果狀態為 NotRegistered,請選取 Microsoft.Insights 提供者,然後選取 [ 註冊]。

    在 Azure 入口網站 中註冊 Microsoft Insights 提供者的螢幕快照。

建立流程記錄檔

為您的網路安全組建立流程記錄。 此 NSG 流量記錄會儲存在 Azure 記憶體帳戶中。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取 [+ 建立] 或 [建立流程記錄藍色] 按鈕。

    Azure 入口網站 中 [流量記錄] 頁面的螢幕快照。

  4. 在 [建立流程記錄檔] 中輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取您要記錄之網路安全組的 Azure 訂用帳戶。
    網路安全性群組 選取 [+ 選取資源]。
    [選取網络安全組] 中,選取 [myNSG]。 然後,選取 [ 確認選取專案]。
    流量記錄檔名稱 輸入流程記錄檔的名稱,或保留預設名稱。 myNSG-myResourceGroup-flowlog 是此範例的默認名稱。
    [執行個體詳細資料]
    訂用帳戶 選取記憶體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 選取您要儲存流量記錄的記憶體帳戶。 如果您想要建立新的記憶體帳戶,請選取 [建立新的記憶體帳戶]。
    保留 (天數) 輸入記錄的保留時間。 如果您想要永遠保留記憶體帳戶中的流量記錄數據,請輸入 0 (直到您從記憶體帳戶中刪除該資料為止)。 如需定價的相關信息,請參閱 Azure 儲存體 定價

    在 Azure 入口網站 中建立 NSG 流量記錄的螢幕快照。

    注意

    如果記憶體帳戶位於不同的訂用帳戶中,網路安全組和記憶體帳戶必須與相同的 Azure Active Directory 租使用者相關聯。 您用於每個訂用帳戶的 帳戶必須具有必要的許可權

  5. 選取 [檢閱 + 建立]。

  6. 檢閱設定,然後選取 [建立]

建立流程記錄和使用分析工作區

為您的網路安全組建立流程記錄,並啟用使用分析。 NSG 流量記錄會儲存在 Azure 記憶體帳戶中。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取 [+ 建立] 或 [建立流程記錄藍色] 按鈕。

    Azure 入口網站 中 [流量記錄] 頁面的螢幕快照。

  4. 在 [建立流程記錄檔] 中輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取您要記錄之網路安全組的 Azure 訂用帳戶。
    網路安全性群組 選取 [+ 選取資源]。
    [選取網络安全組] 中,選取 [myNSG]。 然後,選取 [ 確認選取專案]。
    流量記錄檔名稱 輸入流程記錄檔的名稱,或保留預設名稱。 根據預設,Azure 入口網站 會在 NetworkWatcherRG 資源群組中建立 {network-security-group}-{resource-group}-flowlog 流量記錄。
    [執行個體詳細資料]
    訂用帳戶 選取記憶體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 選取您要儲存流量記錄的記憶體帳戶。 如果您想要建立新的記憶體帳戶,請選取 [建立新的記憶體帳戶]。
    保留 (天數) 輸入記錄的保留時間。 如果您想要永遠保留記憶體帳戶中的流量記錄數據,請輸入 0 (直到您從記憶體帳戶中刪除該資料為止)。 如需定價的相關信息,請參閱 Azure 儲存體 定價

    在 Azure 入口網站 中建立流程記錄的 [基本] 索引標籤螢幕快照。

    注意

    如果記憶體帳戶位於不同的訂用帳戶中,網路安全組和記憶體帳戶必須與相同的 Azure Active Directory 租使用者相關聯。 您用於每個訂用帳戶的 帳戶必須具有必要的許可權

  5. 選取 [ 下一步:分析] 按鈕,或選取 [ 分析] 索引標籤 。然後輸入或選取下列值:

    設定
    流量記錄版本 選取流程記錄版本。 當您使用 Azure 入口網站 建立流程記錄時,預設會選取第 2 版。 如需流量記錄版本的詳細資訊,請參閱 NSG 流量記錄的記錄格式。
    使用分析
    啟用流量分析 選取複選框,為您的流量記錄啟用使用分析。
    流量分析處理間隔 選取您偏好的處理間隔,可用的選項如下: 每 1 小時每 10 分鐘。 默認處理間隔是每一小時一次。 如需詳細資訊,請參閱 使用分析
    訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。
    Log Analytics 工作區 選取您的Log Analytics工作區。 根據預設,Azure 入口網站 在 defaultresourcegroup-{Region} 資源群組中建立並選取 DefaultWorkspace-{subscription-id}-{region} Log Analytics 工作區。

    在 Azure 入口網站 中啟用流量記錄的使用分析螢幕快照。

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [建立]

變更流程記錄

您可以在建立流程記錄檔之後變更其屬性。 例如,您可以變更流量記錄版本或停用使用分析。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取您想要變更的流程記錄。

  4. [流程記錄] 設定中,您可以變更下列任何設定:

    • 流量記錄版本:變更流程記錄版本。 可用的版本包括:第 1 版和第 2 版。 當您使用 Azure 入口網站 建立流程記錄時,預設會選取第 2 版。 如需流量記錄版本的詳細資訊,請參閱 NSG 流量記錄的記錄格式。
    • 儲存體 帳戶:變更您要儲存流量記錄的記憶體帳戶。 如果您想要建立新的記憶體帳戶,請選取 [建立新的記憶體帳戶]。
    • 保留期(天數):變更記憶體帳戶中的保留時間。 如果您想要永遠保留記憶體帳戶中的流量記錄數據,請輸入 0 (直到您手動從記憶體帳戶刪除資料為止)。
    • 使用分析:為您的流量記錄啟用或停用使用分析。 如需詳細資訊,請參閱 使用分析
    • 使用分析處理間隔:變更使用分析的處理間隔(如果已啟用使用分析)。 可用的選項為:1 小時 10 分鐘。 默認處理間隔是每一小時一次。 如需詳細資訊,請參閱 使用分析
    • Log Analytics 工作區:變更您要將流量記錄儲存至的 Log Analytics 工作區(如果已啟用使用分析)。

    您可以在其中變更某些設定的 [流程記錄設定] 頁面 Azure 入口網站 螢幕快照。

列出所有流程記錄

您可以列出訂用帳戶或訂用帳戶群組中的所有流程記錄。 您也可以列出區域中的所有流程記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 選取 [ 訂用帳戶 等於篩選條件] 以選擇一或多個訂用帳戶。 您可以套用其他篩選,例如 位置等於 列出區域中的所有流程記錄。

    此螢幕快照顯示如何使用篩選條件,使用 Azure 入口網站 列出訂用帳戶中的所有現有流程記錄。

檢視流量記錄資源的詳細數據

您可以在訂用帳戶或訂用帳戶群組中檢視流程記錄的詳細數據。 您也可以列出區域中的所有流程記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取您想要查看的流程記錄。

  4. [流程記錄設定] 中,您可以檢視流量記錄資源的設定。

    Azure 入口網站 中 [流量記錄設定] 頁面的螢幕快照。

下載流程記錄檔

流程記錄的儲存位置定義於建立時。 若要從記憶體帳戶存取和下載流量記錄,您可以使用 Azure 儲存體 Explorer。 如需詳細資訊,請參閱開始使用 儲存體總管

儲存至記憶體帳戶的 NSG 流量記錄檔會遵循下列路徑:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

如需流量記錄結構的相關信息,請參閱 NSG 流量記錄的記錄格式。

停用流程記錄

您可以暫時停用NSG流量記錄,而不刪除它。 停用流量記錄會停止相關聯網路安全組的流量記錄。 不過,流量記錄資源會保留其所有設定和關聯。 您可以隨時重新啟用它,以繼續已設定網路安全組的流程記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取您想要停用之流程記錄的複選框。

  4. 選取停用

    顯示如何在 Azure 入口網站 中停用流程記錄的螢幕快照。

注意

如果流量記錄已啟用使用分析,則必須先停用流量記錄,才能停用流量記錄。 若要停用使用分析,請參閱 變更流量記錄

刪除流程記錄

您可以永久刪除 NSG 流量記錄。 刪除流程記錄會刪除其所有設定和關聯。 若要針對相同的網路安全組再次開始流程記錄,您必須為其建立新的流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路監看員。 在搜尋結果中選取 [網路監看員]。

  2. 在 [記錄] 底下,選取 [流量記錄]。

  3. 網路監看員 |流程記錄,選取您想要刪除之流程記錄的複選框。

  4. 選取 [刪除]

    顯示如何在 Azure 入口網站 中刪除流程記錄的螢幕快照。

注意

刪除流量記錄不會從記憶體帳戶刪除流量記錄數據。 儲存在記憶體帳戶中的流量記錄數據會遵循已設定的保留原則,或保留儲存在記憶體帳戶中,直到手動刪除為止(若未設定保留原則)。

下一步

  • 若要瞭解如何使用 Azure 內建原則來稽核或部署 NSG 流量記錄,請參閱使用 Azure 原則 管理 NSG 流量記錄。
  • 若要瞭解使用分析,請參閱 使用分析