網路安全性群組的流量記錄
重要
網路安全性群組 (NSG) 流量記錄將於 2027 年 9 月 30 日淘汰。 經此淘汰後,自 2025 年 6 月 30 日起您將無法再建立新的 NSG 流量記錄。 建議您移轉 (部分機器翻譯) 至虛擬網路流量記錄,以因應 NSG 流量記錄的限制。 過了淘汰日期之後,將不再支援啟用了 NSG 流量記錄的流量分析,且將會刪除您的訂用帳戶中現有的 NSG 流量記錄資源。 不過,NSG 流量記錄將不會刪除,且將繼續遵循其各自的保留原則。 如需詳細資訊,請參閱官方公告。
網路安全性群組 (NSG) 流量記錄是 Azure 網路監看員的一項功能,可讓您針對流經網路安全性群組的 IP 流量記錄相關資訊。 流程資料會從中傳送至 Azure 儲存體,您可以從該處存取資料,並將之匯出至您選擇的任何視覺化工具、安全性資訊和事件管理 (SIEM) 解決方案,或入侵偵測系統 (IDS)。
為何要使用流量記錄?
監視、管理及了解您本身的網路,對於網路的保護和最佳化來說是很重要的。 您必須知道網路目前的狀態、連線的人員,以及使用者是從何處連線。 您也需要知道哪些連接埠對網際網路開放、預期網路行為為何、有哪些網路行為是異常的,以及流量突然上升的時機。
流量記錄是雲端環境中所有網路活動的事實來源。 無論是嘗試將資源最佳化的新創公司,或是嘗試偵測入侵的大型企業,流量記錄都可以提供協助。 流量記錄可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。
常見使用案例
網路監視
- 識別未知或不需要的流量。
- 監視流量層級和頻寬耗用量。
- 依 IP 和連接埠篩選流量記錄,以了解應用程式行為。
- 將流程記錄匯出至您選擇的分析和視覺化工具,以設定監視儀表板。
使用情況監視和最佳化
- 識別您網路中的發言最多者。
- 結合 GeoIP 資料來識別跨區域的流量。
- 了解流量成長來預測容量。
- 使用資料來移除太嚴格的流量規則。
法規遵循
- 使用流量資料來確認網路隔離和符合企業存取規則。
網路鑑識和安全性分析
- 分析來自遭入侵 IP 和網路介面的網路流量。
- 將流量記錄匯出至您選擇的任何 SIEM 或 IDS 工具。
NSG 流量記錄的運作方式
NSG 流量記錄的重要屬性包括:
- 流量記錄會在開放系統互相連線 (OSI) 模型的第 4 層運作,並記錄進出網路安全性群組的所有 IP 流量。
- 記錄會透過 Azure 平台以 1 分鐘間隔收集。 其不會以任何方式影響您的 Azure 資源或網路效能。
- 記錄會以 JSON 格式撰寫,並顯示每個網路安全性群組規則的輸出和輸入流量。
- 每個記錄檔記錄都包含流量應用的網路介面 (NIC)、5 元組資訊、流量決策,以及 (僅限第 2 版) 輸送量資訊。
- NSG 流量記錄具有保留功能,可在記錄建立後最多一年內自動刪除記錄。
注意
只有在您使用一般用途 v2 儲存體帳戶 (部分機器翻譯) 時,才能使用保留功能。
流量記錄的核心概念包括:
- 軟體定義網路會依虛擬網路和子網路進行組織。 您可以使用網路安全性群組來管理這些虛擬網路和子網路的安全性。
- 網路安全性群組包含「安全性規則」,其可允許或拒絕網路安全性群組所連線之 Azure 資源的輸入和輸出網路流量。 網路安全性群組可以與虛擬機器 (VM) 的子網路或網路介面相關聯。 如需詳細資訊,請參閱網路安全性群組概觀。
- 會透過適用網路安全性群組中的規則評估網路中的所有流量。 這些評估結果便是 NSG 流量記錄。
- NSG 流量記錄會透過 Azure 平台收集,而且不需要對您的 Azure 資源進行任何變更。
- 網路安全性群組規則有兩種類型:終止和非終止。 每個類型都有不同的記錄行為:
- 「拒絕」規則是終止的。 拒絕流量的網路安全性群組會將其記錄在流量記錄中。 在此案例中,會在任何 NSG 拒絕流量之後停止處理。
- 「允許」規則是非終止的。 如果網路安全性群組允許流量,處理會繼續至下一個網路安全性群組。 允許流量的最後一個網路安全性群組會將流量記錄到流量記錄中。
- NSG 流量記錄會寫入儲存體帳戶。 您可以使用網路監看員、流量分析、Splunk、Grafana 和 Stealthwatch 等工具來匯出、處理、分析 NSG 流量記錄並將其視覺化。
記錄格式
NSG 流量記錄包括下列屬性:
time:記錄事件的時間 (UTC)。systemId:網路安全性群組的系統識別碼。category:事件的類別。 類別一律是NetworkSecurityGroupFlowEvent。resourceid:網路安全性群組的資源識別碼。operationName:一律是NetworkSecurityGroupFlowEvents。properties:流量的屬性集合:Version:流量記錄事件結構描述的版本號碼。flows:流量的集合。 此屬性針對不同的規則具有多個項目。rule:列出流量的規則。flows:流量的集合。mac:收集流量所在之 VM 的 NIC MAC 位址。flowTuples:包含流量元組之多個屬性 (以逗號分隔的格式列出) 的字串:Time stamp:流量發生時的時間戳記,格式為 UNIX epoch。Source IP:來源 IP 位址。Destination IP:目的地 IP 位址。Source port:來源連接埠。Destination port:目的地連接埠。Protocol:流量的通訊協定。 有效值為T(針對 TCP) 和U(針對 UDP)。Traffic flow:流量的方向。 有效值為I(針對輸入) 和O(針對輸出)。Traffic decision:允許或拒絕流量。 有效值為A(針對允許) 和D(針對拒絕)。Flow State - Version 2 Only:流量的狀態。 可能的狀態為:B:開始,當流量建立時。 不提供統計資料。C:繼續進行中的流量。 提供 5 分鐘間隔的統計資料。E:結束,當流量終止時。 提供統計資料。
Packets sent - Version 2 Only:上次更新之後從來源傳送到目的地的 TCP 封包總數。Bytes sent - Version 2 Only:上次更新之後從來源傳送到目的地的 TCP 封包位元組總數。 封包位元組包括封包標頭與承載。Packets received - Version 2 Only:上次更新之後從目的地傳送到來源的 TCP 封包總數。Bytes received - Version 2 Only:上次更新之後從目的地傳送到來源的 TCP 封包位元組總數。 封包位元組包括封包標頭與承載。
第 2 版的 NSG 流量記錄引進流量狀態的概念。 您可以設定您所收到的流量記錄版本。
流量狀態 B 會在起始流量時開始記錄。 流量狀態 C 與流量狀態 E 是分別標記繼續傳送流量與流量終止的狀態。 C 與 E 狀態包含流量頻寬資訊。
範例記錄的記錄
在下列 NSG 流量記錄範例中,多個記錄會遵循稍早所述的屬性清單。
注意
flowTuples 屬性中的值是以逗號分隔的清單。
第 1 版
以下是第 1 版 NSG 流量記錄的範例格式:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,192.0.2.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,192.0.2.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,203.0.113.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,192.0.2.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,203.0.113.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,198.51.100.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,198.51.100.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,203.0.113.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,192.0.2.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,203.0.113.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,192.0.2.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,192.0.2.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
第 2 版
以下是第 2 版 NSG 流量記錄的範例格式:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,192.0.2.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,203.0.113.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,198.51.100.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,203.0.113.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,203.0.113.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,203.0.113.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,198.51.100.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
記錄元組和頻寬計算
以下是和 10.0.0.5:443之間 203.0.113.105:35370 TCP 交談中流量 Tuple 的頻寬計算範例:
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,B,,,,
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,C,1021,588096,8005,4610880
1708978215,203.0.113.105,10.0.0.5,35370,443,T,I,A,E,52,29952,47,27072
針對繼續 (C) 與結束 (E) 流量狀態,位元組與封包計數是從上一個流量的元組記錄時間的彙總計數。 在範例對話中,已傳輸的封包總數是 1021+52+8005+47 = 9125。 已傳輸的位元組總數是 588096+29952+4610880+27072 = 5256000。
管理 NSG 流量記錄
若要了解如何建立、變更、停用或刪除 NSG 流量記錄,請參閱下列其中一個指南:
使用流量記錄
讀取和匯出流量記錄
若要了解如何讀取和匯出 NSG 流量記錄,請參閱下列其中一個指南:
- 從入口網站下載和檢視流量記錄 (部分機器翻譯)
- 使用 PowerShell 函式讀取流量記錄 (部分機器翻譯)
- 將 NSG 流量記錄匯出至 Splunk (英文)
NSG 流量記錄檔會儲存在儲存體帳戶中,路徑如下:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
將流量記錄視覺化
若要了解如何將 NSG 流量記錄視覺化,請參閱下列其中一個指南:
- 使用網路監看員流量分析將 NSG 流量記錄視覺化 (部分機器翻譯)
- 使用 Power BI 將 NSG 流量記錄視覺化 (部分機器翻譯)
- 使用彈性堆疊將 NSG 流量記錄視覺化 (部分機器翻譯)
- 使用 Grafana 管理和分析 NSG 流量記錄 (部分機器翻譯)
- 使用 Graylog 管理和分析 NSG 流量記錄 (部分機器翻譯)
NSG 流量記錄的考量
儲存體帳戶
- 位置:儲存體帳戶必須位於與網路安全性群組相同的區域中。
- 訂用帳戶:儲存體帳戶必須位於與網路安全性群組相同的訂用帳戶中,或是與網路安全性群組的訂用帳戶相同的 Microsoft Entra 租用戶相關聯的訂用帳戶中。
- 效能層級:儲存體帳戶必須是標準的。 不支援進階儲存體帳戶。
- 自我管理金鑰輪替:如果您變更或輪替儲存體帳戶的存取金鑰,NSG 流量記錄將會停止運作。 若要修正此問題,請停用再重新啟用 NSG 流量記錄。
成本
NSG 流量記錄是以產生的記錄量來計費。 高流量可能會產生大量流量記錄,其會提高相關費用。
NSG 流量記錄價格不包括儲存體的底層費用。 永久保留 NSG 流量記錄資料或使用保留原則功能,意味著會產生較長時間的儲存體成本。
非預設輸入 TCP 規則
網路安全性群組會實作為具狀態防火牆。 但由於目前的平台限制,影響輸入 TCP 流量的網路安全性群組非預設安全性規則會以無狀態方式實作。
受非預設輸入規則影響的流量會變成非終止。 此外,這些流量不會記錄位元組和封包計數。 由於那些因素,NSG 流量記錄 (和網路監看員流量分析) 中報告的位元組和封包數目可能與實際數目有所不同。
您可以將相關聯虛擬網路上的 FlowTimeoutInMinutes 屬性設定為非 null 值,來解決此差異。 您可以將 FlowTimeoutInMinutes 設定為 4 分鐘,來達成預設的具狀態行為。 針對長時間執行的連線,其中您不想讓流量從某個服務或目的地中斷連線,您可以將 FlowTimeoutInMinutes 設定為至多 30 分鐘的值。 使用 Set-AzVirtualNetwork 來設定 FlowTimeoutInMinutes 屬性:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
記錄從網際網路 IP 到不具公用 IP 之 VM 的輸入流量
沒有與 NIC 相關聯的公用 IP 位址作為執行個體層級公用 IP,或是作為基本負載平衡器後端集區之一部分的公用 IP 位址的虛擬機器 (VM),會使用預設 SNAT (部分機器翻譯)。 Azure 會將 IP 位址指派給那些 VM,以促成輸出連線能力。 因此,如果流量的目的地為針對 SNAT 指派之連接埠範圍中的連接埠,您可能會看到來自網際網路 IP 位址流量的流量記錄項目。
雖然 Azure 不允許這些流量前往 VM,但會記錄嘗試並依設計顯示在網路監看員的 NSG 流量記錄中。 建議您使用網路安全性群組明確封鎖不必要的輸入網際網路流量。
ExpressRoute 閘道子網路上的網路安全性群組
不建議在 Azure ExpressRoute 閘道子網路上記錄流量,因為流量可以略過該類型的閘道 (例如 FastPath (部分機器翻譯))。 如果 NSG 連結到 ExpressRoute 閘道子網路,且已啟用 NSG 流量記錄,則可能無法擷取虛擬機器的輸出流量。 這類流量必須在 VM 的子網路或 NIC 的上擷取。
流向私人端點的流量
只能在來源 VM 擷取針對私人端點的流量。 流量會以 VM 的來源 IP 位址和私人端點的目的地 IP 位址來記錄。 基於平台限制,流量無法在私人端點本身上記錄。
對與應用程式閘道 v2 子網路相關聯的網路安全性群組的支援
目前不支援 (部分機器翻譯) 與 Azure 應用程式閘道 V2 子網路相關聯的網路安全性群組的 NSG 流量記錄。 支援與應用程式閘道 V1 子網路相關聯的網路安全性群組的 NSG 流量記錄。
不相容的服務
目前,這些 Azure 服務不支援 NSG 流量記錄:
- Azure 容器執行個體
- Azure Logic 應用程式
- Azure Functions
- Azure DNS 私人解析器
- 應用程式服務
- 適用於 MariaDB 的 Azure 資料庫
- 適用於 MySQL 的 Azure 資料庫
- 適用於 PostgreSQL 的 Azure 資料庫
注意
基於 Azure App Service 方案部署的應用程式服務不支援 NSG 流量記錄。 若要深入了解,請參閱虛擬網路整合的運作方式 (部分機器翻譯)。
不相容的虛擬機器
下列虛擬機器大小不支援 NSG 流量記錄:
對於這些虛擬機器大小,建議您使用虛擬網路流量記錄。
注意
執行大量網路流量的虛擬機器,可能會發生流量記錄失敗。 建議您針對這種類型的工作負載,將 NSG 流量記錄移轉至虛擬網路流量記錄。
最佳作法
在重要子網路上啟用 NSG 流量記錄:您應在訂用帳戶中的所有重要子網路上啟用流量記錄,以作為稽核和安全性最佳做法。
在連結至資源的所有網路安全性群組上啟用 NSG 流量記錄:NSG 流量記錄會在網路安全性群組上設定。 流量只會與一個網路安全性群組規則相關聯。 在使用多個網路安全性群組的情況下,建議在適用於資源子網路和網路介面 (NIC) 的所有網路安全性群組上啟用 NSG 流量記錄,以確保會記錄所有流量。 如需詳細資訊,請參閱網路安全性群組如何篩選網路流量。
以下為一些常見案例:
- 虛擬機器上的多個 NIC:如果多個 NIC 連結至虛擬機器,您必須在所有 NIC 上啟用流量記錄。
- NIC 和子網路層級的網路安全性群組:如果網路安全性群組設定在 NIC 層級和子網路層級,您必須在這兩個網路安全性群組上啟用流量記錄。 由 NIC 和子網路層級之網路安全性群組執行的確切規則處理順序會取決於平台,且會因案例而異。 系統會針對最後處理的網路安全性群組記錄流量。 平台狀態會變更處理順序。 您必須檢查這兩個流量記錄。
- Azure Kubernetes Service (AKS) 叢集子網路:AKS 會在叢集子網路新增預設網路安全性群組。 您必須在此網路安全性群組上啟用 NSG 流量記錄。
儲存體佈建:針對預期的流量記錄量一致地佈建儲存體。
命名:網路安全性群組名稱最多 80 個字元,而網路安全性群組規則名稱最多 65 個字元。 如果名稱超過其字元限制,其在記錄時可能會被截斷。
針對常見問題進行疑難排解
我無法啟用 NSG 流量記錄
如果您在嘗試啟用 NSG 流量記錄之前,未在訂用帳戶上啟用 Microsoft.Insights 資源提供者,您可能會收到 AuthorizationFailed 或 GatewayAuthenticationFailed 錯誤。 如需詳細資訊,請參閱註冊 Insights 提供者 (部分機器翻譯)。
我已啟用 NSG 流量記錄但未在儲存體帳戶中看到資料
此問題可能與下列內容有關:
設定時間:NSG 流量記錄最多可能需要 5 分鐘的時間才會在儲存體帳戶中顯示 (在其已正確設定的情況下)。 PT1H.json 檔案隨即出現。 如需詳細資訊,請參閱下載流量記錄 (部分機器翻譯)。
網路安全性群組上缺少流量:有時候您看不到記錄的原因,是因為虛擬機器未作用,或是因為應用程式閘道的上游篩選或其他裝置正在封鎖對您網路安全性群組的流量。
定價
NSG 流量記錄會針對收集的網路流量記錄按每 GB 收費,並提供每個訂用帳戶每月 5 GB 的免費層。
如果搭配 NSG 流量記錄啟用流量分析,則會以每 GB 的處理費率套用流量分析定價。 流量分析不提供免費定價層。 如需詳細資訊,請參閱網路監看員定價。
記錄的儲存體是個別收費。 如需詳細資訊,請參閱 Azure Blob 儲存體定價。
相關內容
- 若要了解如何管理 NSG 流量記錄,請參閱使用 Azure 入口網站建立、變更、停用或刪除 NSG 流量記錄 (部分機器翻譯)。
- 若要尋找 NSG 流量記錄的一些常見問題的解答,請參閱流量記錄常見問題集 (部分機器翻譯)。
- 若要了解流量分析,請參閱流量分析概觀 (部分機器翻譯)。