共用方式為

使用 Azure 入口網站管理 NSG 流量記錄

  • 發行項

網路安全性群組流量記錄是 Azure 網路監看員的一項功能,可讓您記錄流經網路安全性群組的 IP 流量相關資訊。 如需網路安全性群組流量記錄的詳細資訊,請參閱 NSG 流量記錄概觀

在本文中,您將了解如何使用 Azure 入口網站建立、變更、停用或刪除 NSG 流量記錄。 您可以了解如何使用 PowerShellAzure CLIREST APIARM 範本來管理 NSG 流量記錄。

必要條件

註冊 Insights 提供者

您必須註冊 Microsoft.Insights 提供者,才能成功記錄流經網路安全性群組的流量。 如果您不確定 是否已註冊 Microsoft.Insights 提供者,您可以遵循下列步驟來檢查其狀態:

  1. 在入口網站頂端的搜尋方塊中,輸入訂用帳戶。 從搜尋結果中選取 [訂用帳戶 ]。

  2. 訂用帳戶中,選取您想要啟用提供者的 Azure 訂用帳戶。

  3. 在 [設定] 下,選取 [資源提供者]。

  4. 在篩選方塊中輸入深入解析

  5. 確認顯示的提供者狀態為 [已註冊]。 如果狀態為 [NotRegistered],請選取 [Microsoft.Insights] 提供者,然後選取 [註冊]

    在 Azure 入口網站 中註冊 Microsoft Insights 提供者的螢幕快照。

建立流量記錄

為您的網路安全性群組建立流量記錄。 此 NSG 流量記錄會儲存在 Azure 儲存體帳戶中。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄] 中,選取 [+ 建立] 或 [建立流量記錄] 藍色按鈕。

    Azure 入口網站 中 [流量記錄] 頁面的螢幕快照。

  4. 在 [建立流量記錄] 中,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 針對您要記錄的網路安全性群組,選取其 Azure 訂用帳戶。
    網路安全性群組 選取 [+ 選取資源]
    在 [選取網路安全性群組] 中,選取 [myNSG]。 然後,選取 [確認選取項目]
    流量記錄名稱 輸入流量記錄的名稱,或保留預設名稱。 myNSG-myResourceGroup-flowlog 是此範例的預設名稱。
    [執行個體詳細資料]
    訂用帳戶 選取儲存體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 選取您要儲存流量記錄的目的地儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]
    保留 (天數) 輸入記錄的保留時間。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中刪除資料為止),請輸入 0。 如需價格的詳細資訊,請參閱 Azure 儲存體價格

    在 Azure 入口網站 中建立 NSG 流量記錄的螢幕快照。

    注意

    如果儲存體帳戶位於不同的訂用帳戶,網路安全性群組和儲存體群組必須與相同的 Azure Active Directory 租用戶相關聯。 為每個訂用帳戶所使用的帳戶必須具有必要的權限

  5. 選取 [檢閱 + 建立]。

  6. 檢閱設定,然後選取 [建立]

建立流量記錄和流量分析工作區

為您的網路安全性群組建立流量記錄,並啟用流量分析。 NSG 流量記錄會儲存在 Azure 儲存體帳戶中。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄] 中,選取 [+ 建立] 或 [建立流量記錄] 藍色按鈕。

    Azure 入口網站 中 [流量記錄] 頁面的螢幕快照。

  4. 在 [建立流量記錄] 中,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 針對您要記錄的網路安全性群組,選取其 Azure 訂用帳戶。
    網路安全性群組 選取 [+ 選取資源]
    在 [選取網路安全性群組] 中,選取 [myNSG]。 然後,選取 [確認選取項目]
    流量記錄名稱 輸入流量記錄的名稱,或保留預設名稱。 根據預設,Azure 入口網站會在 NetworkWatcherRG 資源群組中建立 {network-security-group}-{resource-group}-flowlog 流量記錄。
    [執行個體詳細資料]
    訂用帳戶 選取儲存體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 選取您要儲存流量記錄的目的地儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]
    保留 (天數) 輸入記錄的保留時間。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中刪除資料為止),請輸入 0。 如需價格的詳細資訊,請參閱 Azure 儲存體價格

    在 Azure 入口網站 中建立流程記錄的 [基本] 索引標籤螢幕快照。

    注意

    如果儲存體帳戶位於不同的訂用帳戶,網路安全性群組和儲存體群組必須與相同的 Azure Active Directory 租用戶相關聯。 為每個訂用帳戶所使用的帳戶必須具有必要的權限

  5. 選取 [下一步:分析] 按鈕,或選取 [分析] 索引標籤。然後輸入或選取下列值:

    設定
    流量記錄版本 選取流量記錄版本。 當您使用 Azure 入口網站建立流量記錄時,預設會選取第 2 版。 如需流量記錄版本的詳細資訊,請參閱 NSG 流量記錄的記錄格式
    流量分析
    啟用流量分析 選取核取方塊,為您的流量記錄啟用流量分析。
    流量分析處理間隔 選取您偏好的處理間隔,可用的選項如下:[每 1 小時] 和 [每 10 分鐘]。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析
    訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。
    Log Analytics 工作區 選取 Log Analytics 工作區。 根據預設,Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立並選取 DefaultWorkspace-{subscription-id}-{region} Log Analytics 工作區。

    在 Azure 入口網站 中啟用流量記錄的使用分析螢幕快照。

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [建立]

變更流量記錄

您可以在建立流量記錄之後變更其屬性。 例如,您可變更流量記錄版本或停用流量分析。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要變更的流量記錄。

  4. 在 [流量記錄設定] 中,您可以變更下列任何設定:

    • 流量記錄版本:變更流量記錄版本。 可用的版本包括:第 1 版和第 2 版。 當您使用 Azure 入口網站建立流量記錄時,預設會選取第 2 版。 如需流量記錄版本的詳細資訊,請參閱 NSG 流量記錄的記錄格式
    • 儲存體帳戶:變更您要儲存流量記錄的目的地儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]
    • 保留期 (天數):變更儲存體帳戶中的保留時間。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中手動刪除資料為止),請輸入 0
    • 流量分析:為您的流量記錄啟用或停用流量分析。 如需詳細資訊,請參閱流量分析
    • 流量分析處理間隔:變更流量分析的處理間隔 (如果已啟用流量分析)。 可用的選項為:1 小時和 10 分鐘。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析
    • Log Analytics 工作區:變更您要儲存流量記錄的目的地 Log Analytics 工作區 (如果已啟用流量分析)。

    您可以在其中變更某些設定的 [流程記錄設定] 頁面 Azure 入口網站 螢幕快照。

列出所有流量記錄

您可以列出訂用帳戶或訂用帳戶群組中的所有流量記錄。 您也可以列出區域中的所有流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 選取 [訂用帳戶等於] 篩選條件,選擇一或多個訂用帳戶。 您可以套用其他篩選條件,例如 [位置等於],列出區域中所有的流量記錄。

    此螢幕快照顯示如何使用篩選條件,使用 Azure 入口網站 列出訂用帳戶中的所有現有流程記錄。

檢視流量記錄資源的詳細資料

您可以檢視訂用帳戶或訂用帳戶群組中的流量記錄。 您也可以列出區域中的所有流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要查看的流量記錄。

  4. 在 [流量記錄設定] 中,您可以檢視流量記錄資源的設定。

    Azure 入口網站 中 [流量記錄設定] 頁面的螢幕快照。

下載流量記錄

流量記錄的儲存位置會在建立時定義。 若要從儲存體帳戶存取和下載流量記錄,您可以使用 Azure 儲存體總管。 如需詳細資訊,請參閱開始使用儲存體總管

儲存至儲存體帳戶的 NSG 流量記錄檔遵循以下路徑:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

如需關於流量記錄結構的資訊,請參閱 NSG 流量記錄的記錄格式

停用流量記錄

您可以暫時停用 NSG 流量記錄,而不加以刪除。 停用流量記錄會停止相關網路安全性群組的流量記錄。 然而,流量記錄資源會保留其所有設定和關聯。 您可隨時重新啟用,以繼續所設定網路安全性群組的流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您所要停用流量記錄的核取方塊。

  4. 選取停用

    顯示如何在 Azure 入口網站 中停用流程記錄的螢幕快照。

注意

如果已針對流量記錄啟用流量分析,則必須先停用流量分析,才能停用流量記錄。 若要停用流量分析,請參閱變更流量記錄

刪除流量記錄

您可以永久刪除 NSG 流量記錄。 刪除流量記錄也會刪除其所有設定和關聯。 若要再次開始進行相同網路安全性群組的流量記錄,您必須為其建立新的流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要刪除之流量記錄的核取方塊。

  4. 選取 [刪除]

    顯示如何在 Azure 入口網站 中刪除流程記錄的螢幕快照。

注意

刪除流量記錄不會從儲存體帳戶刪除流量記錄資料。 儲存在儲存體帳戶中的流量記錄資料會遵循已設定的保留原則,或保留儲存在儲存體帳戶中,直到手動刪除為止 (若未設定保留原則)。

相關內容