共用方式為

使用 Azure 入口網站管理 NSG 流量記錄

  • 發行項

網路安全性群組流量記錄是 Azure 網路監看員的一項功能,可讓您記錄流經網路安全性群組的 IP 流量相關資訊。 如需網路安全性群組流量記錄的詳細資訊,請參閱 NSG 流量記錄概觀

在本文中,您將了解如何使用 Azure 入口網站建立、變更、停用或刪除 NSG 流量記錄。 您可以了解如何使用 PowerShellAzure CLIREST APIARM 範本來管理 NSG 流量記錄。

必要條件

註冊 Insights 提供者

您必須註冊 Microsoft.Insights 提供者,才能成功記錄流經網路安全性群組的流量。 如果您不確定是否已註冊 Microsoft.Insights 提供者,請遵循下列步驟檢查其狀態:

  1. 在入口網站頂端的搜尋方塊中,輸入訂用帳戶。 從搜尋結果,選取 [訂用帳戶]

    顯示如何在 Azure 入口網站中搜尋訂用帳戶的螢幕擷取畫面。

  2. 訂用帳戶中,選取您想要啟用提供者的 Azure 訂用帳戶。

  3. 在 [設定] 下,選取 [資源提供者]。

  4. 在篩選方塊中輸入深入解析

  5. 確認顯示的提供者狀態為 [已註冊]。 如果狀態為 [NotRegistered],請選取 [Microsoft.Insights] 提供者,然後選取 [註冊]

    在 Azure 入口網站中註冊 Microsoft Insights 提供者的螢幕擷取畫面。

建立流量記錄

為您的網路安全性群組建立流量記錄。 此 NSG 流量記錄會儲存在 Azure 儲存體帳戶中。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄] 中,選取 [+ 建立] 或 [建立流量記錄] 藍色按鈕。

    Azure 入口網站中流量記錄頁面的螢幕擷取畫面。

  4. 在 [建立流量記錄] 的 [基本資料] 索引標籤上,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 針對您要記錄的網路安全性群組,選取其 Azure 訂用帳戶。
    流量記錄類型 選取 [網路安全性群組],然後選取 [+ 選取目標資源]
    選取您要流量記錄的網路安全性群組,然後選取 [確認選取項目]
    流量記錄名稱 輸入流量記錄的名稱,或保留預設名稱。 Azure 入口網站會使用 {ResourceName}-{ResourceGroupName}-flowlog 作為流量記錄的預設名稱。 myNSG-myResourceGroup-flowlog 是本文中使用的預設名稱。
    [執行個體詳細資料]
    訂用帳戶 選取儲存體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 選取您要儲存流量記錄的目的地儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]
    保留 (天數) 輸入記錄的保留時間 (此選項僅適用於標準一般用途 v2 儲存體帳戶)。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中刪除資料為止),請輸入 0。 如需價格的詳細資訊,請參閱 Azure 儲存體價格

    在 Azure 入口網站中建立 NSG 流量記錄的螢幕擷取畫面。

    注意

    如果儲存體帳戶位於不同的訂用帳戶,網路安全性群組和儲存體群組必須與相同的 Microsoft Entra 租用戶相關聯。 為每個訂用帳戶所使用的帳戶必須具有必要的權限

  5. 若要啟用流量分析,請選取 [下一步:分析] 按鈕,或選取 [分析] 索引標籤。輸入或選取下列值:

    設定
    流量記錄版本 選取網路安全性群組流量記錄的版本,可用的選項包括:第 1 版第 2 版。 預設版本為第 2 版。 如需詳細資訊,請參閱網路安全性群組的流量記錄
    啟用流量分析 選取核取方塊,為您的流量記錄啟用流量分析。
    流量分析處理間隔 選取您偏好的處理間隔,可用的選項如下:[每 1 小時] 和 [每 10 分鐘]。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析
    訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。
    Log Analytics 工作區 選取 Log Analytics 工作區。 根據預設,Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。

    顯示如何在 Azure 入口網站中啟用新流量記錄之流量分析的螢幕擷取畫面。

    注意

    若要建立和選取預設工作區以外的 Log Analytics 工作區,請參閱建立 Log Analytics 工作區

  6. 選取 [檢閱 + 建立]。

  7. 檢閱設定,然後選取 [建立]

啟用或停用流量分析

啟用流量記錄的流量分析,以分析流量記錄資料。 流量分析可讓您深入了解流量模式。 您可以隨時啟用或停用流量記錄的流量分析。

若要啟用流量記錄的流量分析,請遵循下列步驟:

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄] 中,選取您要啟用流量分析的流量記錄。

  4. 在 [流量記錄設定] 中,勾選 [啟用流量分析] 核取方塊。

    顯示如何在 Azure 入口網站中啟用現有流量記錄之流量分析的螢幕擷取畫面。

  5. 選取下列值:

    設定
    訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。
    Log Analytics 工作區 選取 Log Analytics 工作區。 根據預設,Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。
    流量記錄間隔 選取您偏好的處理間隔,可用的選項如下:[每 1 小時] 和 [每 10 分鐘]。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析

    顯示在 Azure 入口網站中設定現有流量記錄之流量分析的螢幕擷取畫面。

  6. 選取儲存以套用變更。

若要停用流量記錄的流量分析,請採取先前的步驟 1-3,然後取消勾選 [啟用流量分析] 核取方塊,然後選取 [儲存]

顯示如何在 Azure 入口網站中停用現有流量記錄之流量分析的螢幕擷取畫面。

變更流量記錄

您可以在建立流量記錄之後變更其屬性。 例如,您可變更流量記錄版本或停用流量分析。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要變更的流量記錄。

  4. 在 [流量記錄設定] 中,您可以變更下列任何設定:

    設定
    儲存體帳戶
    訂用帳戶 變更您要使用之儲存體帳戶的 Azure 訂用帳戶。
    儲存體帳戶 變更您要將流量記錄儲存在其中的儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]
    保留 (天數) 變更儲存體帳戶中的保留時間。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中手動刪除資料為止),請輸入 0
    流量分析
    啟用流量分析 核取或取消核取核取方塊,以啟用或停用流量分析。
    訂用帳戶 變更您要使用之 Log Analytics 工作區的 Azure 訂用帳戶。
    記錄分析工作區 變更您要將儲存流量記錄儲存在其中的 Log Analytics 工作區 (如果已啟用流量分析)。
    流量記錄間隔 變更流量分析的處理間隔 (如果已啟用流量分析)。 可用的選項為:1 小時和 10 分鐘。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析

列出所有流量記錄

您可以列出訂用帳戶或訂用帳戶群組中的所有流量記錄。 您也可以列出區域中的所有流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 選取 [訂用帳戶等於] 篩選條件,選擇一或多個訂用帳戶。 您可以套用其他篩選條件,例如 [位置等於],列出區域中所有的流量記錄。

    螢幕擷取畫面顯示如何使用篩選條件,以使用 Azure 入口網站列出訂用帳戶中的所有現有流量記錄。

檢視流量記錄資源的詳細資料

您可以檢視訂用帳戶或訂用帳戶群組中的流量記錄。 您也可以列出區域中的所有流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要查看的流量記錄。

  4. 在 [流量記錄設定] 中,您可以檢視流量記錄資源的設定。

    Azure 入口網站中流量記錄設定頁面的螢幕擷取畫面。

下載流量記錄

流量記錄的儲存位置會在建立時定義。 若要從儲存體帳戶存取和下載流量記錄,您可以使用 Azure 儲存體總管。 如需詳細資訊,請參閱開始使用儲存體總管

儲存至儲存體帳戶的 NSG 流量記錄檔遵循以下路徑:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

如需關於流量記錄結構的資訊,請參閱 NSG 流量記錄的記錄格式

停用流量記錄

您可以暫時停用 NSG 流量記錄,而不加以刪除。 停用流量記錄會停止相關網路安全性群組的流量記錄。 然而,流量記錄資源會保留其所有設定和關聯。 您可隨時重新啟用,以繼續所設定網路安全性群組的流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您所要停用流量記錄的核取方塊。

  4. 選取停用

    顯示如何在 Azure 入口網站中停用流量記錄的螢幕擷取畫面。

注意

如果已針對流量記錄啟用流量分析,則必須先停用流量分析,才能停用流量記錄。 若要停用流量分析,請參閱變更流量記錄

刪除流量記錄

您可以永久刪除 NSG 流量記錄。 刪除流量記錄也會刪除其所有設定和關聯。 若要再次開始進行相同網路安全性群組的流量記錄,您必須為其建立新的流量記錄。

  1. 在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]

  2. 在 [記錄] 底下,選取 [流量記錄]

  3. 在 [網路監看員 | 流量記錄],選取您要刪除之流量記錄的核取方塊。

  4. 選取 [刪除]

    顯示如何在 Azure 入口網站中刪除流量記錄的螢幕擷取畫面。

注意

刪除流量記錄不會從儲存體帳戶刪除流量記錄資料。 儲存在儲存體帳戶中的流量記錄資料會遵循已設定的保留原則,或保留儲存在儲存體帳戶中,直到手動刪除為止 (若未設定保留原則)。

相關內容