使用 Azure 入口網站管理 NSG 流量記錄
網路安全性群組流量記錄是 Azure 網路監看員的一項功能,可讓您記錄流經網路安全性群組的 IP 流量相關資訊。 如需網路安全性群組流量記錄的詳細資訊,請參閱 NSG 流量記錄概觀。
在本文中,您將了解如何使用 Azure 入口網站建立、變更、停用或刪除 NSG 流量記錄。 您可以了解如何使用 PowerShell、Azure CLI、REST API 或 ARM 範本來管理 NSG 流量記錄。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
深入解析提供者。 如需詳細資訊,請參閱註冊 Insights 提供者。
網路安全性群組。 如果您必須建立網路安全性群組,請參閱建立、變更或刪除網路安全性群組。
一個 Azure 儲存體帳戶。 如果您需要建立儲存體帳戶,請參閱使用 Azure 入口網站建立儲存體帳戶。
註冊 Insights 提供者
您必須註冊 Microsoft.Insights 提供者,才能成功記錄流經網路安全性群組的流量。 如果您不確定是否已註冊 Microsoft.Insights 提供者,請遵循下列步驟檢查其狀態:
在入口網站頂端的搜尋方塊中,輸入訂用帳戶。 從搜尋結果,選取 [訂用帳戶]。
在訂用帳戶中,選取您想要啟用提供者的 Azure 訂用帳戶。
在 [設定] 下,選取 [資源提供者]。
在篩選方塊中輸入深入解析。
確認顯示的提供者狀態為 [已註冊]。 如果狀態為 [NotRegistered],請選取 [Microsoft.Insights] 提供者,然後選取 [註冊]。
建立流量記錄
為您的網路安全性群組建立流量記錄。 此 NSG 流量記錄會儲存在 Azure 儲存體帳戶中。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄] 中,選取 [+ 建立] 或 [建立流量記錄] 藍色按鈕。
在 [建立流量記錄] 的 [基本資料] 索引標籤上,輸入或選取下列值:
設定 值 專案詳細資料 訂用帳戶 針對您要記錄的網路安全性群組,選取其 Azure 訂用帳戶。 流量記錄類型 選取 [網路安全性群組],然後選取 [+ 選取目標資源]。
選取您要流量記錄的網路安全性群組,然後選取 [確認選取項目]。流量記錄名稱 輸入流量記錄的名稱,或保留預設名稱。 Azure 入口網站會使用 {ResourceName}-{ResourceGroupName}-flowlog 作為流量記錄的預設名稱。 myNSG-myResourceGroup-flowlog 是本文中使用的預設名稱。 [執行個體詳細資料] 訂用帳戶 選取儲存體帳戶的 Azure 訂用帳戶。 儲存體帳戶 選取您要儲存流量記錄的目的地儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]。 保留 (天數) 輸入記錄的保留時間 (此選項僅適用於標準一般用途 v2 儲存體帳戶)。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中刪除資料為止),請輸入 0。 如需價格的詳細資訊,請參閱 Azure 儲存體價格。 注意
如果儲存體帳戶位於不同的訂用帳戶,網路安全性群組和儲存體群組必須與相同的 Microsoft Entra 租用戶相關聯。 為每個訂用帳戶所使用的帳戶必須具有必要的權限。
若要啟用流量分析,請選取 [下一步:分析] 按鈕,或選取 [分析] 索引標籤。輸入或選取下列值:
設定 值 流量記錄版本 選取網路安全性群組流量記錄的版本,可用的選項包括:第 1 版和第 2 版。 預設版本為第 2 版。 如需詳細資訊,請參閱網路安全性群組的流量記錄。 啟用流量分析 選取核取方塊,為您的流量記錄啟用流量分析。 流量分析處理間隔 選取您偏好的處理間隔,可用的選項如下:[每 1 小時] 和 [每 10 分鐘]。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析。 訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。 Log Analytics 工作區 選取 Log Analytics 工作區。 根據預設,Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。 注意
若要建立和選取預設工作區以外的 Log Analytics 工作區,請參閱建立 Log Analytics 工作區
選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。
啟用或停用流量分析
啟用流量記錄的流量分析,以分析流量記錄資料。 流量分析可讓您深入了解流量模式。 您可以隨時啟用或停用流量記錄的流量分析。
若要啟用流量記錄的流量分析,請遵循下列步驟:
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄] 中,選取您要啟用流量分析的流量記錄。
在 [流量記錄設定] 中,勾選 [啟用流量分析] 核取方塊。
選取下列值:
設定 值 訂用帳戶 選取 Log Analytics 工作區的 Azure 訂用帳戶。 Log Analytics 工作區 選取 Log Analytics 工作區。 根據預設,Azure 入口網站會在 defaultresourcegroup-{Region} 資源群組中建立 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作區。 流量記錄間隔 選取您偏好的處理間隔,可用的選項如下:[每 1 小時] 和 [每 10 分鐘]。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析。 選取儲存以套用變更。
若要停用流量記錄的流量分析,請採取先前的步驟 1-3,然後取消勾選 [啟用流量分析] 核取方塊,然後選取 [儲存]。
變更流量記錄
您可以在建立流量記錄之後變更其屬性。 例如,您可變更流量記錄版本或停用流量分析。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄],選取您要變更的流量記錄。
在 [流量記錄設定] 中,您可以變更下列任何設定:
設定 值 儲存體帳戶 訂用帳戶 變更您要使用之儲存體帳戶的 Azure 訂用帳戶。 儲存體帳戶 變更您要將流量記錄儲存在其中的儲存體帳戶。 若要建立新的儲存體帳戶,請選取 [建立新的儲存體帳戶]。 保留 (天數) 變更儲存體帳戶中的保留時間。 如果您要永遠保留儲存體帳戶中的流量記錄資料 (直到您從儲存體帳戶中手動刪除資料為止),請輸入 0。 流量分析 啟用流量分析 核取或取消核取核取方塊,以啟用或停用流量分析。 訂用帳戶 變更您要使用之 Log Analytics 工作區的 Azure 訂用帳戶。 記錄分析工作區 變更您要將儲存流量記錄儲存在其中的 Log Analytics 工作區 (如果已啟用流量分析)。 流量記錄間隔 變更流量分析的處理間隔 (如果已啟用流量分析)。 可用的選項為:1 小時和 10 分鐘。 預設處理間隔是每一小時一次。 如需詳細資訊,請參閱流量分析。
列出所有流量記錄
您可以列出訂用帳戶或訂用帳戶群組中的所有流量記錄。 您也可以列出區域中的所有流量記錄。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
選取 [訂用帳戶等於] 篩選條件,選擇一或多個訂用帳戶。 您可以套用其他篩選條件,例如 [位置等於],列出區域中所有的流量記錄。
檢視流量記錄資源的詳細資料
您可以檢視訂用帳戶或訂用帳戶群組中的流量記錄。 您也可以列出區域中的所有流量記錄。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄],選取您要查看的流量記錄。
在 [流量記錄設定] 中,您可以檢視流量記錄資源的設定。
下載流量記錄
流量記錄的儲存位置會在建立時定義。 若要從儲存體帳戶存取和下載流量記錄,您可以使用 Azure 儲存體總管。 如需詳細資訊,請參閱開始使用儲存體總管。
儲存至儲存體帳戶的 NSG 流量記錄檔遵循以下路徑:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
如需關於流量記錄結構的資訊,請參閱 NSG 流量記錄的記錄格式。
停用流量記錄
您可以暫時停用 NSG 流量記錄,而不加以刪除。 停用流量記錄會停止相關網路安全性群組的流量記錄。 然而,流量記錄資源會保留其所有設定和關聯。 您可隨時重新啟用,以繼續所設定網路安全性群組的流量記錄。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄],選取您所要停用流量記錄的核取方塊。
選取停用。
注意
如果已針對流量記錄啟用流量分析,則必須先停用流量分析,才能停用流量記錄。 若要停用流量分析,請參閱變更流量記錄。
刪除流量記錄
您可以永久刪除 NSG 流量記錄。 刪除流量記錄也會刪除其所有設定和關聯。 若要再次開始進行相同網路安全性群組的流量記錄,您必須為其建立新的流量記錄。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [流量記錄]。
在 [網路監看員 | 流量記錄],選取您要刪除之流量記錄的核取方塊。
選取 [刪除]。
注意
刪除流量記錄不會從儲存體帳戶刪除流量記錄資料。 儲存在儲存體帳戶中的流量記錄資料會遵循已設定的保留原則,或保留儲存在儲存體帳戶中,直到手動刪除為止 (若未設定保留原則)。
相關內容
- 若要了解如何使用 Azure 內建原則以稽核或部署 NSG 流量記錄,請參閱使用 Azure 原則管理 NSG 流量記錄。
- 若要了解流量分析,請參閱流量分析。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應