Поделиться через

Учебник. Регистрация потока входящего и исходящего сетевого трафика виртуальной машины с помощью портала Azure

Внимание

30 сентября 2027 г. журналы потоков группы безопасности сети (NSG) будут выведены из эксплуатации. В рамках этого вывода из эксплуатации, с 30 июня 2025 года, вы больше не сможете создавать новые журналы потоков NSG. Мы рекомендуем мигрировать на журналы потоков виртуальной сети, которые преодолевают ограничения журналов потоков NSG. После даты прекращения поддержки, аналитика трафика, используя журналы потоков NSG, больше не будет поддерживаться, и существующие ресурсы журналов потоков NSG в ваших подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.

Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журналов потоков группы безопасности сети см. в разделе Обзор журналов потоков NSG.

В этом руководстве показано, как использовать журналы потоков NSG для регистрации сетевого трафика виртуальной машины, который проходит через группу безопасности сети, связанную с сетевым интерфейсом.

На схеме показаны ресурсы, созданные во время учебного пособия.

В этом руководстве описано следующее:

  • Создание виртуальной сети
  • Создайте виртуальную машину с группой безопасности сети, связанной с её сетевым интерфейсом.
  • Зарегистрировать поставщика Microsoft.Insights
  • Активируйте ведение журнала потоков для сетевой группы безопасности с использованием журналов потоков Network Watcher
  • Скачивание логированных данных.
  • Просмотр зарегистрированных в журнале данных.

Предварительные условия

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть myVNet с одной подсетью для виртуальной машины.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

    Снимок экрана, который показывает, как искать виртуальные сети в портале Azure.

  3. Выберите + Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать новый.
    Введите myResourceGroup в поле Имя.
    Нажмите кнопку ОК.
    Данные экземпляра
    Имя. Введите myVNet.
    Область/регион Выберите регион (США) Восточная часть США.

  4. Выберите Просмотреть и создать.

  5. Проверьте параметры, а затем нажмите кнопку Создать.

Создание виртуальной машины

В этом разделе описано, как создать виртуальную машину myVM .

  1. В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.

  2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

  3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Данные экземпляра
    Имя виртуальной машины Введите myVM.
    Область/регион Выберите регион (США) Восточная часть США.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Изображение Выберите Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
    Размер Выберите размер или оставьте параметр по умолчанию.
    Учетная запись администратора
    Имя пользователя Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.

  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке "Сеть" выберите следующие значения:

    Настройка Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите mySubnet.
    Общедоступный IP-адрес Выберите (новое) myVM-ip.
    Группа безопасности сети сетевого адаптера Выберите Базовый. Этот параметр создает группу безопасности сети с именем myVM-nsg и связывает ее с сетевым интерфейсом виртуальной машины myVM .
    Общедоступные входящие порты Выберите Разрешить выбранные порты.
    Выбрать входящие порты Выберите RDP (3389).

    Внимание

    Оставлять RDP-порт открытым для интернета рекомендуется только для тестирования. Для рабочих сред рекомендуется ограничить доступ к порту RDP определенным IP-адресом или диапазоном IP-адресов. Вы также можете заблокировать доступ к интернету к порту RDP и использовать Azure Bastion для безопасного подключения к вашей виртуальной машине из портала Azure.

  6. Выберите Просмотреть и создать.

  7. Проверьте параметры, а затем нажмите кнопку Создать.

  8. После завершения развертывания выберите "Перейти к ресурсу", чтобы перейти на страницу обзора myVM.

  9. Выберите "Подключиться", а затем выберите RDP.

  10. Выберите "Скачать файл RDP " и откройте скачанный файл.

  11. Выберите "Подключиться ", а затем введите имя пользователя и пароль, созданные на предыдущих шагах. Примите сертификат при появлении запроса.

Регистрация поставщика Microsoft Insights

Для регистрации потока NSG требуется поставщик Microsoft.Insights. Чтобы проверить его состояние, выполните следующие действия.

  1. В поле поиска в верхней части портала введите подписки. Выберите подписки из результатов поиска.

  2. Выберите подписку Azure, для которой нужно включить поставщика в подписках.

  3. Выберите поставщики ресурсов в разделе "Параметры" подписки.

  4. Введите аналитические сведения в поле фильтра.

  5. Подтвердите, что статус поставщика — Зарегистрировано. Если статус NotRegistered, выберите поставщика Microsoft.Insights, затем нажмите Register.

    Снимок экрана: регистрация поставщика Microsoft Insights на портале Azure.

Создание учетной записи хранилища

В этом разделе описано, как создать учетную запись хранения для хранения журналов потоков.

  1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

  2. Выберите + Создать. В разделе "Создание учетной записи хранения" введите или выберите следующие значения на вкладке "Основные сведения".

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Данные экземпляра
    Имя учетной записи хранения Введите уникальное имя. В этом руководстве используется mynwstorageaccount.
    Область/регион Выберите регион (США) Восточная часть США. Учетная запись хранения должна находиться в том же регионе, что и виртуальная машина и ее группа безопасности сети.
    Производительность Выберите Стандартное. Журналы потоков NSG поддерживают только учетные записи хранения уровня "Стандартный".
    Избыточность Выберите локально избыточное хранилище (LRS) или другую стратегию репликации, соответствующую вашим требованиям к устойчивости.

  3. Выберите вкладку "Рецензирование" или нажмите кнопку "Рецензирование" внизу.

  4. Проверьте параметры, а затем нажмите кнопку Создать.

Создайте журнал потоков NSG

В этом разделе вы создаете журнал потоков NSG, который сохраняется в учетной записи хранения, созданной ранее в этом учебном пособии.

  1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

  2. В разделе Журналы выберите журналы потоков.

  3. В Наблюдатель за сетями | Журналы потоков выберите + Создать или синюю кнопку Создать журнал потока.

    Снимок экрана: страница журналов потоков в портале Azure.

  4. Введите или выберите следующие значения в Создать журнал потоков:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать.
    группу безопасности сети; Выберите + Выбор ресурса.
    Выберите группу безопасности сети, myVM-nsg. Затем нажмите кнопку "Подтвердить выбор".
    Имя журнала потоков Оставьте значение по умолчанию — myVM-nsg-myResourceGroup-flowlog.
    Данные экземпляра
    Подписка Выберите подписку Azure вашей учетной записи хранилища.
    Учетные записи хранения Выберите учетную запись хранения, созданную на предыдущих шагах. В этом руководстве используется mynwstorageaccount.
    Период удержания (в днях) Введите 0 , чтобы сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Чтобы применить политику хранения, введите время хранения в днях. Для получения информации о ценах на хранилище см. цены на хранилище Azure.

    Снимок экрана страницы создания журнала потоков NSG в портале Azure.

    Примечание.

    Портал Azure создает журналы потоков NSG в группе ресурсов NetworkWatcherRG.

  5. Выберите Просмотреть и создать.

  6. Проверьте параметры, а затем нажмите кнопку Создать.

  7. После завершения развертывания выберите "Перейти к ресурсу ", чтобы убедиться, что журнал потоков создан и указан на странице журналов потоков.

    Снимок экрана: страница журналов потоков в портал Azure, на которой показан только что созданный журнал потоков.

  8. Вернитесь к сеансу RDP с виртуальной машиной myVM .

  9. Откройте Microsoft Edge и перейдите на www.bing.com.

Скачивание журнала потоков

В этом разделе описано, как перейти к выбранной учетной записи хранения и скачать журнал потоков NSG, созданный в предыдущем разделе.

  1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

  2. Выберите mynwstorageaccount или учетную запись хранения, созданную ранее и выбранную для хранения журналов.

  3. В разделе Хранилище данных выберите Контейнеры.

  4. Выберите контейнер insights-logs-networksecuritygroupflowevent.

  5. В контейнере перейдите к иерархии папок, пока не перейдете к файлу PT1H.json . Файлы журналов NSG записываются в иерархию папок, которая соответствует следующему соглашению об именовании:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. Выберите многоточие ... справа от файла PT1H.json, а затем нажмите кнопку "Скачать".

    Снимок экрана показывает, как скачать журнал потоков nsg в контейнере учетной записи хранения на портале Azure.

Примечание.

Вы можете использовать Azure Storage Explorer для доступа к журналам потоков и их скачивания из учетной записи хранения. Дополнительные сведения см. в статье "Начало работы с Обозревателем хранилища".

Просмотр журнала потока

Откройте скачанный PT1H.json файл с помощью текстового редактора. Следующий пример — это раздел, взятый из скачавшего PT1H.json файла, в котором показан поток, обработанный правилом DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Сведения, разделенные запятыми для flowTuples , приведены следующим образом:

Демонстрационные данные Что представляют собой данные Описание
1677455097 Отметка времени Метка времени возникновения потока в формате UNIX EPOCH. В предыдущем примере дата преобразуется в 26 февраля 2023 г. 11:44:57 UTC/GMT.
10.0.0.4 Исходный IP-адрес Исходный IP-адрес, с которого поступил поток. 10.0.0.4 — это частный IP-адрес созданной ранее виртуальной машины.
13.107.21.200 IP-адрес назначения IP-адрес назначения, которому предназначен поток. 13.107.21.200 — ЭТО IP-адрес www.bing.com. Так как трафик направлен за пределы Azure, правило безопасности DefaultRule_AllowInternetOutBound обработало поток.
49982 Исходный порт Исходный порт, с которого был отправлен поток.
443 Порт назначения Порт назначения, на который был отправлен поток.
Т Протокол Протокол потока. Т: TCP.
О Направление Направление потока. O: Исходящий трафик.
а Решение Решение, принятое правилом безопасности. Ответ. Разрешено.
С Только режим потока версии 2 Состояние потока. C: Продолжение текущего потока.
7 Только пакеты, отправленные версией 2 Общее количество пакетов TCP, отправленных в место назначения с момента последнего обновления.
1158 Количество отправленных байтов только в версии 2 Общее количество байтов TCP-пакетов, отправляемых из источника в место назначения с момента последнего обновления. Байты пакета включают заголовок пакета и полезные данные.
12 Пакеты получены только версии 2 Общее количество пакетов TCP, полученных от назначения с момента последнего обновления.
8143 Байты получено версия 2 только Общее количество байтов TCP-пакетов, полученных от назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.

Очистка ресурсов

При отсутствии необходимости удалите группу ресурсов myResourceGroup и все содержащиеся в ней ресурсы:

  1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

  4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Примечание.

Журнал потока myVM-nsg-myResourceGroup-flowlog находится в группе ресурсов NetworkWatcherRG, но он будет удален после удаления группы безопасности сети myVM-nsg (удалив группу ресурсов myResourceGroup).

Связанный контент

  • Дополнительные сведения о журналах потоков NSG см. в разделе "Ведение журнала потоков" для групп безопасности сети.
  • Сведения о создании, изменении, включении, отключении или удалении журналов потоков NSG см. в статье "Управление журналами потоков NSG".
  • Дополнительные сведения об аналитике трафика см. в обзоре аналитики трафика.