Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
30 сентября 2027 г. журналы потоков групп безопасности сети (NSG) будут выведены из эксплуатации. В рамках этого выхода на пенсию вы больше не сможете создавать новые журналы потоков NSG с 30 июня 2025 года. Мы рекомендуем мигрировать в журналы потоков виртуальной сети, которые устраняют ограничения журналов потоков NSG. После даты прекращения поддержки аналитика трафика, включенная с помощью журналов потоков NSG, больше не будет поддерживаться, а существующие ресурсы журналов потоков NSG в ваших подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.
Из этой статьи вы узнаете, как перенести существующие журналы потоков группы безопасности сети в журналы потоков виртуальной сети с помощью скрипта миграции. Журналы потоков виртуальной сети преодолевают некоторые ограничения журналов потоков группы безопасности сети. Для получения дополнительной информации см. Журналы потоков виртуальной сети.
Примечание.
Используйте скрипт миграции:
- если у вас нет ведения журнала потоков во всех сетевых интерфейсах или подсетях в виртуальной сети, и вы не хотите включить ведение журнала потоков виртуальной сети на всех из них или
- Если журналы потоков группы безопасности сети в виртуальной сети имеют разные конфигурации, и вы хотите создать журналы потоков виртуальной сети с этими разными конфигурациями в качестве журналов потоков группы безопасности сети.
Используйте Политика Azure:
- если у вас одна и та же группа безопасности сети, примененная ко всем сетевым интерфейсам или подсетям в виртуальной сети,
- при наличии одинаковых конфигураций журнала потоков группы безопасности сети для всех сетевых интерфейсов или подсетей в виртуальной сети или
- Если вы хотите включить ведение журнала потоков данных виртуальной сети на уровне самой сети.
Дополнительные сведения см. в статье "Развертывание и настройка журналов потоков виртуальной сети" с помощью встроенной политики.
Предпосылки
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
PowerShell 7, установленная на компьютере. Дополнительные сведения см. в разделе "Установка PowerShell" в Windows, Linux и macOS. Для этой статьи требуется модуль Az PowerShell. Дополнительные сведения см. в статье "Установка Azure PowerShell". Выполните команду
Get-Module -ListAvailable Az, чтобы узнать текущую установленную версию.Необходимые разрешения RBAC для подписок на журналы потоковой информации и рабочие области Log Analytics (если для любого из журналов сетевого потока безопасности включен анализ трафика). Дополнительные сведения см. в разделе разрешения Network Watcher.
Журналы потоков группы безопасности сети в одном или нескольких регионах. Дополнительные сведения см. в разделе «Создание журналов потоков группы безопасности сети».
Создание скрипта миграции
В этом разделе описано, как создавать и скачивать файлы миграции для журналов потоков группы безопасности сети, которые требуется перенести.
В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.
В разделе "Журналы" выберите "Миграция журналов потоков".
Выберите подписки, в которых содержатся журналы потоков групп безопасности сети, которые вы хотите перенести.
Для каждой подписки выберите регионы, содержащие журналы потоков, которые требуется перенести. Журналы потоков NSG показывают общее количество журналов потоков, которые находятся в выбранных подписках. Выбранные журналы потоков NSG показывают количество журналов потоков в выбранных регионах.
После выбора подписок и регионов выберите "Скачать скрипт" и JSON-файл , чтобы скачать файлы миграции в виде ZIP-файла.
Извлеките
MigrateFlowLogs.zipфайл на локальном компьютере. ZIP-файл содержит эти два файла:- файл скрипта:
MigrationFromNsgToAzureFlowLogging.ps1 - JSON-файл:
RegionSubscriptionConfig.json.
- файл скрипта:
Запуск скрипта миграции
В этом разделе описано, как использовать файл скрипта, скачанный в предыдущем разделе, для переноса журналов потоков группы безопасности сети.
Внимание
После запуска скрипта не следует вносить никаких изменений в топологию в регионах и подписках журналов потоков, которые вы переносите.
Запустите файл
MigrationFromNsgToAzureFlowLogging.ps1скрипта.Введите 1 для параметра "Выполнить анализ ".
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. QuitВведите имя JSON-файла.
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.jsonВведите количество потоков или оставьте пустым, чтобы использовать значение по умолчанию 16.
Please enter the number of threads you would like to use, press enter for using default value of 16:После завершения анализа вы увидите отчет по анализу на экране и в html-файле в том же каталоге файлов миграции. В отчете перечислены количество журналов потока группы безопасности сети, которые будут отключены, а также количество журналов потоков виртуальной сети, созданных для их замены. Количество созданных журналов потоков виртуальной сети зависит от выбранного типа миграции. Например, если группа безопасности сети, журнал потоков которой переносится, связана с тремя сетевыми интерфейсами в одной виртуальной сети, можно выбрать миграцию с агрегированием, чтобы применить единый ресурс журнала потока ко всей виртуальной сети. Вы также можете выбрать миграцию без агрегирования , чтобы иметь три журнала потока виртуальной сети (один ресурс журнала потоков виртуальной сети на сетевой интерфейс).
Примечание.
См. файл
AnalysisReport-<subscriptionId>-<region>-<time>.htmlдля полного отчета о выполненном анализе. Файл доступен в том же каталоге скрипта.Введите 2 или 3 , чтобы выбрать тип миграции, который требуется выполнить.
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. QuitПосле просмотра сводки по миграции на экране можно отменить миграцию и вернуть изменения. Чтобы принять и продолжить миграцию введите n, в противном случае введите y. После принятия изменений вы не сможете вернуть их.
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): nПримечание.
Сохраните файлы скрипта и отчета анализа для справки, если у вас возникли проблемы с миграцией.
Проверьте портал Azure, чтобы убедиться, что состояние перенесенных вами журналов потоков групп сетевой безопасности стало отключенным. Проверьте также только что созданные журналы потоков виртуальной сети в результате процесса миграции.
Добавьте фильтр, чтобы показывать только журналы потоков группы безопасности сети из выбранных вами подписок и регионов. Этот шаг можно пропустить, если вы замигрировали только небольшое количество журналов потока группы безопасности сети.
Выберите журналы потоков, которые требуется удалить, и нажмите кнопку "Удалить".
Введите удаление и нажмите кнопку "Удалить ", чтобы подтвердить удаление.
Рекомендации
Масштабируемый набор с балансировщиком нагрузки: Сценарий миграции позволяет включить ведение журнала потоков виртуальной сети в подсети, содержащей виртуальные машины масштабируемого набора.
Примечание.
Если ведение журнала потоков группы безопасности сети не включено во всех сетевых интерфейсах масштабируемого набора или сетевые интерфейсы не используют один и тот же журнал потока группы безопасности сети, то журнал потока виртуальной сети создается в подсети с теми же конфигурациями, что и один из сетевых интерфейсов масштабируемого набора.
PaaS: сценарий миграции не поддерживает среды с решениями PaaS, имеющими журналы потоков групп безопасности сети в подписке пользователя, но целевые ресурсы находятся в разных подписках. Для таких сред необходимо вручную включить ведение журнала потоков виртуальной сети в виртуальной сети или подсети решения PaaS.