Создание, изменение, включение, отключение или удаление журналов потоков NSG

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Поставщик аналитики. Дополнительные сведения см. в разделе Register Insights Provider.

• Группа безопасности сети. Если необходимо создать группу безопасности сети, см. статью "Создание, изменение" или удаление группы безопасности сети.

• Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см. статью "Создание учетной записи хранения с помощью портал Azure".

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Поставщик аналитики. Дополнительные сведения см. в разделе Register Insights Provider.

• Группа безопасности сети. Если необходимо создать группу безопасности сети, см. статью "Создание, изменение" или удаление группы безопасности сети.

• Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см. статью "Создание учетной записи хранения с помощью PowerShell".

• Azure Cloud Shell или Azure PowerShell.

  Шаги, описанные в этой статье, позволяют выполнять командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы запустить командлеты в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.

  Вы также можете установить Azure PowerShell локально для выполнения командлетов. Для этой статьи требуется модуль Azure PowerShell. При локальном запуске PowerShell войдите в Azure с помощью командлета Connect-AzAccount .

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Поставщик аналитики. Дополнительные сведения см. в разделе Register Insights Provider.

• Группа безопасности сети. Если необходимо создать группу безопасности сети, см. статью "Создание, изменение" или удаление группы безопасности сети.

• Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см. статью "Создание учетной записи хранения с помощью Azure CLI".

• Azure Cloud Shell или Azure CLI

  Действия, описанные в этой статье, выполняют команды Azure CLI интерактивно в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.

  Вы также можете установить Azure CLI локально для выполнения команд. При локальном запуске Azure CLI войдите в Azure с помощью команды az login .

Поставщик Microsoft.Insights должен быть зарегистрирован для успешного ведения журнала трафика, проходящего через виртуальную сеть. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Insights, проверьте его состояние в портал Azure, выполнив следующие действия.

1. В поле поиска в верхней части портала введите подписки. Выберите подписки из результатов поиска.

   

2. Выберите подписку Azure, для которой нужно включить поставщика в подписках.

3. В разделе Параметры выберите Поставщики ресурсов.

4. Введите аналитические сведения в поле фильтра.

5. Подтвердите, что статус поставщика — Зарегистрировано. Если статус NotRegistered, выберите поставщика Microsoft.Insights, затем нажмите Register.

   

Поставщик Microsoft.Insights должен быть зарегистрирован для успешного регистрации трафика в виртуальной сети. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Insights , используйте Register-AzResourceProvider , чтобы зарегистрировать его:

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

Поставщик Microsoft.Insights должен быть зарегистрирован для успешного регистрации трафика в виртуальной сети. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Insights , используйте az provider register , чтобы зарегистрировать его:

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков выберите + Создать или синюю кнопку Создать журнал потока.

   

4. На вкладке Основы в Создать журнал потоков введите или выберите следующие значения:

   Настройки	Ценность
   Сведения о проекте
   Подписка	Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать.
   Тип журнала потока	Выберите группу безопасности сети и нажмите кнопку "Выбрать целевой ресурс". Выберите группу безопасности сети, для которой требуется включить ведение журнала потоков, а затем нажмите кнопку "Подтвердить выбор".
   Имя журнала потоков	Введите имя журнала потоков или оставьте имя по умолчанию. Портал Azure использует {ResourceName}-{ResourceGroupName}-flowlog в качестве имени по умолчанию для журнала потоков. myNSG-myResourceGroup-flowlog — это имя по умолчанию, используемое в этой статье.
   Сведения об инстанции
   Подписка	Выберите подписку Azure для учетной записи хранилища.
   Учетные записи хранения	Выберите учетную запись хранения, в которую нужно сохранить журналы потоков. Если вы хотите создать новую учетную запись хранения, выберите "Создать новую учетную запись хранения".
   Хранение (дни)	Введите время хранения для журналов (этот параметр доступен только с учетными записями хранения общего назначения версии 2 уровня "Стандартный"). Введите 0 , если вы хотите сохранить данные журналов потоков в учетной записи хранения навсегда (пока вы не удалите его из учетной записи хранения вручную). Информацию о ценах см. в разделе Цены на хранилище Azure.

   

5. Чтобы включить аналитику трафика, нажмите кнопку "Далее: аналитика" или перейдите на вкладку "Аналитика". Введите или выберите следующие значения:

   Настройки	Ценность
   Версия журналов потоков	Выберите версию журнала потока группы безопасности сети, доступны следующие варианты: версия 1 и версия 2. Версия по умолчанию — 2. Дополнительные сведения см. в разделе "Ведение журнала потоков" для групп безопасности сети.
   Включение Аналитики трафика	Установите флажок, чтобы включить аналитику трафика для журнала потоков.
   Интервал обработки аналитики трафика	Выберите нужный интервал обработки: каждые 1 час и каждые 10 минут. Интервал обработки по умолчанию — каждые час. Дополнительные сведения см. в разделе "Аналитика трафика".
   Подписка	Выберите подписку Azure для вашей рабочей области Log Analytics.
   Рабочая область Log Analytics	Выберите рабочую область Log Analytics. По умолчанию портал Azure создает DefaultWorkspace-{SubscriptionID}-{Region} рабочую область Log Analytics в группе ресурсов defaultresourcegroup-{Region}.

   

   Замечание

   Сведения о создании и выборе рабочей области Log Analytics, отличной от рабочей области по умолчанию, см. в статье "Создание рабочей области Log Analytics"

6. Выберите Review + create.

7. Проверьте параметры, а затем нажмите кнопку Создать.

Используйте командлет New-AzNetworkWatcherFlowLog для создания журнала потоков. Журнал потоков создается в группе ресурсов по умолчанию NetworkWatcherRG Наблюдателя за сетями.

• Включите журналы потоков NSG без аналитики трафика:

  # Place the network security group properties into a variable.
  $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a version 1 NSG flow log.
  New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
  

• Включите журналы потоков NSG с помощью аналитики трафика:

  # Place the network security group properties into a variable.
  $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
  
  # Create a version 1 NSG flow log.
  New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
  

Используйте команду az network watcher flow-log create , чтобы создать журнал потоков виртуальной сети. Журнал потоков создается в группе ресурсов по умолчанию NetworkWatcherRG Наблюдателя за сетями.

• Включите журналы потоков NSG без аналитики трафика:

  # Create a version 1 NSG flow log.
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --location 'eastus' 
  

  Если учетная запись хранения находится в другой группе ресурсов из группы безопасности сети, используйте идентификатор ресурса учетной записи хранения вместо его имени:

  # Create a version 1 NSG flow log (the storage account is in a different resource group from the network security group).
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --location 'eastus' 
  

• Включите журналы потоков NSG с помощью аналитики трафика:

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a version 1 NSG flow log and enable traffic analytics for it.
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --location 'eastus' 
  

  Если учетная запись хранения находится в другой группе ресурсов из группы безопасности сети, используйте идентификатор ресурса учетной записи хранения вместо его имени.

Чтобы включить аналитику трафика для журнала потоков, выполните следующие действия.

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков выберите журнал потока, для которого требуется включить аналитику трафика.

4. В настройках журнала потока, в разделе Аналитика трафика, установите флажок Включить аналитику трафика.

   

5. Введите или выберите следующие значения:

   Настройки	Ценность
   Подписка	Выберите подписку Azure для вашей рабочей области Log Analytics.
   Рабочая область Log Analytics	Выберите рабочую область Log Analytics. По умолчанию портал Azure создает DefaultWorkspace-{SubscriptionID}-{Region} рабочую область Log Analytics в группе ресурсов defaultresourcegroup-{Region}.
   Интервал ведения журнала трафика	Выберите нужный интервал обработки: каждые 1 час и каждые 10 минут. Интервал обработки по умолчанию — каждые час. Дополнительные сведения см. в разделе "Аналитика трафика".

   

6. Выберите Сохранить, чтобы применить изменения.

Чтобы отключить аналитику трафика для журнала потоков, выполните предыдущие действия 1–3, а затем снимите флажок "Включить аналитику трафика" и нажмите кнопку "Сохранить".

Чтобы включить аналитику трафика для ресурса журнала потоков, используйте командлет Set-AzNetworkWatcherFlowLog:

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -FormatVersion 2

Чтобы отключить аналитику трафика в ресурсе журнала потоков и продолжить создавать и сохранять журналы потоков в учетной записи хранения, используйте командлет Set-AzNetworkWatcherFlowLog :

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -FormatVersion 2

Чтобы включить аналитику трафика в ресурсе журнала потоков, используйте команду az network watcher flow-log update :

# Update the NSG flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --log-version '2'

Чтобы отключить аналитику трафика в ресурсе журнала потоков и продолжить создавать и сохранять журналы потоков в учетной записи хранения, используйте команду az network watcher flow-log update :

# Update the NSG flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics false --log-version '2'

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. Чтобы выбрать одну или несколько из ваших подписок, выберите фильтр Подписка равна. Вы можете применять другие фильтры, например Расположение равно, чтобы перечислить все логи потока в регионе.

   

Используйте командлет Get-AzNetworkWatcherFlowLog для перечисления всех ресурсов журнала потоков в определённом регионе в вашей подписке.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Используйте команду az network watcher flow-log list чтобы перечислить все ресурсы журнала потока в вашей подписке в определенном регионе.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков выберите журнал потока, который вы хотите просмотреть.

4. В параметрах журналов потока можно просмотреть параметры ресурса журнала потоков.

   

5. Нажмите кнопку "Отмена" , чтобы закрыть страницу параметров без внесения изменений.

Используйте командлет Get-AzNetworkWatcherFlowLog, чтобы посмотреть сведения о ресурсе журнала потоков.

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Используйте команду az network watcher flow-log show , чтобы просмотреть сведения о ресурсе журнала потоков:

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

2. Выберите учетную запись хранения, используемую для хранения журналов.

3. В разделе Хранилище данных выберите Контейнеры.

4. Выберите контейнер insights-logs-networksecuritygroupflowevent.

5. В insights-logs-networksecuritygroupflowevent перейдите по иерархии папок, пока не найдете PT1H.json файл, который требуется скачать. Файлы журнала потоков NSG следуют следующему пути:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Выберите многоточие ... справа PT1H.json от файла, а затем нажмите кнопку "Скачать".

Чтобы загрузить журналы потоков виртуальной сети из вашей учетной записи для хранения, используйте командлет Get-AzStorageBlobContent. Дополнительные сведения см. в разделе «Загрузка Blob».

Файлы журнала потоков NSG, сохраненные в учетной записи хранения, соответствуют этому пути:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Чтобы скачать журналы потоков виртуальной сети из учетной записи хранения, используйте команду az storage blob download . Для получения дополнительной информации см. Загрузка блоба.

Файлы журнала потоков NSG, сохраненные в учетной записи хранения, соответствуют этому пути:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков установите флажок журнала потока, который требуется отключить.

4. Выберите Отключить.

   

Используйте командлет Set-AzNetworkWatcherFlowLog чтобы отключить журнал сетевого трафика.

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Используйте команду az network watcher flow-log update , чтобы отключить журнал потока:

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled false

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков установите флажок журнала потока, который требуется удалить.

4. Выберите команду Удалить.

   

Чтобы удалить ресурс журнала потоков, используйте командлет Remove-AzNetworkWatcherFlowLog :

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Чтобы удалить ресурс журнала потоков, используйте команду az network watcher flow-log delete :

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'