Поделиться через

Руководство по журналу сетевого трафика в виртуальную сеть и из нее с помощью портала Azure

Ведение журнала потоков виртуальной сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через виртуальную сеть Azure. Дополнительные сведения о ведении журнала потоков виртуальной сети см. в журналах потоков виртуальной сети.

В этом руководстве показано, как использовать журналы потоков виртуальной сети для регистрации сетевого трафика виртуальной машины, который проходит через виртуальную сеть.

На схеме показаны ресурсы, созданные во время учебного пособия.

В этом руководстве вы узнаете, как:

  • Создание виртуальной сети
  • Создание виртуальной машины
  • Зарегистрировать поставщика Microsoft.Insights
  • Включение ведения журнала потоков для виртуальной сети с помощью журналов потоков наблюдателя за сетями
  • Скачивание логированных данных.
  • Просмотр зарегистрированных в журнале данных.

Предпосылки

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть myVNet с одной подсетью для виртуальной машины.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

    Снимок экрана, который показывает, как искать виртуальные сети в портале Azure.

  3. Нажмите кнопку +Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".

    Настройки Ценность
    Сведения о проекте
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Создать новое.
    Введите myResourceGroup в поле Имя.
    Нажмите кнопку ОК.
    Сведения об инстанции
    Имя Введите myVNet.
    Регион Выберите регион (США) Восточная часть США.

  4. Выберите Review + create.

  5. Проверьте параметры, а затем нажмите кнопку Создать.

Создание виртуальной машины

В этом разделе описано, как создать виртуальную машину myVM .

  1. В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.

  2. Нажмите кнопку "+ Создать " и выберите "Виртуальная машина".

  3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

    Настройки Ценность
    Сведения о проекте
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об инстанции
    Название виртуальной машины Введите myVM.
    Регион Выберите регион (США) Восточная часть США.
    Параметры доступности Выберите "Не требуется избыточность инфраструктуры".
    Тип безопасности Выберите Стандартное.
    Изображение Выберите предпочитаемое изображение. В этом руководстве используется Windows Server 2022 Datacenter: Azure Edition — x64-го поколения 2-го поколения.
    Размер Выберите размер виртуальной машины или оставьте параметр по умолчанию.
    Учетная запись администратора
    Имя пользователя Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.

  4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

  5. На вкладке "Сеть" выберите следующие значения:

    Настройки Ценность
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите mySubnet.
    Общедоступный IP-адрес Выберите (новое) myVM-ip.
    Группа безопасности сети NIC Выберите Базовый.
    Общедоступные входящие порты Выберите Разрешить выбранные порты.
    Выбрать входящие порты Выберите RDP (3389).

    Осторожность

    Оставлять RDP-порт открытым для интернета рекомендуется только для тестирования. Для рабочих сред рекомендуется ограничить доступ к порту RDP определенным IP-адресом или диапазоном IP-адресов. Вы также можете заблокировать доступ к интернету к порту RDP и использовать Azure Bastion для безопасного подключения к вашей виртуальной машине из портала Azure.

  6. Выберите Review + create.

  7. Проверьте параметры, а затем нажмите кнопку Создать.

  8. После завершения развертывания выберите "Перейти к ресурсу", чтобы перейти на страницу обзора myVM.

  9. Выберите "Подключиться", а затем выберите RDP.

  10. Выберите "Скачать файл RDP " и откройте скачанный файл.

  11. Выберите "Подключиться ", а затем введите имя пользователя и пароль, созданные на предыдущих шагах. Примите сертификат при появлении запроса.

Регистрация поставщика Insights

Для ведения журнала потоков требуется поставщик Microsoft.Insights . Чтобы проверить его состояние, выполните следующие действия.

  1. В поле поиска в верхней части портала введите подписки. Выберите подписки из результатов поиска.

  2. Выберите подписку Azure, для которой нужно включить поставщика в подписках.

  3. В разделе Параметры выберите Поставщики ресурсов.

  4. Введите аналитические сведения в поле фильтра.

  5. Подтвердите, что статус поставщика — Зарегистрировано. Если статус NotRegistered, выберите поставщика Microsoft.Insights, затем нажмите Register.

    Снимок экрана: регистрация поставщика Microsoft Insights на портале Azure.

Создание учетной записи хранения

В этом разделе описано, как создать учетную запись хранения для хранения журналов потоков.

  1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

  2. Нажмите кнопку +Создать. В разделе "Создание учетной записи хранения" введите или выберите следующие значения на вкладке "Основные сведения".

    Настройки Ценность
    Сведения о проекте
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об инстанции
    Название учетной записи хранилища Введите уникальное имя. В этом руководстве используется nwteststorageaccount.
    Регион Выберите регион (США) Восточная часть США. Учетная запись хранения должна находиться в том же регионе, что и виртуальная машина и ее группа безопасности сети.
    Основная служба Выберите хранилище BLOB-объектов Azure или Azure Data Lake Storage 2-го поколения.
    Производительность Выберите Стандартное. Журналы потоков поддерживают только учетные записи хранения уровня "Стандартный".
    Избыточность Выберите избыточность, который вы предпочитаете. В этом руководстве используется локально избыточное хранилище (LRS).

  3. Выберите вкладку "Рецензирование" или нажмите кнопку "Рецензирование" внизу.

  4. Проверьте параметры, а затем нажмите кнопку Создать.

Создание журнала потока

В этом разделе описано, как создать журнал потока виртуальной сети, сохраненный в учетной записи хранения, созданной ранее в руководстве.

  1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

  2. В разделе Журналы выберите журналы потоков.

  3. В Наблюдатель за сетями | Журналы потоков выберите + Создать или синюю кнопку Создать журнал потока.

    Снимок экрана: журналы потоков Network Watcher в портале Azure.

  4. Введите или выберите следующие значения в Создать журнал потоков:

    Настройки Ценность
    Сведения о проекте
    Подписка Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать.
    Тип журнала потока Щелкните Виртуальная сеть.
    Виртуальная сеть Выберите и выберите целевой ресурс.
    В разделе "Выбор виртуальной сети" выберите myVNet. Затем нажмите кнопку "Подтвердить выбор".
    Имя журнала потоков Оставьте значение по умолчанию myVNet-myresourcegroup-flowlog.
    Сведения об инстанции
    Подписка Выберите подписку Azure для учетной записи хранилища.
    Учетные записи хранения Выберите учетную запись хранения, созданную на предыдущих шагах.
    Хранение (дни) Введите 10 , чтобы сохранить данные журналов потоков в учетной записи хранения в течение 10 дней. Чтобы сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалить его), введите 0. Для получения информации о ценах на хранилище см. цены на хранилище Azure.

    Снимок экрана: создание страницы журнала потоков на портале Azure.

    Замечание

    Портал Azure создает журналы потоков виртуальной сети в группе ресурсов NetworkWatcherRG .

  5. Выберите Review + create.

  6. Проверьте параметры, а затем нажмите кнопку Создать.

  7. После завершения развертывания выберите "Перейти к ресурсу ", чтобы убедиться, что журнал потоков создан и указан на странице журналов потоков.

    Снимок экрана: страница журналов потоков в портал Azure, на которой показан только что созданный журнал потоков.

  8. Вернитесь к сеансу RDP с виртуальной машиной myVM .

  9. Откройте Microsoft Edge и перейдите на www.bing.com.

Скачивание журнала потоков

В этом разделе вы перейдете к выбранной учетной записи хранения и скачайте журнал потоков, созданный в предыдущем разделе.

  1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

  2. Выберите nwteststorageaccount или учетную запись хранения, созданную ранее и выбранную для хранения журналов.

  3. В разделе Хранилище данных выберите Контейнеры.

  4. Выберите контейнер insights-logs-flowlogflowevent.

  5. В контейнере перейдите к иерархии папок, пока не перейдете к PT1H.json файлу, который вы хотите скачать. Файлы журнала потоков виртуальной сети соответствуют следующему пути:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Выберите многоточие ... справа от файла PT1H.json, а затем нажмите кнопку "Скачать".

    Снимок экрана: скачивание данных журнала потока виртуальной сети из учетной записи хранения на портале Azure.

Замечание

Вы можете использовать Azure Storage Explorer для доступа к журналам потоков и их скачивания из учетной записи хранения. Дополнительные сведения см. в разделе Начало работы с Storage Explorer.

Просмотр журнала потока

Откройте скачанный PT1H.json файл с помощью текстового редактора. Следующий пример — это раздел, взятый из скачавшего PT1H.json файла, в котором показан поток, обработанный правилом DefaultRule_AllowInternetOutBound.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Сведения, разделенные запятыми для flowTuples , приведены следующим образом:

Демонстрационные данные Что представляют собой данные Объяснение
1754512773 Отметка времени Метка времени возникновения потока в формате UNIX EPOCH. В предыдущем примере дата преобразуется в 06 августа 2025 г. 08:39:33 UTC/GMT.
10.0.0.4 Исходный IP-адрес Исходный IP-адрес, с которого поступил поток. 10.0.0.4 — это частный IP-адрес созданной ранее виртуальной машины.
13.107.21.200 IP-адрес назначения IP-адрес назначения, которому предназначен поток. 13.107.21.200 — ЭТО IP-адрес www.bing.com. Так как трафик направлен за пределы Azure, правило безопасности DefaultRule_AllowInternetOutBound обработало поток.
49982 Исходный порт Исходный порт, с которого был отправлен поток.
443 Конечный порт Порт назначения, на который был отправлен поток.
6 Протокол Протокол потока 4 уровня в назначенных значениях IANA: 6: TCP.
О Направление Направление потока. O: Исходящий трафик.
С Состояние потока Состояние потока. C: Продолжение текущего потока.
NX Шифрование потоков Подключение незашифровывается.
7 Отправленные пакеты Общее количество пакетов TCP, отправленных в место назначения с момента последнего обновления.
1158 Отправлено байтов Общее количество байтов TCP-пакетов, отправляемых из источника в место назначения с момента последнего обновления. Байты пакетов включают заголовок пакета и полезные данные.
12 Полученные пакеты Общее количество пакетов TCP, полученных от назначения с момента последнего обновления.
8143 Байтов получено Общее количество байтов TCP-пакетов, полученных от назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.

Очистите ресурсы

При отсутствии необходимости удалите группу ресурсов myResourceGroup и все содержащиеся в ней ресурсы:

  1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

  4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Замечание

Ресурс NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog находится в группе ресурсов NetworkWatcherRG , но после удаления виртуальной сети myVNet (удалив группу ресурсов myResourceGroup ).

Связанный контент