Virtual Network流日志允许查看有关虚拟网络上的入口和出口 IP 流量的信息。 这些流日志按规则显示出站和入站流,流适用于的网络接口(NIC)、有关流的 5 元组信息(源/目标 IP、源/目标端口、协议),以及是否允许或拒绝流量。
手动搜索日志文件可能难以洞察流日志数据。 本文介绍如何直观显示最新的流日志,以了解有关网络上的流量的详细信息。
重要
网络安全组(NSG)流日志将于 2027 年 9 月 30 日停用。 2025 年 6 月 30 日之后,将无法再创建新的 NSG 流日志。 建议迁移到虚拟网络流日志,这些日志解决了 NSG 流日志的限制。 退休日期后,将不再支持 NSG 流日志中启用的流量分析功能,订阅中的现有 NSG 流日志资源也将被删除。 但是,不会从Azure Storage中删除现有的 NSG 流日志记录,并且将继续遵循其配置的保留策略。 有关详细信息,请参阅 官方公告。
使用网络安全组流日志可以查看有关网络安全组中入口和出口 IP 流量的信息。 这些流日志基于每个规则显示出站和入站流、流所适用的 NIC、有关流的 5 元组信息(源/目标 IP、源/目标端口、协议),以及是允许还是拒绝流量。
手动搜索日志文件可能难以洞察流日志数据。 本文介绍如何直观显示最新的流日志,以了解有关网络上的流量的详细信息。
警告
以下步骤适用于流日志版本 1。 有关详细信息,请参阅针对网络安全组的流日志记录简介。 以下说明在未修改的情况下不适用于版本 2 的日志文件。
先决条件
- 具有活动订阅的Azure帐户。 创建试用版订阅。
- 在帐户中的一个或多个虚拟网络上启用了流日志。 有关详细信息,请参阅 管理虚拟网络流日志。
- 在帐户中的一个或多个网络安全组上启用流日志记录。 有关详细信息,请参阅 管理网络安全组流日志。
- 在您的计算机上安装Power BI Desktop,并确保有足够的可用磁盘空间,用于下载和加载存储帐户中的日志数据。 有关详细信息,请参阅 Get started with Power BI Desktop。
情景
在以下方案中,将 Power BI Desktop 连接到被配置为流日志数据汇集器的存储帐户。 连接到存储帐户后,Power BI下载和分析日志以提供记录流量的可视表示形式。
使用模板中提供的视觉对象,可以检查:
顶级谈话者
时序流量数据按方向和决策规则
按网络接口 MAC 地址列出的流
按目的端口列出的流量
- 按虚拟网络和规则划分的流
- 网络安全组和规则的流量
该模板是可编辑的,因此可以对其进行修改,以添加新数据、视觉对象或编辑查询以满足你的需求。
设置你的 Power BI 仪表板
- 在 Power BI Desktop Network Watcher Power BI 流日志模板中下载并打开以下Power BI模板
- 在 Power BI Desktop Network Watcher Power BI 流日志模板中下载并打开以下Power BI模板
输入所需的查询参数:
StorageAccountName: 包含要加载和可视化的流日志的存储帐户的名称。
NumberOfLogFiles:要在Power BI中下载和可视化的日志文件数。 例如,如果输入 50,则可以查看最新的 50 个日志文件。 如果已启用两个虚拟网络并配置为将流日志发送到此帐户,则可以查看过去 25 小时的日志。
输入所需的查询参数:
StorageAccountName: 包含要加载和可视化的流日志的存储帐户的名称。
NumberOfLogFiles:要在Power BI中下载和可视化的日志文件数。 例如,如果输入 50,则可以查看最新的 50 个日志文件。 如果已启用两个网络安全组并配置为将流日志发送到此帐户,则可以查看过去 25 小时的日志。
输入存储帐户的访问密钥。 可以转到 Azure 门户中的存储帐户,然后在“安全性 + 网络”下选择“访问密钥”来查找有效的访问密钥。
选择“连接”,然后应用更改。
使用预先创建的视觉对象查看日志。
了解视觉效果
该模板包含一组视觉对象,可帮助你分析流日志数据。 以下部分详细介绍了每个视觉对象,其中示例图像显示了填充数据时仪表板的外观。
仪表板
顶级谈话者
顶部对话器视觉对象显示在指定时间段内启动最多连接的 IP。 框的大小对应于相对连接数。
随时间推移和按方向/决策流动
以下时序图显示该时间段内的流数。 第一个图按流方向分段,第二个图按决策(允许或拒绝)分段。 使用此可视化图表可分析长时间内的流量趋势,并识别流量或流量细分中的任何异常高峰或下降。
根据网络接口的流量
下图显示了每个网络接口的流。 第一个图按流方向分段,第二个图按决策分段。 利用此信息,可以深入了解哪些虚拟机(VM)与其他人通信最多,以及是否允许或拒绝流向特定 VM 的流量。
按目的端口列出的流量
以下滚轮图显示按目标端口划分的流细分。 使用此信息可以查看在指定的时间段内最经常使用的目标端口。
按虚拟网络和规则划分的流
以下条形图显示了通过虚拟网络和规则的流量。 通过此信息,可以查看负责最多流量的虚拟网络,以及按规则划分的虚拟网络上的流量细分。
网络安全组和规则的流量
以下条形图显示按网络安全组和规则分类的流量。 利用此信息,可以看到负责最多流量的网络安全组,以及按规则划分的网络安全组上的流量细分。
注意事项
日志默认存储在
https://{storageAccountName}.blob.core.chinacloudapi.cn/insights-logs-insights-logs-flowlogflowevent/中- 如果数据存在于其他目录中,请修改查询。
日志默认存储在
https://{storageAccountName}.blob.core.chinacloudapi.cn/insights-logs-networksecuritygroupflowevent/中- 如果数据存在于其他目录中,请修改查询。
不建议使用提供的模板来处理 1 GB 以上的日志。
如果有大量日志数据,建议使用其他数据存储(如Data Lake或 SQL Server)调查解决方案。