使用 Azure 门户管理 NSG 流日志
网络安全组流日志记录是 Azure 网络观察程序的一项功能,可用于记录有关流经网络安全组的 IP 流量的信息。 有关网络安全组流日志记录的详细信息,请参阅 NSG 流日志概述。
在本文中,你将了解如何使用 Azure 门户创建、更改、禁用或删除 NSG 流日志。 你可以了解如何使用 PowerShell、Azure CLI、REST API 或 ARM 模板管理 NSG 流日志。
先决条件
具有活动订阅的 Azure 帐户。 创建试用版订阅。
Insights 提供程序。 有关详细信息,请参阅注册 Insights 提供程序。
一个网络安全组。 如果需要创建网络安全组,请参阅创建、更改或删除网络安全组。
一个 Azure 存储帐户。 如果需要创建存储帐户,请参阅使用 PowerShell 创建存储帐户。
注册 Insights 提供程序
必须注册 Microsoft.Insights 提供程序才能成功记录流经网络安全组的流量。 如果不确定是否已注册 Microsoft.Insights,可检查其状态:
在门户顶部的搜索框中,输入“订阅”。 在搜索结果中选择“订阅”。
在“订阅”中,选择要为其启用提供程序的 Azure 订阅。
在“设置”下,选择“资源提供程序”。
在筛选器框中输入“见解”。
确认显示的提供程序状态为“已注册”。 如果状态为“NotRegistered”,请选择“Microsoft.Insights”提供程序,然后选择“注册”。
创建流日志
为网络安全组创建流日志。 此 NSG 流日志会保存在 Azure 存储帐户中。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。
在“日志”下,选择“流日志”。
在“网络观察程序 | 流日志”,选择“+ 创建”或“创建流日志”蓝色按钮。
在“创建流日志”中输入或选择以下值:
设置 值 项目详细信息 订阅 选择要记录的网络安全组的 Azure 订阅。 网络安全组 选择“+ 选择资源”。
在“选择网络安全组”中,选择“myNSG”。 然后,选择“确认选择”。流日志名称 输入流日志的名称或保留默认名称。 myNSG-myResourceGroup-flowlog 是此示例的默认名称。 实例详细信息 订阅 选择存储帐户的 Azure 订阅。 存储帐户 选择要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。 保持期(天) 输入日志的保留时间。 如果要永久保留存储帐户中的流日志数据(直到将其从存储帐户中删除),请输入 0。 有关定价的详细信息,请参阅 Azure 存储定价。 注意
如果存储帐户位于不同的订阅中,则网络安全组和存储帐户必须与同一 Azure Active Directory 租户相关联。 用于每个订阅的帐户必须有必要的权限。
选择“查看 + 创建”。
检查设置,然后选择“创建”。
创建流日志和流量分析工作区
为网络安全组创建流日志并启用流量分析。 NSG 流日志保存在 Azure 存储帐户中。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。
在“日志”下,选择“流日志”。
在“网络观察程序 | 流日志”,选择“+ 创建”或“创建流日志”蓝色按钮。
在“创建流日志”中输入或选择以下值:
设置 值 项目详细信息 订阅 选择要记录的网络安全组的 Azure 订阅。 网络安全组 选择“+ 选择资源”。
在“选择网络安全组”中,选择“myNSG”。 然后,选择“确认选择”。流日志名称 输入流日志的名称或保留默认名称。 默认情况下,Azure 门户会在 NetworkWatcherRG 资源组中创建 {network-security-group}-{resource-group}-flowlog 流日志。 实例详细信息 订阅 选择存储帐户的 Azure 订阅。 存储帐户 选择要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。 保持期(天) 输入日志的保留时间。 如果要永久保留存储帐户中的流日志数据(直到将其从存储帐户中删除),请输入 0。 有关定价的详细信息,请参阅 Azure 存储定价。 注意
如果存储帐户位于不同的订阅中,则网络安全组和存储帐户必须与同一 Azure Active Directory 租户相关联。 用于每个订阅的帐户必须有必要的权限。
选择“下一步:分析”按钮,或选择“分析”选项卡。然后输入或选择以下值:
设置 值 流日志版本 选择流日志版本。 在使用 Azure 门户 创建流日志时,默认选择版本 2。 有关流日志版本的详细信息,请参阅 NSG 流日志的日志格式。 流量分析 启用流量分析 选中复选框,以为流日志启用流量分析。 流量分析处理间隔 选择所需的处理间隔,可用选项包括:每小时和每 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析。 订阅 选择 Log Analytics 工作区的 Azure 订阅。 Log Analytics 工作区 选择 Log Analytics 工作区。 默认情况下,Azure 门户会在 defaultresourcegroup-{Region} 资源组中创建并选择 DefaultWorkspace-{subscription-id}-{region} Log Analytics 工作区。 选择“查看 + 创建”。
检查设置,然后选择“创建”。
更改流日志
创建流日志后,可以更改其属性。 例如,可以更改流日志版本或禁用流量分析。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。
在“日志”下,选择“流日志”。
在“网络观察程序|流日志”中选择要更改的流日志。
在“流日志设置”中,可以更改以下任何设置:
- 流日志版本:更改流日志版本。 可用版本为:版本 1 和版本 2。 在使用 Azure 门户 创建流日志时,默认选择版本 2。 有关流日志版本的详细信息,请参阅 NSG 流日志的日志格式。
- 存储帐户:更改要保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
- 保留期(天):更改存储帐户中的保留时间。 如果要永久保留存储帐户中的流日志数据(直到手动将数据从存储帐户中删除),请输入 0。
- 流量分析:启用或禁用流日志的流量分析。 有关详细信息,请参阅流量分析。
- 流量分析处理间隔:更改流量分析的处理间隔(如果已启用流量分析)。 可用选项包括:1 小时和 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析。
- Log Analytics 工作区:更改要保存流日志的 Log Analytics 工作区(如果已启用流量分析)。
列出所有流日志
可以列出一个订阅或一组订阅中的所有流日志。 还可以列出某个区域中的所有流日志。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。
在“日志”下,选择“流日志”。
选择“订阅等于”筛选器,以选择一个或多个订阅。 可以应用“位置等于”等其他筛选器来列出某个区域的所有流日志。
查看流日志资源的详细信息
可以查看订阅或一组订阅中的流日志详细信息。 还可以列出某个区域中的所有流日志。
在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。
在“日志”下,选择“流日志”。
在“网络观察程序|流日志”中选择要查看的流日志。
在“流日志设置”中,可以查看流日志资源的设置。
下载流日志
流日志的存储位置是在创建时定义的。 若要从存储帐户访问和下载流日志,可以使用 Azure 存储资源管理器。 有关详细信息,请参阅存储资源管理器入门。
NSG 流日志文件保存到存储账户的路径为:
https://{storageAccountName}.blob.core.chinacloudapi.cn/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
有关流日志结构的信息,请参阅 NSG 流日志的日志格式。
禁用流日志
可以暂时禁用 NSG 流日志而不将其删除。 禁用流日志会停止关联网络安全组的流日志记录。 但是,流日志资源会保留其所有设置和关联。 可以随时重新启用它,以恢复对配置的网络安全组进行流日志记录。
备注
如果为流日志启用了流量分析,则必须先禁用流量分析,然后才能禁用流日志。 要禁用流量分析,请参阅更改流日志。
删除流日志
可以永久删除 NSG 流日志。 删除流日志会删除其所有设置和关联。 若要再次为同一网络安全组开始流日志记录,必须为其创建新的流日志。
备注
删除流日志不会从存储帐户中删除流日志数据。 存储在存储帐户中的流日志数据遵循配置的保留策略,或在手动删除前一直存储在存储帐户中(以防未配置保留策略)。
后续步骤
- 若要了解如何使用 Azure 内置策略来审核或部署 NSG 流日志,请参阅使用 Azure Policy 管理 NSG 流日志。
- 若要了解流量分析,请参阅流量分析。