使用 Azure 门户管理 NSG 流日志

  • 项目

网络安全组流日志记录是 Azure 网络观察程序的一项功能,可用于记录有关流经网络安全组的 IP 流量的信息。 有关网络安全组流日志记录的详细信息,请参阅 NSG 流日志概述

在本文中,你将了解如何使用 Azure 门户创建、更改、禁用或删除 NSG 流日志。 你可以了解如何使用 PowerShellAzure CLIREST APIARM 模板管理 NSG 流日志。

先决条件

注册 Insights 提供程序

必须注册 Microsoft.Insights 提供程序才能成功记录流经网络安全组的流量。 如果不确定是否已注册 Microsoft.Insights,可检查其状态:

  1. 在门户顶部的搜索框中,输入“订阅”。 在搜索结果中选择“订阅”。

  2. 在“订阅”中,选择要为其启用提供程序的 Azure 订阅。

  3. 在“设置”下,选择“资源提供程序”。

  4. 在筛选器框中输入“见解”。

  5. 确认显示的提供程序状态为“已注册”。 如果状态为“NotRegistered”,请选择“Microsoft.Insights”提供程序,然后选择“注册”。

    在 Azure 门户中注册 Azure Insights 提供程序的屏幕截图。

创建流日志

为网络安全组创建流日志。 此 NSG 流日志会保存在 Azure 存储帐户中。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序 | 流日志”,选择“+ 创建”或“创建流日志”蓝色按钮。

    Azure 门户中“流日志”页的屏幕截图。

  4. 在“创建流日志”中输入或选择以下值:

    设置
    项目详细信息
    订阅 选择要记录的网络安全组的 Azure 订阅。
    网络安全组 选择“+ 选择资源”。
    在“选择网络安全组”中,选择“myNSG”。 然后,选择“确认选择”。
    流日志名称 输入流日志的名称或保留默认名称。 myNSG-myResourceGroup-flowlog 是此示例的默认名称。
    实例详细信息
    订阅 选择存储帐户的 Azure 订阅。
    存储帐户 选择要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
    保持期(天) 输入日志的保留时间。 如果要永久保留存储帐户中的流日志数据(直到将其从存储帐户中删除),请输入 0。 有关定价的详细信息,请参阅 Azure 存储定价

    在 Azure 门户中创建 NSG 流日志的屏幕截图。

    注意

    如果存储帐户位于不同的订阅中,则网络安全组和存储帐户必须与同一 Azure Active Directory 租户相关联。 用于每个订阅的帐户必须有必要的权限

  5. 选择“查看 + 创建”。

  6. 检查设置,然后选择“创建”。

创建流日志和流量分析工作区

为网络安全组创建流日志并启用流量分析。 NSG 流日志保存在 Azure 存储帐户中。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序 | 流日志”,选择“+ 创建”或“创建流日志”蓝色按钮。

    Azure 门户中“流日志”页的屏幕截图。

  4. 在“创建流日志”中输入或选择以下值:

    设置
    项目详细信息
    订阅 选择要记录的网络安全组的 Azure 订阅。
    网络安全组 选择“+ 选择资源”。
    在“选择网络安全组”中,选择“myNSG”。 然后,选择“确认选择”。
    流日志名称 输入流日志的名称或保留默认名称。 默认情况下,Azure 门户会在 NetworkWatcherRG 资源组中创建 {network-security-group}-{resource-group}-flowlog 流日志。
    实例详细信息
    订阅 选择存储帐户的 Azure 订阅。
    存储帐户 选择要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
    保持期(天) 输入日志的保留时间。 如果要永久保留存储帐户中的流日志数据(直到将其从存储帐户中删除),请输入 0。 有关定价的详细信息,请参阅 Azure 存储定价

    在 Azure 中创建流日志的“基本信息”选项卡屏幕截图。

    注意

    如果存储帐户位于不同的订阅中,则网络安全组和存储帐户必须与同一 Azure Active Directory 租户相关联。 用于每个订阅的帐户必须有必要的权限

  5. 选择“下一步:分析”按钮,或选择“分析”选项卡。然后输入或选择以下值:

    设置
    流日志版本 选择流日志版本。 在使用 Azure 门户 创建流日志时,默认选择版本 2。 有关流日志版本的详细信息,请参阅 NSG 流日志的日志格式
    流量分析
    启用流量分析 选中复选框,以为流日志启用流量分析。
    流量分析处理间隔 选择所需的处理间隔,可用选项包括:每小时每 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析
    订阅 选择 Log Analytics 工作区的 Azure 订阅。
    Log Analytics 工作区 选择 Log Analytics 工作区。 默认情况下,Azure 门户会在 defaultresourcegroup-{Region} 资源组中创建并选择 DefaultWorkspace-{subscription-id}-{region} Log Analytics 工作区。

    在 Azure 门户中为流日志启用流量分析的屏幕截图。

  6. 选择“查看 + 创建”。

  7. 检查设置,然后选择“创建”。

更改流日志

创建流日志后,可以更改其属性。 例如,可以更改流日志版本或禁用流量分析。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中选择要更改的流日志。

  4. 在“流日志设置”中,可以更改以下任何设置:

    • 流日志版本:更改流日志版本。 可用版本为:版本 1 和版本 2。 在使用 Azure 门户 创建流日志时,默认选择版本 2。 有关流日志版本的详细信息,请参阅 NSG 流日志的日志格式
    • 存储帐户:更改要保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
    • 保留期(天):更改存储帐户中的保留时间。 如果要永久保留存储帐户中的流日志数据(直到手动将数据从存储帐户中删除),请输入 0
    • 流量分析:启用或禁用流日志的流量分析。 有关详细信息,请参阅流量分析
    • 流量分析处理间隔:更改流量分析的处理间隔(如果已启用流量分析)。 可用选项包括:1 小时和 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析
    • Log Analytics 工作区:更改要保存流日志的 Log Analytics 工作区(如果已启用流量分析)。

    Azure 门户中“流日志设置”页(可在其中更改一些设置)的屏幕截图。

列出所有流日志

可以列出一个订阅或一组订阅中的所有流日志。 还可以列出某个区域中的所有流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 选择“订阅等于”筛选器,以选择一个或多个订阅。 可以应用“位置等于”等其他筛选器来列出某个区域的所有流日志。

    屏幕截图显示了如何通过 Azure 门户使用筛选器列出订阅中的所有现有流日志。

查看流日志资源的详细信息

可以查看订阅或一组订阅中的流日志详细信息。 还可以列出某个区域中的所有流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中选择要查看的流日志。

  4. 在“流日志设置”中,可以查看流日志资源的设置。

    Azure 门户中“流日志设置”页的屏幕截图。

下载流日志

流日志的存储位置是在创建时定义的。 若要从存储帐户访问和下载流日志,可以使用 Azure 存储资源管理器。 有关详细信息,请参阅存储资源管理器入门

NSG 流日志文件保存到存储账户的路径为:

https://{storageAccountName}.blob.core.chinacloudapi.cn/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

有关流日志结构的信息,请参阅 NSG 流日志的日志格式

禁用流日志

可以暂时禁用 NSG 流日志而不将其删除。 禁用流日志会停止关联网络安全组的流日志记录。 但是,流日志资源会保留其所有设置和关联。 可以随时重新启用它,以恢复对配置的网络安全组进行流日志记录。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中,选择要禁用的流日志的复选框。

  4. 选择“禁用”。

    屏幕截图显示了如何在 Azure 门户中禁用流日志。

备注

如果为流日志启用了流量分析,则必须先禁用流量分析,然后才能禁用流日志。 要禁用流量分析,请参阅更改流日志

删除流日志

可以永久删除 NSG 流日志。 删除流日志会删除其所有设置和关联。 若要再次为同一网络安全组开始流日志记录,必须为其创建新的流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中,选择要删除的流日志的复选框。

  4. 选择“删除”。

    屏幕截图显示了如何在 Azure 门户中删除流日志。

备注

删除流日志不会从存储帐户中删除流日志数据。 存储在存储帐户中的流日志数据遵循配置的保留策略,或在手动删除前一直存储在存储帐户中(以防未配置保留策略)。

后续步骤