使用 Azure 门户管理 NSG 流日志

网络安全组流日志记录是 Azure 网络观察程序的一项功能,可用于记录有关流经网络安全组的 IP 流量的信息。 有关网络安全组流日志记录的详细信息,请参阅 NSG 流日志概述

在本文中,你将了解如何使用 Azure 门户创建、更改、禁用或删除 NSG 流日志。 你可以了解如何使用 PowerShellAzure CLIREST APIARM 模板管理 NSG 流日志。

先决条件

注册 Insights 提供程序

必须注册 Microsoft.Insights 提供程序才能成功记录流经网络安全组的流量。 如果不确定是否已注册 Microsoft.Insights 提供程序,可以按照以下步骤检查其状态:

  1. 在门户顶部的搜索框中,输入“订阅”。 从搜索结果中选择“订阅”

    屏幕截图显示了如何在 Azure 门户中搜索“订阅”。

  2. 在“订阅”中,选择要为其启用提供程序的 Azure 订阅。

  3. 在“设置”下,选择“资源提供程序”。

  4. 在筛选器框中输入“见解”。

  5. 确认显示的提供程序状态为“已注册”。 如果状态为“NotRegistered”,请选择“Microsoft.Insights”提供程序,然后选择“注册”。

    在 Azure 门户中注册 Azure Insights 提供程序的屏幕截图。

创建流日志

为网络安全组创建流日志。 此 NSG 流日志会保存在 Azure 存储帐户中。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序 | 流日志”,选择“+ 创建”或“创建流日志”蓝色按钮。

    Azure 门户中“流日志”页的屏幕截图。

  4. 在“创建流日志”中输入或选择以下值:

    设置
    项目详细信息
    订阅 选择要记录的网络安全组的 Azure 订阅。
    网络安全组 选择 + 选择目标资源,然后选择“网络安全组”
    选择要启用流日志的网络安全组,然后选择“确认选择”
    流日志名称 输入流日志的名称或保留默认名称。 Azure 门户使用 {ResourceName}-{ResourceGroupName}-flowlog 作为流日志的默认名称myNSG-myResourceGroup-flowlog 是本文中使用的默认名称。
    实例详细信息
    订阅 选择存储帐户的 Azure 订阅。
    存储帐户 选择要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
    保持期(天) 输入日志的保留时间(此选项仅适用于标准常规用途 v2 存储帐户)。 如果要永久保留存储帐户中的流日志数据(直到将其从存储帐户中删除),请输入 0。 有关定价的详细信息,请参阅 Azure 存储定价

    在 Azure 门户中创建 NSG 流日志的屏幕截图。

    注意

    如果存储帐户位于不同的订阅中,则网络安全组和存储帐户必须与同一 Microsoft Entra 租户相关联。 用于每个订阅的帐户必须有必要的权限

  5. 若要启用流量分析,请选择“下一步: 分析”按钮,或选择“分析”选项卡。输入或选择下列值:

    设置
    流日志版本 选择网络安全组流日志的版本,可用选项包括:版本 1 和 版本 2。 默认版本为版本 2。 有关详细信息,请参阅网络安全组的流日志记录
    启用流量分析 选中复选框,以为流日志启用流量分析。
    流量分析处理间隔 选择所需的处理间隔,可用选项包括:每小时每 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析
    订阅 选择 Log Analytics 工作区的 Azure 订阅。
    Log Analytics 工作区 选择 Log Analytics 工作区。 默认情况下,Azure 门户会在 defaultresourcegroup-{Region} 资源组中创建 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作区

    屏幕截图显示了如何在 Azure 门户中为新流日志启用流量分析。

    注意

    若要创建并选择除默认工作区以外的 Log Analytics 工作区,请参阅创建 Log Analytics 工作区

  6. 选择“查看 + 创建”。

  7. 检查设置,然后选择创建

启用或禁用流量分析

为流日志启用流量分析以分析流日志数据。 流量分析提供对流量模式的见解。 可以随时为流日志启用或禁用流量分析。

若要为流日志启用流量分析,请执行以下步骤:

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序 | 流日志”中,选择要启用流量分析的流日志

  4. 在“流日志设置”中,选中“启用流量分析”复选框

    屏幕截图显示了如何在 Azure 门户中为现有流日志启用流量分析。

  5. 选择以下值:

    设置
    订阅 选择 Log Analytics 工作区的 Azure 订阅。
    Log Analytics 工作区 选择 Log Analytics 工作区。 默认情况下,Azure 门户会在 defaultresourcegroup-{Region} 资源组中创建 DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics 工作区
    流量日志记录间隔 选择所需的处理间隔,可用选项包括:每小时每 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析

    屏幕截图显示了在 Azure 门户中为现有流日志配置流量分析。

  6. 选择“保存”应用所做的更改。

若要为流日志禁用流量分析,请执行前面的步骤 1-3,然后取消选中“启用流量分析”复选框,并选择“保存”

屏幕截图显示了如何在 Azure 门户中为现有流日志禁用流量分析。

更改流日志设置

创建流日志后,可以更改其设置。 例如,可以更改流日志版本或禁用流量分析。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中选择要更改的流日志。

  4. 在“流日志设置”中,可以更改以下任何设置:

    设置
    存储帐户
    订阅 更改要使用的存储帐户的 Azure 订阅。
    存储帐户 更改要在其中保存流日志的存储帐户。 如果要创建新的存储帐户,可选择“新建存储帐户”。
    保持期(天) 更改存储帐户中的保留时间。 如果要永久保留存储帐户中的流日志数据(直到手动将数据从存储帐户中删除),请输入 0
    流量分析
    启用流量分析 通过选中或取消选中复选框来启用或禁用流量分析。
    订阅 更改要使用的 Log Analytics 工作区的 Azure 订阅。
    Log Analytics 工作区 更改要保存流日志的 Log Analytics 工作区(如果已启用流量分析)。
    流量日志记录间隔 更改流量分析的处理间隔(如果已启用流量分析)。 可用选项包括:1 小时和 10 分钟。 默认处理间隔为每小时。 有关详细信息,请参阅流量分析

    屏幕截图显示了如何在 Azure 门户中编辑流日志设置(可在其中更改一些虚拟网络流日志设置)。

  5. 选择“保存”以应用所做的更改,或选择“取消”退出而不保存所做的更改。

列出所有流日志

可以列出一个订阅或一组订阅中的所有流日志。 还可以列出某个区域中的所有流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 选择“订阅等于”筛选器,以选择一个或多个订阅。 可以应用“位置等于”等其他筛选器来列出某个区域的所有流日志。

    屏幕截图显示了如何通过 Azure 门户使用筛选器列出订阅中的所有现有流日志。

查看流日志资源的详细信息

可以查看订阅或一组订阅中的流日志详细信息。 还可以列出某个区域中的所有流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中选择要查看的流日志。

  4. 在“流日志设置”中,可以查看流日志资源的设置。

    Azure 门户中“流日志设置”页的屏幕截图。

  5. 选择“取消”关闭设置页,无需进行更改

下载流日志

流日志的存储位置是在创建时定义的。 若要从存储帐户访问和下载流日志,可以使用 Azure 存储资源管理器。 有关详细信息,请参阅存储资源管理器入门

NSG 流日志文件保存到存储账户的路径为:

https://{storageAccountName}.blob.core.chinacloudapi.cn/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

有关流日志结构的信息,请参阅 NSG 流日志的日志格式

禁用流日志

可以暂时禁用 NSG 流日志而不将其删除。 禁用流日志会停止关联网络安全组的流日志记录。 但是,流日志资源会保留其所有设置和关联。 可以随时重新启用它,以恢复对配置的网络安全组进行流日志记录。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中,选择要禁用的流日志的复选框。

  4. 选择“禁用”。

    屏幕截图显示了如何在 Azure 门户中禁用流日志。

注意

如果为流日志启用了流量分析,则必须先禁用流量分析,然后才能禁用流日志。 要禁用流量分析,请参阅更改流日志

删除流日志

可以永久删除 NSG 流日志。 删除流日志会删除其所有设置和关联。 若要再次为同一网络安全组开始流日志记录,必须为其创建新的流日志。

  1. 在门户顶部的搜索框中,输入“网络观察程序”。 在搜索结果中,选择“网络观察程序”。

  2. 在“日志”下,选择“流日志”。

  3. 在“网络观察程序|流日志”中,选择要删除的流日志的复选框。

  4. 选择“删除”。

    屏幕截图显示了如何在 Azure 门户中删除流日志。

备注

删除流日志不会从存储帐户中删除流日志数据。 存储在存储帐户中的流日志数据遵循配置的保留策略,或在手动删除前一直存储在存储帐户中(以防未配置保留策略)。