Sdílet prostřednictvím

Kurz: Protokolování síťového provozu do a z virtuálního počítače pomocí webu Azure Portal

  • Článek

Důležité

Protokoly toku skupiny zabezpečení sítě (NSG) budou vyřazeny 30. září 2027. V rámci tohoto vyřazení už nebudete moct vytvářet nové protokoly toku NSG počínaje 30. červnem 2025. Doporučujeme přejít na protokoly toku virtuální sítě, které překonávají omezení protokolů toku NSG. Po datu vyřazení se už nebudou podporovat analýzy provozu s protokoly toků NSG a stávající prostředky protokolů toku NSG ve vašich předplatných se odstraní. Záznamy protokolů toku NSG se ale neodstraní a budou dál dodržovat příslušné zásady uchovávání informací. Další informace najdete v oficiálním oznámení.

Protokolování toku provozu ve skupině zabezpečení sítě je funkcí služby Azure Network Watcher, která umožňuje protokolovat informace o IP provozu procházejícím skupinou zabezpečení sítě. Další informace o protokolování toku skupin zabezpečení sítě najdete v přehledu protokolů toku NSG.

Tento kurz vám pomůže použít protokoly toku NSG k protokolování síťového provozu virtuálního počítače, který prochází skupinou zabezpečení sítě přidruženou k jeho síťovému rozhraní.

Diagram znázorňuje prostředky vytvořené během kurzu.

V tomto kurzu se naučíte:

  • Vytvoření virtuální sítě
  • Vytvoření virtuálního počítače se skupinou zabezpečení sítě přidruženou k jeho síťovému rozhraní
  • Registrace poskytovatele Microsoft.insights
  • Povolení protokolování toku pro skupinu zabezpečení sítě s využitím protokolů toku nástroje Network Watcher.
  • Stáhnout data protokolu
  • Zobrazit data protokolu

Požadavky

  • Účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť myVNet s jednou podsítí pro virtuální počítač.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte virtuální sítě. Ve výsledcích hledání vyberte virtuální sítě .

    Snímek obrazovky, který ukazuje, jak hledat virtuální sítě na webu Azure Portal

  3. Vyberte + Vytvořit. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Vytvořit nový.
    Do názvu zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte myVNet.
    Oblast Vyberte USA – východ.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte nastavení a pak vyberte Vytvořit.

Vytvoření virtuálního počítače

V této části vytvoříte virtuální počítač myVM .

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítače. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte + Vytvořit a pak vyberte virtuální počítač Azure.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název virtuálního stroje Zadejte myVM.
    Oblast Vyberte USA – východ.
    Možnosti dostupnosti Vyberte Žádná nutná redundantní infrastruktura.
    Typ zabezpečení Vyberte položku Standardní.
    Obrázek Vyberte Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Velikost Zvolte velikost nebo ponechte výchozí nastavení.
    Účet správce
    Username Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.

  4. Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.

  5. Na kartě Sítě vyberte následující hodnoty:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte myVNet.
    Podsíť Vyberte mySubnet.
    Veřejná IP adresa Vyberte (nový) myVM-ip.
    Skupina zabezpečení síťového adaptéru Vyberte Basic. Toto nastavení vytvoří skupinu zabezpečení sítě s názvem myVM-nsg a přidruží ji k síťovému rozhraní virtuálního počítače myVM .
    Veřejné příchozí porty Vyberte Povolit vybrané porty.
    Vyberte příchozí porty Vyberte RDP (3389).

    Upozornění

    Pro testování se doporučuje nechat port RDP otevřený na internetu. V produkčních prostředích se doporučuje omezit přístup k portu RDP na konkrétní IP adresu nebo rozsah IP adres. Můžete také zablokovat přístup k internetu k portu RDP a pomocí služby Azure Bastion se bezpečně připojit k virtuálnímu počítači z webu Azure Portal.

  6. Vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a pak vyberte Vytvořit.

  8. Po dokončení nasazení vyberte Přejít k prostředku a otevře se stránka Přehled pro myVM.

  9. Vyberte Připojit a pak vyberte RDP.

  10. Vyberte Stáhnout soubor RDP a otevřete stažený soubor.

  11. Vyberte Připojit a zadejte uživatelské jméno a heslo, které jste vytvořili v předchozích krocích. Pokud se zobrazí výzva, přijměte certifikát.

Registrace poskytovatele Insights

Protokolování toku NSG vyžaduje poskytovatele Microsoft.Insights. Pokud chcete zkontrolovat jeho stav, postupujte takto:

  1. Do vyhledávacího pole v horní části portálu zadejte předplatná. Ve výsledcích hledání vyberte Předplatná .

  2. Vyberte předplatné Azure, pro které chcete povolit poskytovatele v předplatných.

  3. V části Nastavení vašeho předplatného vyberte poskytovatele prostředků.

  4. Do pole filtru zadejte přehled .

  5. Ověřte, že stav poskytovatele uvedený je registrovaný. Pokud je stav NotRegistered, vyberte poskytovatele Microsoft.Insights a pak vyberte Zaregistrovat.

    #B0 #A1 #A2 #A3 Snímek obrazovky, který ukazuje, jak zaregistrovat poskytovatele Microsoft Insights v Azure Portal. #A4 #A5 #A6 #C7

Vytvoření účtu úložiště

V této části vytvoříte účet úložiště, abyste ho použili k ukládání protokolů toku.

  1. Do vyhledávacího pole v horní části portálu zadejte úložiště účty. Vyberte Účty úložiště z výsledků vyhledávání.

  2. Vyberte + Vytvořit. V Vytvořit účet úložiště zadejte nebo vyberte na kartě Základy následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název účtu úložiště Zadejte jedinečný název. Tento kurz používá mynwstorageaccount.
    Oblast Vyberte USA – východ. Účet úložiště musí být ve stejné oblasti jako virtuální počítač a jeho skupina zabezpečení sítě.
    Výkon Vyberte položku Standardní. Protokoly toku NSG podporují pouze účty úložiště úrovně Standard.
    Redundance Vyberte místně redundantní úložiště (LRS) nebo jinou strategii replikace, která odpovídá vašim požadavkům na stálost.

  3. Vyberte kartu Revize nebo vyberte tlačítko Revize v dolní části.

  4. Zkontrolujte nastavení a pak vyberte Vytvořit.

Vytvořte protokol toku NSG

V této části vytvoříte protokol toku NSG, který se uloží do účtu úložiště vytvořeného dříve v tomto kurzu.

  1. Do vyhledávacího pole portálu v horní části zadejte Network Watcher. Ve výsledcích hledání vyberte Network Watcher .

  2. V části Protokoly vyberte Protokoly toku.

  3. Ve službě Network Watcher | Protokoly toků vyberte modré tlačítko + Vytvořit nebo Vytvořit protokol toku.

    Snímek obrazovky stránky s protokoly toku v Azure portálu

  4. V Vytvoření protokolu toku zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte předplatné Azure pro skupinu zabezpečení sítě, kterou chcete zaznamenat.
    Skupina zabezpečení sítě Vyberte a vyberte prostředek.
    Vyberte skupinu zabezpečení sítě a zvolte myVM-nsg. Pak vyberte Potvrdit výběr.
    Název protokolu toku Ponechte výchozí hodnotu myVM-nsg-myResourceGroup-flowlog.
    Podrobnosti o instanci
    Předplatné Vyberte předplatné Azure pro váš účet úložiště.
    Účty úložiště Vyberte účet úložiště, který jste vytvořili v předchozích krocích. Tento kurz používá mynwstorageaccount.
    Doba uchování (dny) Zadáním 0 zachovejte data protokolů toku v účtu úložiště navždy (dokud je neodstraníte z účtu úložiště). Pokud chcete použít zásady uchovávání informací, zadejte dobu uchovávání ve dnech. Informace o cenách úložiště najdete v tématu Ceny služby Azure Storage.

    Snímek obrazovky se stránkou pro vytvoření protokolu toku NSG na webu Azure Portal

    Poznámka:

    Azure Portal vytvoří protokoly toku NSG ve skupině prostředků NetworkWatcherRG .

  5. Vyberte Zkontrolovat + vytvořit.

  6. Zkontrolujte nastavení a pak vyberte Vytvořit.

  7. Po dokončení nasazení vyberte Přejít k prostředku a potvrďte vytvořený protokol toku uvedený na stránce protokoly toku.

    Snímek obrazovky se stránkou Protokoly toku v Azure portálu zobrazující nově vytvořený protokol toku.

  8. Vraťte se k relaci RDP s virtuálním počítačem myVM .

  9. Otevřete Microsoft Edge a přejděte na www.bing.com.

Stažení protokolu toku

V této části přejdete k dříve vybranému účtu úložiště a stáhnete protokol toku NSG vytvořený v předchozí části.

  1. Do vyhledávacího pole v horní části portálu zadejte úložiště účty. Vyberte Účty úložiště z výsledků hledání.

  2. Vyberte mynwstorageaccount nebo účet úložiště, který jste předtím vytvořili a vybrali pro uložení protokolů.

  3. V části Úložiště dat vyberte Kontejnery.

  4. Vyberte kontejner „insights-logs-networksecuritygroupflowevent“.

  5. V kontejneru přejděte do hierarchie složek, dokud se nedostanete k PT1H.json souboru. Soubory protokolu NSG se zapisují do hierarchie složek, která se řídí následující konvencí pojmenování:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. Vyberte tři tečky ... napravo od PT1H.json souboru a pak vyberte Stáhnout.

    Snímek obrazovky znázorňující, jak stáhnout protokol toku NSG z kontejneru účtu úložiště na webu Azure Portal

Poznámka:

K přístupu a stahování protokolů toku z účtu úložiště můžete použít Průzkumník služby Azure Storage. Další informace najdete v tématu Začínáme se Storage Explorerem.

Zobrazení protokolu toku

Otevřete stažený PT1H.json soubor pomocí textového editoru podle vašeho výběru. Následující příklad je oddíl převzatý ze staženého PT1H.json souboru, který ukazuje tok zpracovaný pravidlem DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Informace oddělené čárkami pro flowTuples jsou následující:

Příklad dat Co data představují Vysvětlení
1677455097 Časová značka Časové razítko výskytu toku ve formátu UNIX EPOCH. V předchozím příkladu se datum převede na 26. února 2023 11:44:57 UTC/GMT.
10.0.0.4 Zdrojová IP adresa Zdrojová IP adresa, ze které tok pocházel. 10.0.0.4 je privátní IP adresa virtuálního počítače, který jste vytvořili dříve.
13.107.21.200 Cílová IP adresa Cílová IP adresa, na kterou byl tok určen. 13.107.21.200 je IP adresa www.bing.com. Vzhledem k tomu, že provoz je určený mimo Azure, zpracovalo tok bezpečnostní pravidlo DefaultRule_AllowInternetOutBound.
49982 Zdrojový port Zdrojový port, ze které tok pocházel.
443 Cílový port Cílový port, do kterého tok mířil.
T Protokol Protokol toku. T: TCP.
O Směr Směr toku. O: Odchozí.
A Rozhodnutí Rozhodnutí učiněné bezpečnostním pravidlem. A: Povoleno.
C Flow State pouze verze 2 Stav toku. C: Pokračování v kontinuálním procesu.
7 Pakety odesílané pouze verze 2 Celkový počet paketů TCP od poslední aktualizace odesílaných do cíle.
1158 Odeslané bajty pouze verze 2 Celkový počet bajtů paketů TCP od poslední aktualizace odesílaných ze zdroje do cíle. Bajty paketů zahrnují hlavičku paketu a datovou část.
12 Pakety přijaté pouze verze 2 Celkový počet paketů TCP přijatých z cíle od poslední aktualizace.
8143 Přijaté bajty pouze verze 2 Celkový počet bajtů paketů TCP přijatých z cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Uvolnění prostředků

Pokud už ji nepotřebujete, odstraňte skupinu prostředků myResourceGroup a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Ve výsledcích hledání vyberte myResourceGroup .

  2. Vyberte Odstranit skupinu prostředků.

  3. V Odstranit skupinu prostředků zadejte myResourceGroup a poté vyberte Odstranit.

  4. Výběrem možnosti Odstranit potvrďte odstranění skupiny prostředků a všech jejích prostředků.

Poznámka:

Protokol toku myVM-nsg-myResourceGroup-flowlog je ve skupině prostředků NetworkWatcherRG , ale odstraní se po odstranění skupiny zabezpečení sítě myVM-nsg (odstraněním skupiny prostředků myResourceGroup ).

Související obsah

  • Další informace o protokolech toku NSG najdete v tématu Protokolování toku pro skupiny zabezpečení sítě.
  • Informace o vytváření, změnách, povolení, zakázání nebo odstraňování protokolů toku NSG najdete v tématu Správa protokolů toku NSG.
  • Další informace o analýze provozu najdete v přehledu analýzy provozu.