Erstellen, Ändern, Aktivieren, Deaktivieren oder Löschen von Datenflussprotokollen für virtuelle Netzwerke mithilfe der Azure-Befehlszeilenschnittstelle

Die Datenflussprotokollierung für virtuelle Netzwerke ist eine Funktion von Azure Network Watcher, mit der Sie Informationen zu IP-Datenverkehr protokollieren können, der eine Netzwerksicherheitsgruppe durchläuft. Weitere Informationen zur Datenflussprotokollierung für virtuelle Netzwerke finden Sie in der Übersicht über VNet-Datenflussprotokolle.

In diesem Artikel erfahren Sie, wie Sie mithilfe der Azure-Befehlszeilenschnittstelle (Command Line Interface, CLI) ein Datenflussprotokoll für ein virtuelles Netzwerk (VNet) erstellen, ändern, deaktivieren oder löschen. Lesen Sie ggf. auch die Artikel zum Verwalten eines VNet-Datenflussprotokolls im Azure-Portal oder mit PowerShell.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

• Insights-Anbieter. Weitere Informationen finden Sie unter Registrieren von Insights-Anbietern.

• Ein virtuelles Netzwerk Wenn Sie ein virtuelles Netzwerk erstellen müssen, finden Sie unter Erstellen eines virtuellen Netzwerks weitere Informationen.

• Ein Azure-Speicherkonto. Informationen zum Erstellen eines Speicherkontos finden Sie unter Speicherkonto mithilfe von Azure CLI erstellen.

• Azure Cloud Shell oder Azure CLI.

  In den Schritten diesem Artikel werden die Azure CLI-Befehle interaktiv in Azure Cloud Shell ausgeführt. Um die Befehle in Cloud Shell auszuführen, wählen Sie in der oberen rechten Ecke eines Codeblocks Cloud Shell öffnen aus. Wählen Sie Kopieren aus, um den Code zu kopieren, und fügen Sie ihn in Cloud Shell ein, um ihn auszuführen. Sie können Azure Cloud Shell innerhalb des Azure-Portals starten.

  Sie können die Azure CLI auch lokal installieren, um die Befehle auszuführen. Für diesen Artikel ist die Azure CLI-Version 2.39.0 oder höher erforderlich. Führen Sie den Befehl az --version aus, um die installierte Version zu ermitteln. Wenn Sie die Azure CLI lokal ausführen, melden Sie sich mit dem Befehl az login bei Azure an.

Registrieren von Insights-Anbietern

Der Microsoft.Insights-Anbieter muss registriert sein, um den Datenverkehr erfolgreich in einem virtuellen Netzwerk protokollieren zu können. Wenn Sie nicht sicher sind, ob der Microsoft.Insights-Anbieter registriert ist, verwenden Sie az provider register, um ihn zu registrieren.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

Aktivieren von VNet-Datenflussprotokollen

Verwenden Sie az network watcher flow-log create, um ein VNet-Datenflussprotokoll zu erstellen.

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet myVNet --storage-account 'myStorageAccount'

# Create a VNet flow log (storage account is in a different resource group from the virtual network).
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet myVNet --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'

Aktivieren von VNet-Datenflussprotokollen und Datenverkehrsanalysen

Verwenden Sie az monitor log-analytics workspace create, um einen Arbeitsbereich für die Datenverkehrsanalyse zu erstellen, und erstellen Sie dann mit az network watcher flow-log create ein VNet-Datenflussprotokoll, das diesen Arbeitsbereich verwendet.

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --workspace 'myWorkspace' --interval 10 --traffic-analytics true

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10 --traffic-analytics true

Auflisten aller Datenflussprotokolle in einer Region

Verwenden Sie az network watcher flow-log list, um alle Datenflussprotokollressourcen in einer bestimmten Region in Ihrem Abonnement aufzulisten.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Anzeigen einer VNet-Datenflussprotokollressource

Verwenden Sie az network watcher flow-log show, um Details zu einer Datenflussprotokoll-Ressource anzuzeigen.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Herunterladen eines Flowprotokolls

Um VNet-Datenflussprotokolle aus Ihrem Speicherkonto herunterzuladen, verwenden Sie den Befehl az storage blob download.

VNet-Datenflussprotokolldateien werden im Speicherkonto unter dem folgenden Pfad gespeichert:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Hinweis

Sie können auch mithilfe des Azure Storage-Explorers auf VNet-Datenflussprotokolldateien zugreifen und diese aus dem Speicherkontocontainer herunterladen. Storage-Explorer ist eine eigenständige App, mit der Sie bequem auf Azure Storage-Daten zugreifen und diese verwenden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Storage-Explorer.

Deaktivieren der Datenverkehrsanalyse für die Datenflussprotokollressource

Verwenden Sie az network watcher flow-log update, um die Datenverkehrsanalyse für die Datenflussprotokollressource zu deaktivieren und weiterhin VNet-Datenflussprotokolle zu generieren und in einem Speicherkonto zu speichern.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

Löschen einer VNet-Datenflussprotokollressource

Verwenden Sie az network watcher flow-log delete, um eine VNet-Datenflussprotokollressource zu löschen.

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'

Zugehöriger Inhalt

• Weitere Informationen zur Datenverkehrsanalyse finden Sie unter Azure Network Watcher-Datenverkehrsanalysen.
• Informationen zum Verwenden integrierter Azure-Richtlinien zum Überwachen oder Aktivieren von Datenverkehrsanalysen finden Sie unter Verwalten von Datenverkehrsanalysen mit Azure Policy.