Ereignisprotokolloptionen für Azure Virtual Network Manager
Azure Virtual Network Manager verwendet Azure Monitor für die Datensammlung und -analyse wie viele andere Azure-Dienste. Azure Virtual Network Manager stellt Ereignisprotokolle für jeden Netzwerk-Manager bereit. Sie können Ereignisprotokolle mit dem Protokollanalysetool von Azure Monitor im Azure-Portal bzw. über ein Speicherkonto speichern und anzeigen. Sie können diese Protokolle auch an eine Event Hub- oder Partnerlösung senden.
Unterstützte Protokollkategorien
Azure Virtual Network Manager stellt derzeit die folgenden Protokollkategorien bereit:
- Änderung der Netzwerkgruppenmitgliedschaft
- Nachverfolgen, wenn die Netzwerkgruppenmitgliedschaft eines bestimmten virtuellen Netzwerks geändert wird. Mit anderen Worten: Es wird ein Protokoll erstellt, wenn ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder aus ihr entfernt wird. Diese Funktion kann verwendet werden, um Änderungen der Netzwerkgruppenmitgliedschaft im Laufe der Zeit nachzuverfolgen und eine Momentaufnahme der Netzwerkgruppenmitgliedschaft eines bestimmten virtuellen Netzwerks zu erfassen.
- Regelsammlungsänderung
- Nachverfolgen, wenn sich die Gruppe der angewendeten Sicherheitsadministrator-Regelsammlungen eines bestimmten virtuellen Netzwerks ändert. Für jede Regelsammlung, die für ein virtuelles Netzwerk über die Netzwerkgruppe bereitgestellt wird, wird ein Protokoll ausgegeben, auf das die Regelsammlung ausgerichtet ist. Jede Entfernung einer Regelsammlung aus einer Netzwerkgruppe über einen Bereitstellungsprozess führt ebenfalls zu einem Protokoll für jedes betroffene virtuelle Netzwerk. Dieses Schema kann verwendet werden, um zu verfolgen, welche Regelsammlungen im Laufe der Zeit in einem bestimmten virtuellen Netzwerk bereitgestellt wurden.
- Wenn ein virtuelles Netzwerk Sicherheitsadministrator-Regelsammlungen von mehreren Netzwerk-Managern empfängt, werden Protokolle separat für jeden Netzwerk-Manager für die jeweiligen Regelsammlungsänderungen ausgegeben.
- Wenn ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder daraus entfernt wird, für die bereits Regelsammlungen bereitgestellt wurden, wird ein Protokoll für dieses virtuelle Netzwerk mit dem Status der angewendeten Regelsammlungen ausgegeben.
- Ändern der Konnektivitätskonfiguration
- Verfolgen Sie, wann sich die angewendeten Konnektivitätskonfigurationen eines bestimmten virtuellen Netzwerks ändern. Für jede in einem virtuellen Netzwerk bereitgestellte Konnektivitätskonfiguration wird über die Netzwerkgruppe, auf die die Konfiguration ausgerichtet ist, ein Protokoll ausgegeben. Jede Entfernung einer Konnektivitätskonfiguration aus einer Netzwerkgruppe oder umgekehrt über einen Bereitstellungsprozess führt auch zu einem Protokoll für jedes betroffene virtuelle Netzwerk. Dieses Schema kann verwendet werden, um zu verfolgen, welche Konnektivitätskonfigurationen und zugehörigen Topologietypen im Laufe der Zeit in einem bestimmten virtuellen Netzwerk bereitgestellt wurden.
- Wenn ein virtuelles Netzwerk Konnektivitätskonfigurationen von mehreren Netzwerk-Managern empfängt, werden die Protokolle für jeden Netzwerk-Manager separat für die jeweiligen Konfigurationsänderungen ausgegeben.
- Wenn ein virtuelles Netzwerk einer Netzwerkgruppe, für die bereits Regelsammlungen bereitgestellt wurden, hinzugefügt oder daraus entfernt wird, wird ein Protokoll für dieses virtuelle Netzwerk mit dem Status der angewendeten Konnektivitätskonfiguration(en) ausgegeben.
Änderung der Attribute der Netzwerkgruppenmitgliedschaft
Diese Kategorie gibt ein Protokoll pro Änderung der Netzwerkgruppenmitgliedschaft aus. Wenn also ein virtuelles Netzwerk einer Netzwerkgruppe hinzugefügt oder daraus entfernt wird, wird ein Protokoll ausgegeben, das sich auf jedes einzelne Hinzufügen oder Entfernen dieses virtuellen Netzwerks bezieht. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| time | Zeitpunkt, zu dem das Ereignis protokolliert wurde |
| resourceId | Ressourcen-ID des Netzwerkmanagers |
| location | Standort der VNet-Ressource |
| operationName | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. Immer der Vorgang Microsoft.Network/virtualNetworks/networkGroupMembership/write. |
| category | Kategorie dieses Protokolls Immer NetworkGroupMembershipChange. |
| resultType | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| Level | Immer Info. |
| properties | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| `Message` | Eine statische Meldung, die angibt, ob eine Änderung der Netzwerkgruppenmitgliedschaft erfolgreich oder nicht erfolgreich war. |
| MembershipId | Standardmitgliedschafts-ID des virtuellen Netzwerks |
| GroupMemberships | Sammlung der Netzwerkgruppen, zu der das virtuelle Netzwerk gehört. Es können mehrere NetworkGroupId und Sources in dieser Eigenschaft aufgeführt werden, da ein virtuelles Netzwerk gleichzeitig zu mehreren Netzwerkgruppen gehören kann. |
| MemberResourceIds | Ressourcen-ID des virtuellen Netzwerks, das einer Netzwerkgruppe hinzugefügt oder daraus entfernt wurde |
Innerhalb des GroupMemberships-Attributs gibt es mehrere geschachtelte Attribute:
| GroupMemberships-Attribute | Beschreibung |
|---|---|
| NetworkGroupId | ID einer Netzwerkgruppe, zu der das virtuelle Netzwerk gehört. |
| Sources | Sammlung der Art, wie das virtuelle Netzwerk Mitglied der Netzwerkgruppe geworden ist. |
Innerhalb des Sources-Attributs gibt es mehrere geschachtelte Attribute:
| Quellattribute | Beschreibung |
|---|---|
| Typ | Gibt an, ob das virtuelle Netzwerk manuell (StaticMembership) oder bedingt über Azure Policy (Richtlinie) hinzugefügt wurde. |
| StaticMemberId | Wenn der Type-Wert StaticMembership lautet, wird diese Eigenschaft angezeigt. |
| PolicyAssignmentId | Wenn der Type-Wert Policy lautet, wird diese Eigenschaft angezeigt. ID der Azure Policy-Richtlinienzuweisung, die die Azure Policy-Definition der Netzwerkgruppe zuordnet |
| PolicyDefinitionId | Wenn der Type-Wert Policy lautet, wird diese Eigenschaft angezeigt. ID der Azure Policy-Definition, die die Bedingungen für die Mitgliedschaft der Netzwerkgruppe enthält |
Attribute der Änderung der Regelsammlung
Diese Kategorie gibt ein Protokoll pro Sicherheitsadministrator-Regelsammlungsänderung pro virtuelles Netzwerk aus. Wenn also eine Sicherheitsadministrator-Regelsammlung über die Netzwerkgruppe auf ein virtuelles Netzwerk angewendet oder aus diesem entfernt wird, wird ein Protokoll ausgegeben, das diese Änderung in der Regelsammlung für dieses bestimmte virtuelle Netzwerk widerspiegelt. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| time | Zeitpunkt, zu dem das Ereignis protokolliert wurde |
| resourceId | Ressourcen-ID des Netzwerkmanagers |
| location | Standort der VNet-Ressource |
| operationName | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. Immer der Vorgang Microsoft.Network/networkManagers/securityAdminRuleCollections/write. |
| category | Kategorie dieses Protokolls Immer Always RuleCollectionChange. |
| resultType | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| Level | Immer Info. |
| properties | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| TargetResourceIds | Die Ressourcen-ID des virtuellen Netzwerks, für das eine Änderung der Regelsammlungsanwendung erfolgt ist. |
| `Message` | Eine statische Meldung, die angibt, ob eine Änderung der Regelsammlung erfolgreich oder nicht erfolgreich war. |
| AppliedRuleCollectionIds | Sammlung der Sicherheitsadministrator-Regelsammlungen, die zum Zeitpunkt der Ausgabe des Protokolls auf das virtuelle Netzwerk angewendet werden. Möglicherweise werden mehrere Regelsammlungs-IDs aufgelistet, da ein virtuelles Netzwerk mehreren Netzwerkgruppen angehören kann und mehrere Regelauflistungen gleichzeitig angewendet werden können. |
Attribute von Konnektivitätskonfigurationsänderungen
Diese Kategorie gibt ein Protokoll pro Verbindungskonfigurationsänderung pro virtuellem Netzwerk aus. Wenn also eine Konnektivitätskonfiguration über die Netzwerkgruppe auf ein virtuelles Netzwerk angewendet oder aus diesem entfernt wird, wird ein Protokoll ausgegeben, das diese Änderung in der Konnektivitätskonfiguration für dieses virtuelle Netzwerk widerspiegelt. Die folgenden Attribute entsprechen den Protokollen, die an Ihr Speicherkonto gesendet werden. Log Analytics-Protokolle weisen geringfügig andere Attribute auf.
| attribute | Beschreibung |
|---|---|
| time | Zeitpunkt, zu dem das Ereignis protokolliert wurde |
| resourceId | Ressourcen-ID des Netzwerkmanagers |
| location | Standort der VNet-Ressource |
| operationName | Vorgang, der dazu führte, dass das virtuelle Netzwerk hinzugefügt oder entfernt wurde. |
| category | Kategorie dieses Protokolls Immer ConnectivityConfigurationChange |
| resultType | Gibt einen erfolgreichen oder fehlgeschlagenen Vorgang an. |
| correlationId | GUID, die beim Einordnen oder Debuggen von Protokollen hilfreich sein kann |
| level | Informationen oder Warnungen. |
| properties | Eigenschaftenauflistung des Protokolls |
Innerhalb des properties-Attributs gibt es mehrere geschachtelte Attribute:
| Eigenschaftenattribute | Beschreibung |
|---|---|
| AppliedConnectivityConfigurations | Sammlung der Konnektivitätskonfigurationen, die zum Zeitpunkt der Protokollausgabe auf das virtuelle Netzwerk angewendet werden Möglicherweise werden mehrere Konnektivitätskonfigurationen aufgelistet, da auf eine Netzwerkgruppe mehrere Konnektivitätskonfigurationen gleichzeitig angewendet werden können, und ein virtuelles Netzwerk kann zu mehreren Netzwerkgruppen gehören, auf die mehrere Konnektivitätskonfigurationen gleichzeitig angewendet werden. |
| TargetResourceIds | Ressourcen-ID des virtuellen Netzwerks, in dem eine Änderung der Konnektivitätskonfigurationsanwendung vorgenommen wurde |
| `Message` | Eine statische Meldung, die angibt, ob die Konnektivitätskonfiguration erfolgreich geändert wurde oder nicht |
Hinweis
Die Verbindungskonfiguration erlaubt virtuelle Netzwerke mit überlappenden IP-Bereichen innerhalb derselben verbundenen Gruppe, aber die Kommunikation zu einer überlappenden IP-Adresse wird verworfen. Wenn das VNet einer verbundenen Gruppe mit einem externen VNet (einem VNet, das nicht zur verbundenen Gruppe gehört) abgeglichen wird, das überlappende Adressräume hat, werden diese überlappenden Adressräume innerhalb der verbundenen Gruppe unzugänglich. Der Verkehr von dem mittels Peering verknüpftes VNet mit überlappenden Adressräumen wird an das externe VNet weitergeleitet, während der Verkehr von anderen VNets in der verbundenen Gruppe mit den überlappenden Adressräumen verworfen wird. In den Protokollen wird die Stufe „Warnung“ angezeigt, wobei das Feld TargetResourceIds die IDs der VNets mit überlappenden Adressräumen angibt und ein message darauf hinweist, dass aufgrund von überlappenden Adressen entweder vollständige oder partielle Adressräume unzugänglich sind.
Innerhalb des AppliedConnectivityConfigurations-Attributs gibt es mehrere geschachtelte Attribute:
| AppliedConnectivityConfigurations-Attribute | Beschreibung |
|---|---|
| ConfigurationId | ID einer auf das virtuelle Netzwerk angewendeten Konnektivitätskonfiguration |
| Topologie | Der Topologietyp, den die Konnektivitätskonfiguration zwischen den Netzwerkgruppen, auf die sie angewendet wird, erstellen soll Kann Mesh oder HubAndSpoke sein. |
Zugreifen auf Protokolle
Abhängig davon, wie Sie die Ereignisprotokolle nutzen, müssen Sie einen Log Analytics-Arbeitsbereich oder ein Speicherkonto für die Speicherung Ihrer Protokollereignisse festlegen.
- Erfahren Sie, wie Sie einen Log Analytics-Arbeitsbereich erstellen.
- Erfahren Sie, wie Sie ein Speicherkonto erstellen.
Wenn Sie einen Log Analytics-Arbeitsbereich oder ein Speicherkonto einrichten, müssen Sie eine Region auswählen. Wenn Sie ein Speicherkonto verwenden, muss dieses sich in derselben Region wie der virtuelle Netzwerk-Manager befinden, über den Sie auf Protokolle zugreifen. Wenn Sie einen Log Analytics-Arbeitsbereich verwenden, kann er sich in einer beliebigen Region befinden.
Der Netzwerk-Manager, der auf die Ereignisse zugreift, muss sich nicht im selben Abonnement wie der Log Analytics-Arbeitsbereich oder das Speicherkonto befinden, das zum Speichern verwendet wird. Berechtigungen können jedoch die Möglichkeit einschränken, auf Protokolle in verschiedenen Abonnements zuzugreifen.
Hinweis
Mindestens ein virtuelles Netzwerk muss von einem Ereignis betroffen sein, das von den oben genannten Kategorien erfasst wird, damit Protokolle generiert werden. Für jedes Ereignis wird einige Minuten nach dem Auftreten der Änderung ein Protokoll generiert.
Nächste Schritte
- Lernen Sie erste Schritte mit den Ereignisprotokollen von Azure Virtual Network Manager kennen.
- Erfahren Sie, wie Sie eine Azure Virtual Network Manager-Instanz mit dem Azure-Portal erstellen.
- Weitere Informationen zu Netzwerkgruppen in Azure Virtual Network Manager.