Creación, cambio, habilitación, deshabilitación o eliminación de registros de flujo de red virtual mediante la CLI de Azure

Los registros de flujo de red virtual son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico de IP que pasa por una red virtual de Azure. Para más información sobre los registros de flujo de red virtual, consulte Información general de registros de flujo de red virtual.

En este artículo, se explica cómo crear, cambiar, habilitar, deshabilitar o eliminar un registro de flujo de red virtual mediante la CLI de Azure. Puede aprender a administrar un registro de flujo de red virtual mediante Azure Portal o PowerShell.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Proveedor de Insights. Para más información, consulte Registro del proveedor de Insights.

• Una red virtual. Si necesita ayuda para crear una red virtual, consulte Creación de una red virtual mediante la CLI de Azure.

• Una cuenta de almacenamiento de Azure. Si necesita crear una cuenta de almacenamiento, consulte Crear una cuenta de almacenamiento mediante la CLI de Azure.

• Azure Cloud Shell o la CLI de Azure.

  Los pasos de este artículo ejecutarán los comandos de la CLI de Azure de forma interactiva en Azure Cloud Shell. Para ejecutar los comandos en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.

  También puede instalar la CLI de Azure localmente para ejecutar los comandos. En este artículo se necesita la CLI de Azure versión 2.39.0 o posteriores. Ejecute el comando az --version para buscar la versión instalada. Si ejecuta la CLI de Azure localmente, inicie sesión en Azure con el comando az login.

Registro del proveedor de Insights

Se debe registrar el proveedor de Microsoft.Insights para registrar correctamente el tráfico en una red virtual. Si no sabe si el proveedor Microsoft.Insights está registrado, use az provider register para registrarlo.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

Habilitación de registros de flujo de red virtual

Use az network watcher flow-log create para crear un registro de flujo de red virtual.

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet myVNet --storage-account 'myStorageAccount'

# Create a VNet flow log (storage account is in a different resource group from the virtual network).
az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet myVNet --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'

Habilitación de registros de flujo de red virtual y análisis de tráfico

Use az monitor log-analytics workspace create para crear un área de trabajo de análisis de tráfico y, después, use az network watcher flow-log create para crear un registro de flujo de red virtual que la use.

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log.
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --workspace 'myWorkspace' --interval 10 --traffic-analytics true

# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'

# Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10 --traffic-analytics true

Enumeración de todos los registros de flujo de una región

Use az network watcher flow-log list para enumerar todos los recursos de registro de flujo de una región determinada de la suscripción.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

Visualización del recurso de registro de flujo de red virtual

Use az network watcher flow-log show para ver los detalles de un recurso de registro de flujo.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

Descarga de un registro de flujo

Para descargar registros de flujo de red virtual desde la cuenta de almacenamiento, use el comando az storage blob download.

Los archivos de registro de flujo de red virtual se guardan en la cuenta de almacenamiento en la ruta de acceso siguiente:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Nota:

También puede acceder y descargar archivos de registros de flujo de VNet desde el contenedor de la cuenta de almacenamiento mediante Azure Storage Explorer. Explorador de Storage es una aplicación independiente que se puede usar convenientemente para acceder a los datos de Azure Storage y trabajar con ellos. Para obtener más información, consulte Introducción a Explorador de Storage.

Deshabilitación del análisis de tráfico en el recurso de registro de flujo

Para deshabilitar el análisis de tráfico en el recurso de registro de flujo y continuar generando y guardando registros de flujo de red virtual en una cuenta de almacenamiento, use az network watcher flow-log update.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

Eliminación de un recurso de registro de flujo de red virtual

Para eliminar un recurso de registro de flujo de red virtual, use az network watcher flow-log delete.

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'

Contenido relacionado

• Para más información sobre el análisis de tráfico, vea Análisis de tráfico.
• Para aprender a usar directivas integradas de Azure para auditar o habilitar el análisis de tráfico, consulte Administración del análisis de tráfico mediante Azure Policy.