Opciones de registro de eventos para Azure Virtual Network Manager
Azure Virtual Network Manager usa Azure Monitor para la recopilación y el análisis de datos, como muchos otros servicios de Azure. Azure Virtual Network Manager proporciona registros de eventos para cada administrador de red. Puede almacenar y ver registros de eventos con la herramienta Log Analytics de Azure Monitor en Azure Portal y a través de una cuenta de almacenamiento. También puede enviar estos registros a un centro de eventos o a una solución de asociado.
Categorías de registro admitidas
Azure Virtual Network Manager proporciona actualmente las siguientes categorías de registro:
- Cambio de pertenencia a grupos de red
- Realice un seguimiento cuando se modifique la pertenencia a grupos de red de una red virtual determinada. Es decir, se emite un registro cuando se agrega o quita una red virtual de un grupo de red. Este se puede usar para realizar un seguimiento de los cambios de pertenencia a grupos de red a lo largo del tiempo y capturar una instantánea de la pertenencia a grupos de red de una red virtual determinada.
- Cambio en la colección de reglas
- Realice un seguimiento cuando cambie el conjunto de reglas de administración de seguridad aplicadas de una red virtual determinada. Se emite un registro para cada recopilación de reglas implementada en una red virtual a través del grupo de red al que se dirige la recopilación de reglas. Cualquier eliminación de una colección de reglas de un grupo de red a través de un proceso de implementación también dará como resultado un registro para cada red virtual afectada. Este esquema se puede usar para realizar un seguimiento de las colecciones de reglas que se han implementado en una red virtual determinada a lo largo del tiempo.
- Si una red virtual recibe colecciones de reglas de administración de seguridad de varios administradores de red, los registros se emitirán por separado para cada administrador de red para sus respectivos cambios de recopilación de reglas.
- Si se agrega o quita una red virtual de un grupo de red que ya tiene implementadas colecciones de reglas, se emitirá un registro para esa red virtual que muestra el estado de las colecciones de reglas aplicadas.
- Cambio de configuración de conectividad
- Realice un seguimiento cuando cambien las configuraciones de conectividad aplicadas de una red virtual determinada. Se emite un registro para cada configuración de conectividad implementada en una red virtual a través del grupo de red al que se dirige la configuración. Cualquier eliminación de una configuración de conectividad de un grupo de red o viceversa a través de un proceso de implementación también dará como resultado un registro para cada red virtual afectada. Este esquema se puede usar para realizar un seguimiento de las configuraciones de conectividad y sus respectivos tipos de topología se han implementado en una red virtual determinada a lo largo del tiempo.
- Si una red virtual recibe configuraciones de conectividad de varios administradores de red, los registros se emitirán por separado para cada administrador de red para sus respectivos cambios de configuración.
- Si se agrega o quita una red virtual de un grupo de red que ya tiene implementadas configuraciones de conectividad en ella, se emitirá un registro para esa red virtual que muestra el estado de las configuraciones de conectividad aplicadas.
Atributos de cambio de pertenencia a grupos de red
Esta categoría emite un registro por cambio de pertenencia a grupos de red. Así, cuando una red virtual se agrega o se elimina de un grupo de red, se emite un registro correlativo a esa única adición o eliminación para esa red virtual en particular. Los atributos siguientes corresponden a los registros que se enviarían a la cuenta de almacenamiento; los registros de Log Analytics tienen atributos ligeramente diferentes.
| Atributo | Descripción |
|---|---|
| hora | Fecha y hora en que se registró el evento. |
| resourceId | ID de recurso del administrador de red. |
| Ubicación | Ubicación del recurso de red virtual. |
| operationName | Operación que dio lugar a la adición o eliminación de la red virtual. Siempre la operación Microsoft.Network/virtualNetworks/networkGroupMembership/write. |
| category | Categoría de este registro. Siempre NetworkGroupMembershipChange. |
| resultType | Indica si la operación se ha realizado correctamente o no. |
| correlationId | GUID que puede ayudar a relacionar o depurar registros. |
| level | Información siempre. |
| properties | Colección de propiedades del registro. |
Dentro del atributo properties hay varios atributos anidados:
| atributos de propiedades | Descripción |
|---|---|
| Mensaje | Mensaje estático que indica si un cambio de pertenencia a un grupo de red se realizó correctamente o no. |
| MembershipId | ID de pertenencia predeterminado de la red virtual. |
| GroupMemberships | Colección de grupos de red a los que pertenece la red virtual. Puede haber varios elementos de NetworkGroupId y Sources enumerados dentro de esta propiedad, ya que una red virtual puede pertenecer a varios grupos de red simultáneamente. |
| MemberResourceIds | ID de recurso de la red virtual que se ha agregado o eliminado de un grupo de red. |
Dentro del atributo GroupMemberships hay varios atributos anidados:
| Atributos de GroupMemberships | Descripción |
|---|---|
| NetworkGroupId | ID de un grupo de red al que pertenece la red virtual. |
| Fuentes | Recopilación de cómo la red virtual es miembro del grupo de redes. |
Dentro del atributo Sources hay varios atributos anidados:
| Atributos de orígenes | Descripción |
|---|---|
| Tipo | Indica si la red virtual se ha agregado manualmente (StaticMembership) o condicionalmente a través de Azure Policy (Policy). |
| StaticMemberId | Si el valor Tipo es StaticMembership, aparece esta propiedad. |
| PolicyAssignmentId | Si el valor de Tipo es Directiva, aparece esta propiedad. ID de la asignación de Azure Policy que asocia la definición de Azure Policy al grupo de red. |
| PolicyDefinitionId | Si el valor de Tipo es Directiva, aparece esta propiedad. ID de la definición de Azure Policy que contiene las condiciones de pertenencia al grupo de red. |
Atributos de cambio de la colección de reglas
Esta categoría emite un cambio de recopilación de reglas de administración de seguridad por cada red virtual. Por lo tanto, cuando se aplica o quita una colección de reglas de administración de seguridad de una red virtual a través de su grupo de red, se emite un registro que se correlaciona con ese cambio en la colección de reglas para esa red virtual determinada. Los atributos siguientes corresponden a los registros que se enviarían a la cuenta de almacenamiento; los registros de Log Analytics tendrán atributos ligeramente diferentes.
| Atributo | Descripción |
|---|---|
| hora | Fecha y hora en que se registró el evento. |
| resourceId | ID de recurso del administrador de red. |
| Ubicación | Ubicación del recurso de red virtual. |
| operationName | Operación que dio lugar a la adición o eliminación de la red virtual. Siempre la operación Microsoft.Network/networkManagers/securityAdminRuleCollections/write. |
| category | Categoría de este registro. Siempre RuleCollectionChange. |
| resultType | Indica si la operación se ha realizado correctamente o no. |
| correlationId | GUID que puede ayudar a relacionar o depurar registros. |
| level | Información siempre. |
| properties | Colección de propiedades del registro. |
Dentro del atributo properties hay varios atributos anidados:
| atributos de propiedades | Descripción |
|---|---|
| TargetResourceIds | Identificador de recurso de la red virtual que ha experimentado un cambio en la aplicación de recopilación de reglas. |
| Mensaje | Mensaje estático que indica si un cambio de colección de reglas se realizó correctamente o no. |
| AppliedRuleCollectionIds | Recopilación de las colecciones de reglas de administración de seguridad que se aplican a la red virtual en el momento en que se emitió el registro. Puede haber varios identificadores de colección de reglas enumerados, ya que una red virtual puede pertenecer a varios grupos de red y tener varias colecciones de reglas aplicadas simultáneamente. |
Atributos de cambio de configuración de conectividad
Esta categoría emite un registro por cambio de configuración de conectividad por red virtual. Así, cuando se aplica o quita una configuración de conectividad de una red virtual a través de su grupo de red, se emite un registro que se correlaciona con ese cambio en la configuración de conectividad establecida para esa red virtual determinada. Los atributos siguientes corresponden a los registros que se enviarían a la cuenta de almacenamiento; los registros de Log Analytics tendrán atributos ligeramente diferentes.
| Atributo | Descripción |
|---|---|
| hora | Fecha y hora en que se registró el evento. |
| resourceId | ID de recurso del administrador de red. |
| Ubicación | Ubicación del recurso de red virtual. |
| operationName | Operación que dio lugar a la adición o eliminación de la red virtual. |
| category | Categoría de este registro. Always ConnectivityConfigurationChange. |
| resultType | Indica si la operación se ha realizado correctamente o no. |
| correlationId | GUID que puede ayudar a relacionar o depurar registros. |
| level | Información o advertencia. |
| properties | Colección de propiedades del registro. |
Dentro del atributo properties hay varios atributos anidados:
| atributos de propiedades | Descripción |
|---|---|
| AppliedConnectivityConfigurations | Recopilación de las configuraciones de conectividad que se aplican a la red virtual en la hora en que se emitió el registro. Puede haber varias configuraciones de conectividad enumeradas, ya que un grupo de red puede tener varias configuraciones de conectividad aplicadas simultáneamente, y una red virtual también puede pertenecer a varios grupos de red con varias configuraciones de conectividad aplicadas simultáneamente. |
| TargetResourceIds | Id.de recurso de la red virtual que experimentó un cambio en la aplicación de configuración de conectividad. |
| Mensaje | Mensaje estático que indica si el cambio de configuración de conectividad se realizó correctamente o no se realizó correctamente. |
Nota:
La configuración de conectividad permite redes virtuales con espacios IP superpuestos dentro del mismo grupo conectado, pero se quita la comunicación con una dirección IP superpuesta. Además, cuando una red virtual de un grupo conectado está emparejada con una red virtual externa (una red virtual no en el grupo conectado) que tiene espacios de direcciones superpuestos, estos espacios de direcciones superpuestos se vuelven inaccesibles dentro del grupo conectado. El tráfico de la red virtual emparejada a los espacios de direcciones superpuestos se enruta a la red virtual externa, mientras que se quita el tráfico de otras redes virtuales del grupo conectado al espacio de direcciones superpuesto. Los registros mostrarán un nivel de "Advertencia", con el campo TargetResourceIds que indica los identificadores de las redes virtuales con espacios de direcciones superpuestos y un message que indica que los espacios de direcciones completos o parciales no son accesibles debido a direcciones superpuestas.
Dentro del atributo AppliedConnectivityConfigurations hay varios atributos anidados:
| Atributos AppliedConnectivityConfigurations | Descripción |
|---|---|
| ConfigurationId | Id. de una configuración de conectividad aplicada a la red virtual. |
| Topología | Tipo de topología a la que está pensada la configuración de conectividad para compilar entre los grupos de red a los que se aplica. Puede ser Mesh o HubAndSpoke. |
Acceso a los registros
En función de cómo consuma los registros de eventos, debe configurar un área de trabajo de Log Analytics o una cuenta de almacenamiento para almacenar los eventos de registro.
- Información sobre cómo crear un área de trabajo de Log Analytics.
- Consulte cómo crear una cuenta de almacenamiento.
Al configurar un área de trabajo de Log Analytics o una cuenta de almacenamiento, debe seleccionar una región. Si usa una cuenta de almacenamiento, debe estar en la misma región del administrador de red virtual desde el que está accediendo a los registros. Si utiliza un área de trabajo de Log Analytics, puede estar en cualquier región.
No es necesario que el administrador de red que acceda a los eventos esté en la misma suscripción que el área de trabajo de Log Analytics o la cuenta de almacenamiento usada para el almacenamiento, pero los permisos pueden restringir la capacidad de acceder a los registros en distintas suscripciones.
Nota:
Al menos una red virtual debe experimentar un evento capturado por las categorías anteriores para generar registros. Un registro generará para cada evento un par de minutos después de que se produzca el cambio.
Pasos siguientes
- Aprenda a introducción a los registros de eventos de Azure Virtual Network Manager.
- Aprenda a crear una instancia de Azure Virtual Network Manager mediante Azure Portal.
- Obtenga más información sobre los grupos de seguridad en Azure Virtual Network Manager.