Gestire i log dei flussi dei gruppi di sicurezza di rete usando l’interfaccia della riga di comando di Azure
Importante
Il 30 settembre 2027 i log dei flussi del gruppo di sicurezza di rete (NSG) verranno ritirati. Come parte di questo ritiro, non sarà più possibile creare nuovi log dei flussi del gruppo di sicurezza di rete a partire dal 30 giugno 2025. È consigliabile eseguire la migrazione ai log dei flussi di rete virtuale, che superano le limitazioni dei log dei flussi del gruppo di sicurezza di rete. Dopo la data di ritiro, l'analisi del traffico abilitata con i log dei flussi del gruppo di sicurezza di rete non sarà più supportata e le risorse dei log dei flussi del gruppo di sicurezza di rete esistenti nelle sottoscrizioni verranno eliminate. Tuttavia, i record dei log dei flussi del gruppo di sicurezza di rete non verranno eliminati e continueranno a seguire i rispettivi criteri di conservazione. Per altre informazioni, consultare l'annuncio ufficiale.
La registrazione dei flussi dei gruppi di sicurezza di rete è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. Per altre informazioni sui log dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi NSG.
Questo articolo illustra come creare, modificare, disabilitare o eliminare un log dei flussi NSG usando l’interfaccia della riga di comando di Azure. È possibile imparare a gestire un log dei flussi NSG usando il portale di Azure, PowerShell, l'API REST o il modello di ARM.
Prerequisiti
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Provider Insights. Per altre informazioni, vedere Registra provider di Insights.
Gruppo di sicurezza di rete. Se si desidera creare un gruppo di sicurezza di rete classico, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Un account di archiviazione di Azure. Se è necessario creare un account di archiviazione, vedere Creare un account di archiviazione usando PowerShell.
Azure Cloud Shell o l’interfaccia della riga di comando di Azure installata in locale.
I passaggi descritti in questo articolo eseguono i comandi dell'interfaccia della riga di comando di Azurel in modo interattivo in Azure Cloud Shell. Per eseguire i comandi in Cloud Shell, selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. Selezionare Copia per copiare il codice e incollarlo in Cloud Shell per eseguirlo. È anche possibile eseguire Cloud Shell dal portale di Azure.
È anche possibile installare l'interfaccia della riga di comando di Azure in locale per eseguire i comandi. Se si esegue l'interfaccia della riga di comando di Azure in locale, accedere ad Azure usando il comando az login.
Registrare il provider Insights
Il provider Microsoft.Insights deve essere registrato per registrare correttamente il traffico che scorre attraverso un gruppo di sicurezza di rete. Se non si è certi che il provider Microsoft.Insights sia registrato, usare az provider register per registrarlo.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Creare un log dei flussi
Creare un log dei flussi usando az network watcher flow-log create. Il log dei flussi viene creato nel gruppo di risorse predefinito NetworkWatcherRG di Network Watcher.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
Nota
- Se l'account di archiviazione si trova in una sottoscrizione differente, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
- Se l'account di archiviazione si trova in un gruppo di risorse o in una sottoscrizione diversa, è necessario specificare l'ID completo di tale account anziché solo il relativo nome. Ad esempio, se l'account di archiviazione myStorageAccount si trova in un gruppo di risorse denominato StorageRG, mentre il gruppo di sicurezza di rete si trova nel gruppo di risorse myResourceGroup, è necessario usare
/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount
per il parametro--storage-account
anzichémyStorageAccount
.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a version 1 NSG flow log (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa
Creare un log dei flussi e un'area di lavoro di analisi del traffico
Creare un'area di lavoro Log Analytics usando az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
Creare un log dei flussi usando az network watcher flow-log create. Il log dei flussi viene creato nel gruppo di risorse predefinito NetworkWatcherRG di Network Watcher.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'
Nota
- L'account di archiviazione non può avere regole di rete che limitano l'accesso alla rete solo ai servizi Microsoft o a specifiche reti virtuali.
- Se l'account di archiviazione si trova in una sottoscrizione differente, il gruppo di sicurezza di rete e l'account di archiviazione devono essere associati allo stesso tenant di Azure Active Directory. L'account usato per ogni sottoscrizione deve avere le autorizzazioni necessarie.
- Se l'account di archiviazione si trova in un gruppo di risorse o in una sottoscrizione diversa, è necessario usare l'ID completo di tale account. Ad esempio, se l'account di archiviazione myStorageAccount si trova in un gruppo di risorse denominato StorageRG, mentre il gruppo di sicurezza di rete si trova nel gruppo di risorse myResourceGroup, è necessario usare
/subscriptions/{SubscriptionID}/resourceGroups/RG-Storage/providers/Microsoft.Storage/storageAccounts/myStorageAccount
per il parametro--storage-account
anzichémyStorageAccount
.
# Place the storage account resource ID into a variable.
sa=$(az storage account show --name 'myStorageAccount' --query 'id' --output 'tsv')
# Create a Log Analytics workspace.
az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'
# Create a version 1 NSG flow log and enable traffic analytics for it (the storage account is in a different resource group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account $sa --traffic-analytics 'true' --workspace 'myWorkspace'
Modificare un log dei flussi
È possibile usare az network watcher flow-log update per modificare le proprietà di un log dei flussi. Ad esempio, è possibile modificare la versione del log dei flussi o disabilitare l'analisi del traffico.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Elencare tutti i log dei flussi presenti in un'area
Usare az network watcher flow-log list per elencare tutte le risorse del log dei flussi del gruppo di sicurezza di rete in una determinata area della sottoscrizione.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Visualizzare i dettagli di una risorsa del log dei flussi
Usare az network watcher flow-log show per visualizzare i dettagli di una risorsa del log dei flussi.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Scaricare un log di flusso
Il percorso di archiviazione di un log di flusso viene definito al momento della creazione. Per accedere e scaricare i log dei flussi dall'account di archiviazione, è possibile usare Azure Storage Explorer. Per altre informazioni, vedere Informazioni di base su Storage Explorer.
I file di log dei flussi NSG salvati in un account di archiviazione seguono questo percorso:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Per informazioni sulla struttura di un log dei flussi, vedere Formato di log dei flussi NSG.
Disabilitare un log dei flussi
Per disabilitare temporaneamente un log dei flussi senza eliminarlo, usare il comando az network watcher flow-log update. La disabilitazione di un log dei flussi arresta la registrazione dei flussi per il gruppo di sicurezza di rete associato. Tuttavia, la risorsa del log dei flussi rimane con tutte le relative impostazioni e associazioni. È possibile riabilitarlo in qualsiasi momento per riprendere la registrazione del flusso per il gruppo di sicurezza di rete configurato.
Nota
Se l'analisi del traffico è abilitata per un log dei flussi, è necessario disabilitarla prima di poter disabilitare il log dei flussi.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Eliminare un log dei flussi
Per eliminare definitivamente un log dei flussi, usare il comando az network watcher flow-log delete. L'eliminazione di un log dei flussi elimina tutte le relative impostazioni e associazioni. Per iniziare di nuovo la registrazione del flusso per lo stesso gruppo di sicurezza di rete, è necessario crearne uno nuovo.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Nota
L'eliminazione di un log dei flussi non comporta l'eliminazione dei dati di log dei flussi dall'account di archiviazione. I dati dei log dei flussi archiviati nell'account di archiviazione seguono i criteri di conservazione configurati.
Contenuto correlato
- Per informazioni su come usare i criteri predefiniti di Azure per controllare o distribuire i log dei flussi NSG, vedere Gestire i log dei flussi NSG usando Criteri di Azure.
- Per informazioni sull'analisi del traffico, vedere Analisi del traffico.