Guida introduttiva: Configurare i log dei flussi del gruppo di sicurezza di rete di Azure Network Watcher usando un file Bicep

In questa guida introduttiva si apprenderà come abilitare i log dei flussi del gruppo di sicurezza di rete usando un file Bicep.

Bicep è un linguaggio specifico di dominio (DSL) che usa la sintassi dichiarativa per distribuire le risorse di Azure. Offre sintassi concisa, indipendenza dai tipi affidabile e supporto per il riutilizzo del codice. Bicep offre la migliore esperienza di creazione per le soluzioni di infrastruttura come codice in Azure.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non se ne dispone, creare un account gratuito prima di iniziare.

• Per distribuire i file Bicep, è installata l'interfaccia della riga di comando di Azure o PowerShell.

  Interfaccia della riga di comando di Azure

  1. Installare l'interfaccia della riga di comando di Azure in locale per eseguire i comandi.

  2. Accedere ad Azure usando il comando az login .

  PowerShell

  1. Installare Azure PowerShell in locale per eseguire i cmdlet.

  2. Accedere ad Azure usando il cmdlet Connect-AzAccount .

Esaminare il file Bicep

Questa guida introduttiva usa il modello Bicep Per creare log dei flussi del gruppo di sicurezza di rete da modelli di avvio rapido di Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Nel file Bicep sono definite le seguenti risorse:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

Il codice evidenziato nell'esempio precedente mostra una definizione di risorsa del log del flusso del gruppo di sicurezza di rete.

Distribuire il file Bicep

Questa guida introduttiva presuppone che sia disponibile un gruppo di sicurezza di rete in cui è possibile abilitare la registrazione del flusso.

1. Salvare il file Bicep come main.bicep nel computer locale.

2. Distribuire il file Bicep usando l'interfaccia della riga di comando di Azure o Azure PowerShell.

   Interfaccia della riga di comando di Azure

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Verrà richiesto di immettere l'ID risorsa del gruppo di sicurezza di rete esistente. La sintassi dell'ID risorsa del gruppo di sicurezza di rete è:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Al termine della distribuzione verrà visualizzato un messaggio che indica che la distribuzione è stata completata.

Convalidare la distribuzione

Sono disponibili due opzioni per verificare se la distribuzione è riuscita:

• La console viene visualizzata ProvisioningState come Succeeded.
• Visitare la pagina del portale relativa ai log dei flussi dei gruppi di sicurezza di rete per confermare le modifiche.

Se si verificano problemi con la distribuzione, vedere Risolvere gli errori comuni di distribuzione di Azure con Azure Resource Manager.

Pulire le risorse

È possibile eliminare le risorse di Azure usando la modalità di distribuzione completa. Per eliminare una risorsa log dei flussi, specificare una distribuzione in modalità completa senza includere la risorsa da eliminare. Per altre informazioni, vedere Modalità di distribuzione completa.

È anche possibile disabilitare un log dei flussi dei gruppi di sicurezza di rete nel portale di Azure:

1. Accedere al portale di Azure.

2. Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.

3. In Log selezionare Log dei flussi.

4. Nell'elenco dei log dei flussi selezionare il log del flusso da disabilitare.

5. Seleziona Disabilita.

Contenuto correlato

Per informazioni su come visualizzare i dati dei log dei flussi del gruppo di sicurezza di rete, vedere:

• Visualizzazione dei log dei flussi del gruppo di sicurezza di rete tramite Power BI.
• Visualizzare i log dei flussi dei gruppi di sicurezza di rete usando strumenti open source.
• Analisi del traffico.