Szybki start: konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń usługi Azure Network Watcher przy użyciu pliku Bicep

Z tego przewodnika Szybki start dowiesz się, jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń przy użyciu pliku Bicep.

Bicep to język specyficzny dla domeny (DSL), który używa składni deklaratywnej do wdrażania zasobów platformy Azure. Zapewnia zwięzłą składnię, niezawodne bezpieczeństwo typów i obsługę ponownego użycia kodu. Bicep oferuje najlepsze środowisko tworzenia rozwiązań infrastruktury jako kodu na platformie Azure.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.

• Aby wdrożyć pliki Bicep, zainstalowano interfejs wiersza polecenia platformy Azure lub program PowerShell.

  Interfejs wiersza polecenia platformy Azure

  1. Zainstaluj interfejs wiersza polecenia platformy Azure lokalnie , aby uruchomić polecenia.

  2. Zaloguj się do platformy Azure przy użyciu polecenia az login .

  Program PowerShell

  1. Zainstaluj program Azure PowerShell lokalnie , aby uruchomić polecenia cmdlet.

  2. Zaloguj się do platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .

Przejrzyj plik Bicep

W tym przewodniku Szybki start jest używany szablon Tworzenie dzienników przepływu sieciowej grupy zabezpieczeń Bicep z szablonów szybkiego startu platformy Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Następujące zasoby są zdefiniowane w pliku Bicep:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network NetworkWatchers/flowLogs

Wyróżniony kod w poprzednim przykładzie przedstawia definicję zasobu dziennika przepływu sieciowej grupy zabezpieczeń.

Wdrażanie pliku Bicep

W tym przewodniku Szybki start założono, że masz sieciową grupę zabezpieczeń, w której można włączyć rejestrowanie przepływu.

1. Zapisz plik Bicep jako main.bicep na komputerze lokalnym.

2. Wdróż plik Bicep przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

   Interfejs wiersza polecenia platformy Azure

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   Program PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Zostanie wyświetlony monit o wprowadzenie identyfikatora zasobu istniejącej sieciowej grupy zabezpieczeń. Składnia identyfikatora zasobu sieciowej grupy zabezpieczeń to:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Po zakończeniu wdrażania powinien zostać wyświetlony komunikat informujący o pomyślnym wdrożeniu.

Weryfikowanie wdrożenia

Istnieją dwie opcje, aby sprawdzić, czy wdrożenie zakończyło się pomyślnie:

• Konsola jest wyświetlana ProvisioningState jako Succeeded.
• Przejdź do strony portalu dzienników przepływu sieciowej grupy zabezpieczeń, aby potwierdzić zmiany.

Jeśli występują problemy z wdrożeniem, zobacz Rozwiązywanie typowych błędów wdrażania platformy Azure w usłudze Azure Resource Manager.

Czyszczenie zasobów

Zasoby platformy Azure można usunąć przy użyciu pełnego trybu wdrażania. Aby usunąć zasób dzienników przepływu, określ wdrożenie w trybie pełnym bez dołączania zasobu, który chcesz usunąć. Przeczytaj więcej na temat pełnego trybu wdrażania.

Możesz również wyłączyć dziennik przepływu sieciowej grupy zabezpieczeń w witrynie Azure Portal:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź network watcher. Wybierz pozycję Network Watcher z wyników wyszukiwania.

3. W obszarze Dzienniki wybierz pozycję Dzienniki przepływu.

4. Na liście dzienników przepływu wybierz dziennik przepływu, który chcesz wyłączyć.

5. Wybierz opcję Wyłącz.

Powiązana zawartość

Aby dowiedzieć się, jak wizualizować dane dzienników przepływu sieciowej grupy zabezpieczeń, zobacz:

• Wizualizowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu usługi Power BI.
• Wizualizowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu narzędzi open source.
• Analiza ruchu.