Szybki start: konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu pliku Bicep
Ważne
30 września 2027 r. dzienniki przepływu danych grupy zabezpieczeń sieciowych zostaną wycofane. W ramach tego procesu wycofywania, od 30 czerwca 2025 r. nie będzie można już tworzyć nowych dzienników przepływu NSG. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala przezwyciężyć ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu z włączonymi dziennikami przepływów NSG nie będzie już obsługiwana, a istniejące zasoby dzienników przepływów NSG w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i nadal będą podlegać ich odpowiednim zasadom przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.
W tym przewodniku szybkiego startu dowiesz się, jak włączyć dzienniki przepływu NSG przy użyciu pliku Bicep. Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu NSG i Co to jest Azure Resource Manager?
Bicep to język specyficzny dla domeny (DSL), który używa składni deklaratywnej do wdrażania zasobów platformy Azure. Zapewnia zwięzłą składnię, niezawodne bezpieczeństwo typów i obsługę ponownego użycia kodu. Bicep oferuje najlepsze środowisko tworzenia rozwiązań infrastruktury jako kodu na platformie Azure.
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.
Program Azure PowerShell zainstalowany lokalnie w celu uruchomienia poleceń cmdlet. Użyj cmdlet Connect-AzAccount, aby zalogować się do platformy Azure.
Przejrzyj plik programu Bicep
W tym przewodniku szybki start używany jest szablon Bicep do tworzenia dzienników przepływu dla sieciowych grup zabezpieczeń z szablonów szybkiego startu Azure.
@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'
@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'
@description('Region where you resources are located')
param location string = resourceGroup().location
@description('Resource ID of the target NSG')
param existingNSG string
@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0
@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
1
2
])
param flowLogsVersion int = 2
@description('Storage Account type')
@allowed([
'Standard_LRS'
'Standard_GRS'
'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'
var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'
resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
name: storageAccountName
location: location
sku: {
name: storageAccountType
}
kind: 'StorageV2'
properties: {}
}
resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
name: networkWatcherName
location: location
properties: {}
}
resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
name: '${networkWatcherName}/${flowLogName}'
location: location
properties: {
targetResourceId: existingNSG
storageId: storageAccount.id
enabled: true
retentionPolicy: {
days: retentionDays
enabled: true
}
format: {
type: 'JSON'
version: flowLogsVersion
}
}
}
Następujące zasoby są zdefiniowane w pliku Bicep:
- Microsoft.Storage/storageAccounts
- Microsoft.Network networkWatchers
- Microsoft.Network networkWatchers/flowLogs
Wyróżniony kod w poprzednim przykładzie przedstawia definicję zasobu dziennika przepływu NSG.
Wdróż plik Bicep
Ten przewodnik szybkiego startu zakłada, że masz grupę zabezpieczeń sieci, na której można włączyć rejestrowanie przepływu.
Zapisz plik Bicep jako main.bicep na komputerze lokalnym.
Wdróż plik Bicep.
New-AzResourceGroup -Name 'exampleRG' -Location 'eastus' New-AzResourceGroupDeployment -ResourceGroupName 'exampleRG' -TemplateFile ./main.bicepZostaniesz poproszony o wprowadzenie identyfikatora istniejącej grupy zabezpieczeń sieciowych. Składnia identyfikatora zasobu dla grupy zabezpieczeń sieciowych to:
"/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
Po zakończeniu wdrażania powinien zostać wyświetlony komunikat informujący o pomyślnym wdrożeniu.
Weryfikowanie wdrożenia
Istnieją dwie opcje, aby sprawdzić, czy wdrożenie zakończyło się pomyślnie:
- Twoja konsola wyświetla
ProvisioningStatejakoSucceeded. - Przejdź do portalu dzienników przepływu NSG, aby potwierdzić zmiany.
Jeśli występują problemy z wdrożeniem, zobacz Rozwiązywanie typowych błędów wdrażania platformy Azure w usłudze Azure Resource Manager.
Czyszczenie zasobów
Zasoby platformy Azure można usunąć przy użyciu pełnego trybu wdrażania. Aby usunąć zasób dzienników przepływu, określ wdrożenie w trybie pełnym bez dołączania zasobu, który chcesz usunąć. Przeczytaj więcej na temat pełnego trybu wdrażania.
Możesz również wyłączyć dziennik przepływu sieciowej grupy zabezpieczeń w witrynie Azure Portal:
Zaloguj się do witryny Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź monitor sieciowy. Wybierz pozycję Network Watcher z wyników wyszukiwania.
W obszarze Dzienniki wybierz Dzienniki przepływu.
Na liście dzienników przepływu wybierz dziennik przepływu, który chcesz wyłączyć.
Wybierz opcję Wyłącz.
Powiązana zawartość
W tym podręczniku szybkiego startu nauczyłeś się, jak włączyć dzienniki przepływu NSG przy użyciu pliku Bicep. Następnie dowiedz się, jak wizualizować dane dzienników działania sieciowej grupy zabezpieczeń przy użyciu analizy ruchu.