Udostępnij za pośrednictwem


Opcje dziennika zdarzeń dla usługi Azure Virtual Network Manager

Usługa Azure Virtual Network Manager używa usługi Azure Monitor do zbierania i analizy danych, takich jak wiele innych usług platformy Azure. Usługa Azure Virtual Network Manager udostępnia dzienniki zdarzeń dla każdego menedżera sieci. Dzienniki zdarzeń można przechowywać i wyświetlać za pomocą narzędzia Log Analytics usługi Azure Monitor w witrynie Azure Portal oraz za pośrednictwem konta magazynu. Te dzienniki można również wysłać do centrum zdarzeń lub rozwiązania partnerskiego.

Obsługiwane kategorie dzienników

Usługa Azure Virtual Network Manager obecnie udostępnia następujące kategorie dzienników:

  • Zmiana członkostwa w grupie sieciowej
    • Śledź, kiedy członkostwo w grupie sieciowej określonej sieci wirtualnej jest modyfikowane. Innymi słowy, dziennik jest emitowany po dodaniu lub usunięciu sieci wirtualnej z grupy sieciowej. Może to służyć do śledzenia zmian członkostwa w grupach sieciowych w czasie i przechwytywania migawki członkostwa w grupie sieci określonej sieci wirtualnej.
  • Zmiana kolekcji reguł
    • Śledź, kiedy zmienia się zestaw zastosowanych kolekcji reguł administratora zabezpieczeń w określonej sieci wirtualnej. Dziennik jest emitowany dla każdej kolekcji reguł wdrożonej w sieci wirtualnej za pośrednictwem grupy sieci docelowej kolekcji reguł. Usunięcie kolekcji reguł z grupy sieci za pośrednictwem procesu wdrażania spowoduje również wyświetlenie dziennika dla każdej objętej sieci wirtualnej. Ten schemat może służyć do śledzenia kolekcji reguł wdrożonych w określonej sieci wirtualnej w czasie.
    • Jeśli sieć wirtualna odbiera kolekcje reguł administratora zabezpieczeń z wielu menedżerów sieci, dzienniki będą emitowane oddzielnie dla każdego menedżera sieci dla odpowiednich zmian kolekcji reguł.
    • Jeśli sieć wirtualna zostanie dodana lub usunięta z grupy sieci, która ma już wdrożone kolekcje reguł, dziennik zostanie wyemitowany dla tej sieci wirtualnej z stanem zastosowanych kolekcji reguł.
  • Zmiana konfiguracji łączności
    • Śledzenie zmian w przypadku zmiany konfiguracji łączności zastosowanej przez określoną sieć wirtualną. Dziennik jest emitowany dla każdej konfiguracji łączności wdrożonej w sieci wirtualnej za pośrednictwem grupy sieci docelowej konfiguracji. Wszelkie usunięcie konfiguracji łączności z grupy sieci lub odwrotnie za pośrednictwem procesu wdrażania spowoduje również dziennik dla każdej objętej sieci wirtualnej. Ten schemat może służyć do śledzenia konfiguracji łączności i odpowiednich typów topologii wdrożonych w określonej sieci wirtualnej w czasie.
    • Jeśli sieć wirtualna odbiera konfiguracje łączności z wielu menedżerów sieci, dzienniki będą emitowane oddzielnie dla każdego menedżera sieci dla odpowiednich zmian konfiguracji.
    • Jeśli sieć wirtualna zostanie dodana do lub usunięta z grupy sieci, która ma już wdrożone konfiguracje łączności, dziennik zostanie wyemitowany dla tej sieci wirtualnej z stanem zastosowanych konfiguracji łączności.

Atrybuty zmiany członkostwa w grupie sieciowej

Ta kategoria emituje jeden dziennik na zmianę członkostwa w grupie sieciowej. W związku z tym po dodaniu lub usunięciu sieci wirtualnej z grupy sieci dziennik jest emitowany z tym pojedynczym dodatkiem lub usunięciem dla tej konkretnej sieci wirtualnej. Następujące atrybuty odpowiadają dziennikom, które zostaną wysłane do konta magazynu; Dzienniki usługi Log Analytics mają nieco inne atrybuty.

Atrybut opis
time Data/godzina zarejestrowania zdarzenia.
resourceId Identyfikator zasobu menedżera sieci.
lokalizacja Lokalizacja zasobu sieci wirtualnej.
operationName Operacja, która spowodowała dodanie lub usunięcie sieci wirtualnej. Zawsze operację Microsoft.Network/virtualNetworks/networkGroupMembership/write.
category Kategoria tego dziennika. Zawsze element NetworkGroupMembershipChange.
resultType Wskazuje pomyślną lub nieudaną operację.
correlationId Identyfikator GUID, który może pomóc powiązać lub debugować dzienniki.
poziom Zawsze informacje.
właściwości Kolekcja właściwości dziennika.

W atrybucie properties znajduje się kilka atrybutów zagnieżdżonych:

atrybuty właściwości opis
Wiadomość Komunikat statyczny z informacją, czy zmiana członkostwa w grupie sieciowej zakończyła się powodzeniem lub niepowodzeniem.
Identyfikator członkostwa Domyślny identyfikator członkostwa w sieci wirtualnej.
GroupMemberships Kolekcja grup sieciowych, do których należy sieć wirtualna. Może istnieć wiele NetworkGroupId elementów i Sources wymienionych w tej właściwości, ponieważ sieć wirtualna może należeć do wielu grup sieci jednocześnie.
MemberResourceIds Identyfikator zasobu sieci wirtualnej, która została dodana do grupy sieciowej lub usunięta z tej grupy.

W atrybucie GroupMemberships znajduje się kilka atrybutów zagnieżdżonych:

Atrybuty GroupMemberships opis
NetworkGroupId Identyfikator grupy sieciowej, do którego należy sieć wirtualna.
Źródła Kolekcja sposobu, w jaki sieć wirtualna jest członkiem grupy sieci.

W atrybucie Sources znajduje się kilka atrybutów zagnieżdżonych:

Atrybuty źródeł opis
Type Określa, czy sieć wirtualna została dodana ręcznie (StaticMembership) czy warunkowo za pośrednictwem usługi Azure Policy (Policy).
StaticMemberId Jeśli wartość Typu to StaticMembership, zostanie wyświetlona ta właściwość.
PolicyAssignmentId Jeśli wartość Typ to Zasady, zostanie wyświetlona ta właściwość. Identyfikator przypisania usługi Azure Policy, który kojarzy definicję usługi Azure Policy z grupą sieci.
PolicyDefinitionId Jeśli wartość Typ to Zasady, zostanie wyświetlona ta właściwość. Identyfikator definicji usługi Azure Policy, która zawiera warunki członkostwa grupy sieciowej.

Atrybuty zmiany kolekcji reguł

Ta kategoria emituje jeden dziennik na zmianę kolekcji reguł administratora zabezpieczeń na sieć wirtualną. Dlatego po zastosowaniu lub usunięciu kolekcji reguł administratora zabezpieczeń z sieci wirtualnej za pośrednictwem jej grupy sieciowej dziennik jest emitowany przez tę zmianę w kolekcji reguł dla tej konkretnej sieci wirtualnej. Następujące atrybuty odpowiadają dziennikom, które zostaną wysłane do konta magazynu; Dzienniki usługi Log Analytics będą miały nieco inne atrybuty.

Atrybut opis
time Data/godzina zarejestrowania zdarzenia.
resourceId Identyfikator zasobu menedżera sieci.
lokalizacja Lokalizacja zasobu sieci wirtualnej.
operationName Operacja, która spowodowała dodanie lub usunięcie sieci wirtualnej. Zawsze operację Microsoft.Network/networkManagers/securityAdminRuleCollections/write.
category Kategoria tego dziennika. Zawsze ruleCollectionChange.
resultType Wskazuje pomyślną lub nieudaną operację.
correlationId Identyfikator GUID, który może pomóc powiązać lub debugować dzienniki.
poziom Zawsze informacje.
właściwości Kolekcja właściwości dziennika.

W atrybucie properties znajduje się kilka atrybutów zagnieżdżonych:

atrybuty właściwości opis
Identyfikatory TargetResourceId Identyfikator zasobu sieci wirtualnej, która doświadczyła zmiany w aplikacji kolekcji reguł.
Komunikat Komunikat statyczny z informacją, czy zmiana kolekcji reguł zakończyła się powodzeniem lub niepowodzeniem.
AppliedRuleCollectionIds Kolekcja kolekcji reguł administratora zabezpieczeń, które są stosowane do sieci wirtualnej w momencie emitowania dziennika. Może istnieć wiele identyfikatorów kolekcji reguł wymienionych, ponieważ sieć wirtualna może należeć do wielu grup sieciowych i mieć wiele kolekcji reguł zastosowanych jednocześnie.

Atrybuty zmiany konfiguracji łączności

Ta kategoria emituje jeden dziennik na zmianę konfiguracji łączności na sieć wirtualną. Dlatego po zastosowaniu lub usunięciu konfiguracji łączności z siecią wirtualną za pośrednictwem jej grupy sieciowej dziennik jest emitowany z powodu tej zmiany w konfiguracji łączności ustawionej dla tej konkretnej sieci wirtualnej. Następujące atrybuty odpowiadają dziennikom, które zostaną wysłane do konta magazynu; Dzienniki usługi Log Analytics będą miały nieco inne atrybuty.

Atrybut opis
time Data/godzina zarejestrowania zdarzenia.
resourceId Identyfikator zasobu menedżera sieci.
lokalizacja Lokalizacja zasobu sieci wirtualnej.
operationName Operacja, która spowodowała dodanie lub usunięcie sieci wirtualnej.
category Kategoria tego dziennika. Zawsze łącznośćKonfiguracjaChange.
resultType Wskazuje pomyślną lub nieudaną operację.
correlationId Identyfikator GUID, który może pomóc powiązać lub debugować dzienniki.
poziom Informacje lub ostrzeżenie.
właściwości Kolekcja właściwości dziennika.

W atrybucie properties znajduje się kilka atrybutów zagnieżdżonych:

atrybuty właściwości opis
AppliedConnectivityConfigurations Kolekcja konfiguracji łączności, które są stosowane do sieci wirtualnej w momencie emitowania dziennika. Może istnieć wiele konfiguracji łączności wymienionych, ponieważ grupa sieci może mieć wiele konfiguracji łączności zastosowanych jednocześnie, a sieć wirtualna może należeć do wielu grup sieciowych z wieloma konfiguracjami łączności zastosowanymi jednocześnie.
Identyfikatory TargetResourceId Identyfikator zasobu sieci wirtualnej, która doświadczyła zmiany w aplikacji konfiguracji łączności.
Komunikat Komunikat statyczny z informacją, czy zmiana konfiguracji łączności zakończyła się powodzeniem lub niepowodzeniem.

Uwaga

Konfiguracja łączności umożliwia sieciom wirtualnym nakładające się przestrzenie IP w tej samej połączonej grupie, ale komunikacja z nakładanym adresem IP jest przerywana. Ponadto gdy sieć wirtualna połączonej grupy jest połączona za pomocą komunikacji równorzędnej z zewnętrzną siecią wirtualną (siecią wirtualną, która nie znajduje się w połączonej grupie), która nakłada się przestrzenie adresowe, stają się niedostępne w połączonej grupie. Ruch z równorzędnej sieci wirtualnej do nakładających się przestrzeni adresowych jest kierowany do zewnętrznej sieci wirtualnej, podczas gdy ruch z innych sieci wirtualnych w połączonej grupie do nakładających się przestrzeni adresowych zostaje porzucony. Dzienniki będą wyświetlać poziom "Ostrzeżenie" z TargetResourceIds polem wskazującym identyfikatory sieci wirtualnych z nakładającymi się przestrzeniami adresowymi i wskazującą message , że pełne lub częściowe przestrzenie adresowe są niedostępne z powodu nakładających się adresów.

W atrybucie AppliedConnectivityConfigurations znajduje się kilka atrybutów zagnieżdżonych:

AppliedConnectivityConfigurations atrybuty opis
Identyfikator konfiguracji Identyfikator konfiguracji łączności zastosowanej do sieci wirtualnej.
Topologia Typ topologii konfiguracji łączności jest przeznaczony do skompilowania między grupami sieci, do których jest stosowany. Może to być siatka lub hubAndSpoke.

Uzyskiwanie dostępu do dzienników

W zależności od sposobu korzystania z dzienników zdarzeń należy skonfigurować obszar roboczy usługi Log Analytics lub konto magazynu do przechowywania zdarzeń dziennika.

  • Dowiedz się, jak utworzyć obszar roboczy usługi Log Analytics.
  • Dowiedz się, jak utworzyć konto magazynu.

Podczas konfigurowania obszaru roboczego usługi Log Analytics lub konta magazynu należy wybrać region. Jeśli używasz konta magazynu, musi znajdować się w tym samym regionie menedżera sieci wirtualnej, z którego uzyskujesz dostęp do dzienników. Jeśli używasz obszaru roboczego usługi Log Analytics, może on znajdować się w dowolnym regionie.

Menedżer sieci, który uzyskuje dostęp do zdarzeń, nie musi znajdować się w tej samej subskrypcji co obszar roboczy usługi Log Analytics lub konto magazynu używane do magazynowania, ale uprawnienia mogą ograniczyć możliwość uzyskiwania dostępu do dzienników w różnych subskrypcjach.

Uwaga

Aby wygenerować dzienniki, co najmniej jedna sieć wirtualna musi doświadczyć zdarzenia przechwyconego przez powyższe kategorie. Dziennik zostanie wygenerowany dla każdego zdarzenia kilka minut po wystąpieniu zmiany.

Następne kroki