Opções de log de eventos para o Gerenciador de Rede Virtual do Azure
O Gerenciador de Rede Virtual do Azure usa o Azure Monitor para coleta e análise de dados, como muitos outros serviços do Azure. O Gerenciador de Rede Virtual do Azure fornece logs de eventos para cada gerenciador de rede. Você pode armazenar e exibir logs de eventos com a ferramenta Log Analytics do Azure Monitor no portal do Azure e por meio de uma conta de armazenamento. Você também pode enviar esses logs para uma solução de parceiro ou hub de eventos.
Categorias de log com suporte
Atualmente, o Gerenciador de Rede Virtual do Azure fornece as seguintes categorias de log:
- Alteração da associação de grupo de rede
- Acompanhe quando a associação de grupo de rede de uma determinada rede virtual é modificada. Em outras palavras, um log é emitido quando uma rede virtual é adicionada ou removida de um grupo de rede. Isso pode ser usado para rastrear alterações de associação de grupo de rede ao longo do tempo e capturar um instantâneo da associação de grupo de rede de uma determinada rede virtual.
- Alteração da coleção de regras
- Acompanhe quando o conjunto de coleções de regras de administrador de segurança aplicadas de uma determinada rede virtual é alterado. Um log é emitido para cada coleção de regras implantada em uma rede virtual por meio do grupo de rede que a coleção de regras está direcionando. Qualquer remoção de uma coleção de regras de um grupo de rede por meio de um processo de implantação também resultará em um log para cada rede virtual afetada. Esse esquema pode ser usado para rastrear quais coleções de regras foram implantadas em uma rede virtual específica ao longo do tempo.
- Se uma rede virtual estiver recebendo coleções de regras de administrador de segurança de vários gerenciadores de rede, os logs serão emitidos separadamente para cada gerenciador de rede para suas respectivas alterações de coleção de regras.
- Se uma rede virtual for adicionada ou removida de um grupo de rede que já tenha uma(s) coleção(s) de regras implantada nela, um log será emitido para essa rede virtual mostrando o estado das coleções de regras aplicadas.
- Alteração na configuração de conectividade
- Acompanhe quando as configurações de conectividade aplicadas de uma rede virtual específica são alteradas. Um log é emitido para cada configuração de conectividade implantada em uma rede virtual por meio do grupo de rede ao qual a configuração está direcionada. A remoção de uma configuração de conectividade de um grupo de rede, ou vice-versa, por meio de um processo de implantação também resultará em um log para cada rede virtual afetada. Esse esquema pode ser usado para monitorar quais configurações de conectividade e seus tipos de topologia correspondentes foram implantados em uma rede virtual específica ao longo do tempo.
- Se uma rede virtual estiver recebendo configurações de conectividade de vários gerenciadores de rede, os logs serão emitidos separadamente para cada gerenciador de rede para suas respectivas alterações de configuração.
- Se uma rede virtual for adicionada ou removida de um grupo de rede que já tenha configurações de conectividade implantadas, um log será emitido para essa rede virtual mostrando o estado das configurações de conectividade aplicadas.
Atributos de alteração de associação de grupo de rede
Essa categoria emite um log por alteração de associação de grupo de rede. Portanto, quando uma rede virtual é adicionada ou removida de um grupo de rede, um log é emitido correlacionando-se a essa única adição ou remoção para essa rede virtual específica. Os atributos a seguir correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics têm atributos ligeiramente diferentes.
| Atributo | Descrição |
|---|---|
| time | Datetime quando o evento foi registrado. |
| resourceId | ID do recurso do gerenciador de rede. |
| local | Local do recurso de rede virtual. |
| operationName | Operação que resultou na adição ou remoção da rede virtual. Sempre a operação Microsoft.Network/virtualNetworks/networkGroupMembership/write. |
| category | Categoria deste log. Sempre NetworkGroupMembershipChange. |
| resultType | Indica uma operação bem-sucedida ou com falha. |
| correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
| level | Sempre Informações. |
| properties | Coleção de propriedades do log. |
Dentro do atributo properties há vários atributos aninhados:
| atributos de propriedades | Descrição |
|---|---|
| Message | Uma mensagem estática informando se uma alteração de associação de grupo de rede foi bem-sucedida ou sem êxito. |
| MembershipId | ID de associação padrão da rede virtual. |
| GroupMemberships | Coleção de quais grupos de rede a rede virtual pertence. Pode haver vários NetworkGroupId e Sources listados dentro dessa propriedade, pois uma rede virtual pode pertencer a vários grupos de rede simultaneamente. |
| MemberResourceIds | ID de recurso da rede virtual que foi adicionada ou removida de um grupo de rede. |
Dentro do atributo GroupMemberships há vários atributos aninhados:
| Atributos GroupMemberships | Descrição |
|---|---|
| NetworkGroupId | ID de um grupo de rede ao qual a rede virtual pertence. |
| Origens | Coleção de como a rede virtual é membro do grupo de rede. |
Dentro do atributo Sources há vários atributos aninhados:
| Atributos de fontes | Descrição |
|---|---|
| Tipo | Indica se a rede virtual foi adicionada manualmente (StaticMembership) ou condicionalmente por meio do Azure Policy (Policy). |
| StaticMemberId | Se o valor de Tipo for StaticMembership, essa propriedade será exibida. |
| PolicyAssignmentId | Se o valor de Tipo for Policy, essa propriedade será exibida. ID da atribuição do Azure Policy que associa a definição do Azure Policy ao grupo de rede. |
| PolicyDefinitionId | Se o valor de Tipo for Policy, essa propriedade será exibida. ID da definição do Azure Policy que contém as condições para a associação do grupo de rede. |
Atributos de alteração da coleção de regras
Essa categoria emite um log por alteração de coleção de regras de administrador de segurança por rede virtual. Portanto, quando uma coleção de regras de administrador de segurança é aplicada ou removida de uma rede virtual por meio de seu grupo de rede, um log é emitido correlacionando-se a essa alteração na coleção de regras para essa rede virtual específica. Os atributos a seguir correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics terão atributos ligeiramente diferentes.
| Atributo | Descrição |
|---|---|
| time | Datetime quando o evento foi registrado. |
| resourceId | ID do recurso do gerenciador de rede. |
| local | Local do recurso de rede virtual. |
| operationName | Operação que resultou na adição ou remoção da rede virtual. Sempre a operação Microsoft.Network/networkManagers/securityAdminRuleCollections/write. |
| category | Categoria deste log. Sempre RuleCollectionChange. |
| resultType | Indica uma operação bem-sucedida ou com falha. |
| correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
| level | Sempre Informações. |
| properties | Coleção de propriedades do log. |
Dentro do atributo properties há vários atributos aninhados:
| atributos de propriedades | Descrição |
|---|---|
| TargetResourceIds | ID do recurso da rede virtual que experimentou uma alteração no aplicativo de coleta de regras. |
| Message | Uma mensagem estática informando se uma alteração de coleção de regras foi bem-sucedida ou mal sucedida. |
| AppliedRuleCollectionIds | Coleção de quais coleções de regras de administrador de segurança são aplicadas à rede virtual no momento em que o log foi emitido. Pode haver várias IDs de coleção de regras listadas, pois uma rede virtual pode pertencer a vários grupos de rede e ter várias coleções de regras aplicadas simultaneamente. |
Atributos de alteração na configuração de conectividade
Essa categoria emite um log por alteração na configuração de conectividade por rede virtual. Assim, quando uma configuração de conectividade é aplicada ou removida de uma rede virtual por meio de seu grupo de rede, um log é emitido correlacionando-se a essa alteração no conjunto de configurações de conectividade para essa rede virtual específica. Os atributos a seguir correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics terão atributos ligeiramente diferentes.
| Atributo | Descrição |
|---|---|
| time | Datetime quando o evento foi registrado. |
| resourceId | ID do recurso do gerenciador de rede. |
| local | Local do recurso de rede virtual. |
| operationName | Operação que resultou na adição ou remoção da rede virtual. |
| category | Categoria deste log. Sempre ConnectivityConfigurationChange. |
| resultType | Indica uma operação bem-sucedida ou com falha. |
| correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
| Nível | Informações ou aviso. |
| properties | Coleção de propriedades do log. |
Dentro do atributo properties há vários atributos aninhados:
| atributos de propriedades | Descrição |
|---|---|
| AppliedConnectivityConfigurations | Coleção de quais configurações de conectividade são aplicadas à rede virtual no momento em que o log foi emitido. Pode haver várias configurações de conectividade listadas, já que um grupo de rede pode ter várias configurações de conectividade aplicadas ao mesmo tempo, e uma rede virtual pode pertencer a vários grupos de rede com várias configurações de conectividade aplicadas simultaneamente também. |
| TargetResourceIds | ID do recurso da rede virtual que sofreu uma alteração no aplicativo de configuração de conectividade. |
| Mensagem | Uma mensagem estática informando se uma alteração na configuração de conectividade foi bem-sucedida ou mal sucedida. |
Observação
A configuração de conectividade permite redes virtuais com espaços IP sobrepostos dentro do mesmo grupo conectado, mas a comunicação com um endereço IP sobreposto é descartada. Além disso, quando a VNet de um grupo conectado é emparelhada com uma VNet externa (uma VNet que não está no grupo conectado) que tem espaços de endereço sobrepostos, esses espaços de endereço sobrepostos tornam-se inacessíveis dentro do grupo conectado. O tráfego da VNet emparelhada para os espaços de endereço sobrepostos é roteado para a VNet externa, enquanto o tráfego de outras VNets no grupo conectado para os espaços de endereço sobrepostos é descartado. Os logs mostrarão um nível de "Aviso", com o campo TargetResourceIds indicando as IDs de VNets com espaços de endereço sobrepostos e uma message indicando que os espaços de endereço completos ou parciais estão inacessíveis devido a endereços sobrepostos.
Dentro do atributo AppliedConnectivityConfigurations há vários atributos aninhados:
| Atributos AppliedConnectivityConfigurations | Descrição |
|---|---|
| ConfigurationId | ID de uma configuração de conectividade aplicada na rede virtual. |
| Topologia | Tipo de topologia à qual a configuração de conectividade visa estabelecer entre os grupos de rede aos quais é aplicada. Pode ser Mesh ou HubAndSpoke. |
Acessando os logs
Dependendo de como você consome logs de eventos, você precisa configurar um workspace do Log Analytics ou uma conta de armazenamento para armazenar seus eventos de log.
- Saiba como criar um workspace do Log Analytics.
- Saiba como criar uma conta de armazenamento.
Ao configurar um workspace do Log Analytics ou uma conta de armazenamento, você precisa selecionar uma região. Se você estiver usando uma conta de armazenamento, ela precisará estar na mesma região do gerenciador de rede virtual da qual você está acessando logs. Se você estiver usando um workspace do Log Analytics, ele poderá estar em qualquer região.
O gerenciador de rede que acessa os eventos não precisa estar na mesma assinatura que o workspace do Log Analytics ou a conta de armazenamento usada para armazenamento, mas as permissões podem restringir sua capacidade de acessar logs em assinaturas diferentes.
Observação
Pelo menos uma rede virtual deve passar por um evento capturado pelas categorias acima para gerar logs. Um log será gerado para cada evento, alguns minutos após a mudança ocorrer.
Próximas etapas
- Saiba como começar a usar os logs de eventos do Gerenciador de Rede Virtual do Azure.
- Saiba como criar uma instância do Gerenciador de Rede Virtual do Azure utilizando o Portal do Azure.
- Saiba mais sobre grupos de segurança no Gerenciador de Rede Virtual do Azure.