Migrar de logs de fluxo de grupo de segurança de rede para logs de fluxo de rede virtual
Importante
Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte dessa desativação, você não poderá mais criar novos logs de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para logs de fluxo de rede virtual, que superam as limitações dos logs de fluxo NSG. Após a data de desativação, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada e os recursos existentes de logs de fluxo NSG em suas assinaturas serão excluídos. No entanto, os registros de logs de fluxo do NSG não serão excluídos e continuarão a seguir suas respetivas políticas de retenção. Para obter mais informações, veja o anúncio oficial.
Neste artigo, você aprenderá a migrar seus logs de fluxo de grupo de segurança de rede existentes para logs de fluxo de rede virtual usando um script de migração. Os logs de fluxo de rede virtual superam algumas das limitações dos logs de fluxo do grupo de segurança de rede. Para obter mais informações, consulte Logs de fluxo de rede virtual.
Nota
Use o script de migração:
- quando você não tem o log de fluxo habilitado em todas as interfaces de rede ou sub-redes em uma rede virtual e não deseja habilitar o log de fluxo de rede virtual em todas elas, ou
- Quando os logs de fluxo do grupo de segurança de rede em uma rede virtual têm configurações diferentes e você deseja criar logs de fluxo de rede virtual com essas configurações diferentes como os logs de fluxo do grupo de segurança de rede.
Use a Política do Azure:
- quando você tem o mesmo grupo de segurança de rede aplicado a todas as interfaces de rede ou sub-redes em uma rede virtual,
- quando você tiver as mesmas configurações de log de fluxo do grupo de segurança de rede para todas as interfaces de rede ou sub-redes em uma rede virtual, ou
- quando você deseja habilitar o log de fluxo de rede virtual no nível de rede virtual.
Para obter mais informações, consulte Implantar e configurar logs de fluxo de rede virtual usando uma política interna.
Pré-requisitos
Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
PowerShell 7 instalado em sua máquina. Para obter mais informações, consulte Instalar o PowerShell no Windows, Linux e macOS. Este artigo requer o módulo Az PowerShell. Para obter mais informações, consulte Como instalar o Azure PowerShell. Para localizar a versão instalada, execute
Get-Module -ListAvailable Az
.Permissões RBAC necessárias para as assinaturas dos logs de fluxo e espaços de trabalho do Log Analytics (se a análise de tráfego estiver habilitada para qualquer um dos logs de fluxo do grupo de segurança de rede). Para obter mais informações, consulte Permissões do Inspetor de Rede.
Logs de fluxo do grupo de segurança de rede em uma região ou mais. Para obter mais informações, consulte Criar logs de fluxo de grupo de segurança de rede.
Gerar script de migração
Nesta seção, você aprenderá a gerar e baixar os arquivos de migração para os logs de fluxo do grupo de segurança de rede que deseja migrar.
Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.
Em Logs, selecione Migrar logs de fluxo.
Selecione as assinaturas que contêm os logs de fluxo do grupo de segurança de rede que você deseja migrar.
Para cada assinatura, selecione as regiões que contêm os logs de fluxo que você deseja migrar. O total de logs de fluxo NSG mostra o número total de logs de fluxo que estão nas assinaturas selecionadas. Os logs de fluxo NSG selecionados mostram o número de logs de fluxo nas regiões selecionadas.
Depois de escolher as assinaturas e regiões, selecione Baixar script e arquivo JSON para baixar os arquivos de migração como um arquivo zip.
Extraia
MigrateFlowLogs.zip
o arquivo em sua máquina local. O ficheiro zip contém estes dois ficheiros:- Um arquivo de script:
MigrationFromNsgToAzureFlowLogging.ps1
- um arquivo JSON:
RegionSubscriptionConfig.json
.
- Um arquivo de script:
Executar script de migração
Nesta seção, você aprenderá a usar o arquivo de script baixado na seção anterior para migrar os logs de fluxo do grupo de segurança de rede.
Importante
Depois de começar a executar o script, você não deve fazer nenhuma alteração na topologia nas regiões e assinaturas dos logs de fluxo que está migrando.
Execute o arquivo de
MigrationFromNsgToAzureFlowLogging.ps1
script .Digite 1 para a opção Executar análise .
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. Quit
Digite o nome do arquivo JSON.
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
Insira o número de threads ou deixe em branco para usar o valor padrão de 16.
Please enter the number of threads you would like to use, press enter for using default value of 16:
Após a conclusão da análise, você verá o relatório de análise na tela e em um arquivo html no mesmo diretório dos arquivos de migração. O relatório lista o número de logs de fluxo do grupo de segurança de rede que serão desabilitados e o número de logs de fluxo de rede virtual criados para substituí-los. O número de logs de fluxo de rede virtual criados depende do tipo de migração escolhido. Por exemplo, se o grupo de segurança de rede que você está migrando seu log de fluxo estiver associado a três interfaces de rede na mesma rede virtual, você poderá escolher a migração com agregação para ter um único recurso de log de fluxo de rede virtual aplicado à rede virtual. Você também pode escolher a migração sem agregação para ter três logs de fluxo de rede virtual (um recurso de log de fluxo de rede virtual por interface de rede).
Nota
Consulte
AnalysisReport-<subscriptionId>-<region>-<time>.html
o arquivo para obter um relatório completo da análise que você realizou. O arquivo está disponível no mesmo diretório do script.Digite 2 ou 3 para escolher o tipo de migração que deseja executar.
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. Quit
Depois de ver o resumo da migração na tela, você pode cancelar a migração e reverter as alterações. Para aceitar e prosseguir com a migração, digite n, caso contrário, digite y. Depois de aceitar as alterações, não é possível revertê-las.
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
Nota
Mantenha os arquivos de script e relatório de análise para referência caso tenha algum problema com a migração.
Verifique o portal do Azure para confirmar se o status dos logs de fluxo do grupo de segurança de rede que você migrou ficou desabilitado. Verifique também os logs de fluxo de rede virtual recém-criados como resultado do processo de migração.
Adicione um filtro para listar apenas os logs de fluxo do grupo de segurança de rede das assinaturas e regiões que você escolher. Você pode ignorar esta etapa se tiver migrado apenas alguns logs de fluxo do grupo de segurança de rede.
Selecione os logs de fluxo que deseja excluir e, em seguida, selecione Excluir
Digite excluir e, em seguida, selecione Excluir para confirmar a exclusão.
Considerações
Conjunto de dimensionamento com um balanceador de carga: o script de migração permite o registro em log de fluxo de rede virtual na sub-rede que tem as máquinas virtuais definidas em escala.
Nota
Se o log de fluxo do grupo de segurança de rede não estiver habilitado em todas as interfaces de rede do conjunto de escala, ou se as interfaces de rede não compartilharem o mesmo log de fluxo do grupo de segurança de rede, um log de fluxo de rede virtual será criado na sub-rede com as mesmas configurações de uma das interfaces de rede do conjunto de escala.
PaaS: o script de migração não suporta ambientes com soluções PaaS que têm logs de fluxo de grupo de segurança de rede na assinatura de um usuário, mas os recursos de destino estão em assinaturas diferentes. Para esses ambientes, você deve habilitar manualmente o log de fluxo de rede virtual na rede virtual ou sub-rede da solução PaaS.