Guia de início rápido: configurar logs de fluxo NSG do Observador de Rede do Azure usando um arquivo Bicep

Neste guia de início rápido, você aprenderá a habilitar logs de fluxo NSG usando um arquivo Bicep.

O Bicep é uma linguagem específica do domínio que utiliza sintaxe declarativa para implementar recursos do Azure. Fornece sintaxe concisa, segurança de tipos fiável e suporte para reutilização de código. O Bicep oferece a melhor experiência de criação para suas soluções de infraestrutura como código no Azure.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Se não tiver uma, crie uma conta gratuita antes de começar.

• Para implantar os arquivos Bicep, a CLI do Azure ou o PowerShell estão instalados.

  CLI do Azure

  1. Instale a CLI do Azure localmente para executar os comandos.

  2. Entre no Azure usando o comando az login .

  PowerShell

  1. Instale o Azure PowerShell localmente para executar os cmdlets.

  2. Entre no Azure usando o cmdlet Connect-AzAccount .

Revise o arquivo Bicep

Este guia de início rápido usa o modelo Criar Bicep de logs de fluxo NSG dos Modelos de Início Rápido do Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Os seguintes recursos são definidos no arquivo Bicep:

• Microsoft.Storage/storageContas
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

O código realçado no exemplo anterior mostra uma definição de recurso de log de fluxo NSG.

Implantar o arquivo Bicep

Este guia de início rápido pressupõe que você tenha um grupo de segurança de rede que possa habilitar o logon de fluxo.

1. Salve o arquivo Bicep como main.bicep em seu computador local.

2. Implante o arquivo Bicep usando a CLI do Azure ou o Azure PowerShell.

   CLI do Azure

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   PowerShell

   New-AzResourceGroup -Name exampleRG -Location eastus
   New-AzResourceGroupDeployment -ResourceGroupName exampleRG -TemplateFile ./main.bicep
   

   Ser-lhe-á pedido que introduza o ID do recurso do grupo de segurança de rede existente. A sintaxe do ID do recurso do grupo de segurança de rede é:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Quando a implantação terminar, você verá uma mensagem indicando que a implantação foi bem-sucedida.

Validar a implementação

Você tem duas opções para ver se sua implantação foi bem-sucedida:

• A consola é apresentada ProvisioningState como Succeeded.
• Vá para a página do portal de logs de fluxo NSG para confirmar suas alterações.

Se houver problemas com a implantação, consulte Solucionar erros comuns de implantação do Azure com o Azure Resource Manager.

Clean up resources (Limpar recursos)

Você pode excluir recursos do Azure usando o modo de implantação completo. Para excluir um recurso de logs de fluxo, especifique uma implantação no modo completo sem incluir o recurso que você deseja excluir. Leia mais sobre o modo de implantação completo.

Você também pode desabilitar um log de fluxo NSG no portal do Azure:

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

3. Em Logs, selecione Logs de fluxo.

4. Na lista de logs de fluxo, selecione o log de fluxo que você deseja desabilitar.

5. Selecione Desativar.

Conteúdos relacionados

Para saber como visualizar os dados dos logs de fluxo do NSG, consulte:

• Visualizar logs de fluxo NSG usando o Power BI.
• Visualize logs de fluxo NSG usando ferramentas de código aberto.
• Análise de Tráfego.