Opções de log de eventos para o Azure Virtual Network Manager
O Azure Virtual Network Manager usa o Azure Monitor para coleta e análise de dados como muitos outros serviços do Azure. O Azure Virtual Network Manager fornece logs de eventos para cada gerente de rede. Você pode armazenar e exibir logs de eventos com a ferramenta Log Analytics do Azure Monitor no portal do Azure e por meio de uma conta de armazenamento. Você também pode enviar esses logs para um hub de eventos ou solução de parceiro.
Categorias de log suportadas
O Azure Virtual Network Manager atualmente fornece as seguintes categorias de log:
- Alteração da associação ao grupo de rede
- Acompanhe quando a associação ao grupo de rede de uma determinada rede virtual é modificada. Em outras palavras, um log é emitido quando uma rede virtual é adicionada ou removida de um grupo de rede. Isso pode ser usado para rastrear as alterações de associação de grupo de rede ao longo do tempo e para capturar um instantâneo da associação de grupo de rede de uma rede virtual específica.
- Alteração na coleção de regras
- Acompanhe quando o conjunto de coleções de regras de administração de segurança aplicadas de uma determinada rede virtual é alterado. Um log é emitido para cada coleção de regras implantada em uma rede virtual por meio do grupo de rede a que a coleção de regras está direcionada. Qualquer remoção de uma coleção de regras de um grupo de rede por meio de um processo de implantação também resultará em um log para cada rede virtual afetada. Esse esquema pode ser usado para controlar quais coleções de regras foram implantadas em uma rede virtual específica ao longo do tempo.
- Se uma rede virtual estiver recebendo coleções de regras de administração de segurança de vários gerentes de rede, os logs serão emitidos separadamente para cada gerente de rede para suas respetivas alterações de coleta de regras.
- Se uma rede virtual for adicionada ou removida de um grupo de rede que já tenha uma coleção de regras implantada nela, um log será emitido para essa rede virtual mostrando o estado da(s) coleção(ões) de regras aplicadas.
- Alteração na configuração da conectividade
- Acompanhe quando a(s) configuração(ões) de conectividade aplicada(s) de uma determinada rede virtual muda. Um log é emitido para cada configuração de conectividade implantada em uma rede virtual por meio do grupo de rede que a configuração está direcionando. Qualquer remoção de uma configuração de conectividade de um grupo de rede ou vice-versa por meio de um processo de implantação também resultará em um log para cada rede virtual afetada. Esse esquema pode ser usado para controlar quais configurações de conectividade e seus respetivos tipos de topologia foram implantados em uma determinada rede virtual ao longo do tempo.
- Se uma rede virtual estiver recebendo configurações de conectividade de vários gerenciadores de rede, os logs serão emitidos separadamente para cada gerente de rede para suas respetivas alterações de configuração.
- Se uma rede virtual for adicionada ou removida de um grupo de rede que já tenha uma configuração de conectividade implantada nela, um log será emitido para essa rede virtual mostrando o estado da(s) configuração(ões) de conectividade aplicada(s).
Atributos de alteração de associação a grupos de rede
Esta categoria emite um log por alteração de associação ao grupo de rede. Assim, quando uma rede virtual é adicionada ou removida de um grupo de rede, um log é emitido correlacionado a essa única adição ou remoção para essa rede virtual específica. Os seguintes atributos correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics têm atributos ligeiramente diferentes.
Atributo | Description |
---|---|
hora | Data/hora em que o evento foi registado. |
resourceId | ID do recurso do gestor de rede. |
localização | Localização do recurso de rede virtual. |
operationName | Operação que resultou na adição ou remoção da rede virtual. Sempre a operação Microsoft.Network/virtualNetworks/networkGroupMembership/write. |
category | Categoria deste log. Sempre NetworkGroupMembershipChange. |
resultType | Indica operação bem-sucedida ou com falha. |
correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
nível | Sempre Informação. |
propriedades | Coleção de propriedades do log. |
Dentro do properties
atributo estão vários atributos aninhados:
atributos de propriedades | Description |
---|---|
Mensagem | Uma mensagem estática informando se uma alteração de associação de grupo de rede foi bem-sucedida ou malsucedida. |
MembershipId | ID de associação padrão da rede virtual. |
Associações de Grupo | Coleção de quais grupos de rede a rede virtual pertence. Pode haver vários NetworkGroupId e Sources listados dentro desta propriedade, uma vez que uma rede virtual pode pertencer a vários grupos de rede simultaneamente. |
MemberResourceIds | ID do recurso da rede virtual que foi adicionada ou removida de um grupo de rede. |
Dentro do GroupMemberships
atributo estão vários atributos aninhados:
Atributos GroupMemberships | Description |
---|---|
NetworkGroupId | ID de um grupo de rede ao qual a rede virtual pertence. |
Origens | Coleção de como a rede virtual é um membro do grupo de rede. |
Dentro do Sources
atributo estão vários atributos aninhados:
Atributos de fontes | Description |
---|---|
Type | Indica se a rede virtual foi adicionada manualmente (StaticMembership) ou condicionalmente por meio da Política do Azure (Policy). |
StaticMemberId | Se o valor Type for StaticMembership, essa propriedade será exibida. |
PolicyAssignmentId | Se o valor Type for Policy, essa propriedade será exibida. ID da atribuição de Política do Azure que associa a definição de Política do Azure ao grupo de rede. |
PolicyDefinitionId | Se o valor Type for Policy, essa propriedade será exibida. ID da definição de Política do Azure que contém as condições para a associação do grupo de rede. |
Atributos de alteração da coleção de regras
Esta categoria emite um log por alteração de coleta de regra de administrador de segurança por rede virtual. Assim, quando uma coleção de regras de administrador de segurança é aplicada ou removida de uma rede virtual por meio de seu grupo de rede, um log é emitido correlacionado a essa alteração na coleção de regras para essa rede virtual específica. Os seguintes atributos correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics terão atributos ligeiramente diferentes.
Atributo | Description |
---|---|
hora | Data/hora em que o evento foi registado. |
resourceId | ID do recurso do gestor de rede. |
localização | Localização do recurso de rede virtual. |
operationName | Operação que resultou na adição ou remoção da rede virtual. Sempre a operação Microsoft.Network/networkManagers/securityAdminRuleCollections/write. |
category | Categoria deste log. Sempre RuleCollectionChange. |
resultType | Indica operação bem-sucedida ou com falha. |
correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
nível | Sempre Informação. |
propriedades | Coleção de propriedades do log. |
Dentro do properties
atributo estão vários atributos aninhados:
atributos de propriedades | Description |
---|---|
TargetResourceIds | ID de recurso da rede virtual que sofreu uma alteração no aplicativo de coleta de regras. |
Mensagem | Uma mensagem estática informando se uma alteração na coleção de regras foi bem-sucedida ou malsucedida. |
AppliedRuleCollectionIds | Coleta de quais coleções de regras de administrador de segurança são aplicadas à rede virtual no momento em que o log foi emitido. Pode haver várias IDs de coleção de regras listadas, uma vez que uma rede virtual pode pertencer a vários grupos de rede e ter várias coleções de regras aplicadas simultaneamente. |
Atributos de alteração de configuração de conectividade
Esta categoria emite um log por alteração de configuração de conectividade por rede virtual. Assim, quando uma configuração de conectividade é aplicada ou removida de uma rede virtual por meio de seu grupo de rede, um log é emitido correlacionado a essa alteração no conjunto de configurações de conectividade para essa rede virtual específica. Os seguintes atributos correspondem aos logs que seriam enviados para sua conta de armazenamento; Os logs do Log Analytics terão atributos ligeiramente diferentes.
Atributo | Description |
---|---|
hora | Data/hora em que o evento foi registado. |
resourceId | ID do recurso do gestor de rede. |
localização | Localização do recurso de rede virtual. |
operationName | Operação que resultou na adição ou remoção da rede virtual. |
category | Categoria deste log. Sempre ConnectivityConfigurationChange. |
resultType | Indica operação bem-sucedida ou com falha. |
correlationId | GUID que pode ajudar a relacionar ou depurar logs. |
nível | Informação ou Aviso. |
propriedades | Coleção de propriedades do log. |
Dentro do properties
atributo estão vários atributos aninhados:
atributos de propriedades | Description |
---|---|
AppliedConnectivityConfigurations | Coleta de quais configurações de conectividade são aplicadas à rede virtual no momento em que o log foi emitido. Pode haver várias configurações de conectividade listadas, uma vez que um grupo de rede pode ter várias configurações de conectividade aplicadas simultaneamente, e uma rede virtual pode pertencer a vários grupos de rede com várias configurações de conectividade aplicadas simultaneamente também. |
TargetResourceIds | ID de recurso da rede virtual que sofreu uma alteração no aplicativo de configuração de conectividade. |
Mensagem | Uma mensagem estática informando se a alteração na configuração de conectividade foi bem-sucedida ou malsucedida. |
Nota
A configuração de conectividade permite redes virtuais com espaços IP sobrepostos dentro do mesmo grupo conectado, mas a comunicação com um endereço IP sobreposto é descartada. Além disso, quando a VNet de um grupo conectado é emparelhada com uma VNet externa (uma VNet que não está no grupo conectado) que tem espaços de endereço sobrepostos, esses espaços de endereço sobrepostos tornam-se inacessíveis dentro do grupo conectado. O tráfego da VNet emparelhada para os espaços de endereço sobrepostos é roteado para a VNet externa, enquanto o tráfego de outras VNets no grupo conectado para os espaços de endereço sobrepostos é descartado. Os logs mostrarão um nível de "Aviso", com o TargetResourceIds
campo indicando as IDs de redes virtuais com espaços de endereço sobrepostos e um message
indicando que espaços de endereço completos ou parciais estão inacessíveis devido a endereços sobrepostos.
Dentro do AppliedConnectivityConfigurations
atributo estão vários atributos aninhados:
Atributos AppliedConnectivityConfigurations | Description |
---|---|
ConfigurationId | ID de uma configuração de conectividade aplicada à rede virtual. |
Topologia | Tipo de topologia que a configuração de conectividade se destina a construir entre o(s) grupo(s) de rede ao(s) qual(is) é aplicada. Pode ser Mesh ou HubAndSpoke. |
Aceder aos registos
Dependendo de como você consome logs de eventos, você precisa configurar um espaço de trabalho do Log Analytics ou uma conta de armazenamento para armazenar seus eventos de log.
- Aprenda a criar um espaço de trabalho do Log Analytics.
- Aprenda a criar uma conta de armazenamento.
Ao configurar um espaço de trabalho do Log Analytics ou uma conta de armazenamento, você precisa selecionar uma região. Se você estiver usando uma conta de armazenamento, ela precisará estar na mesma região do gerenciador de rede virtual a partir do qual você está acessando os logs. Se você estiver usando um espaço de trabalho do Log Analytics, ele pode estar em qualquer região.
O gestor de rede que acede aos eventos não tem de estar na mesma subscrição que a área de trabalho do Log Analytics ou a conta de armazenamento utilizada para armazenamento, mas as permissões podem restringir a sua capacidade de aceder a registos em subscrições diferentes.
Nota
Pelo menos uma rede virtual deve experimentar um evento capturado pelas categorias acima para gerar logs. Um log será gerado para cada evento alguns minutos após a alteração ocorrer.
Próximos passos
- Saiba como começar a usar os logs de eventos do Azure Virtual Network Manager.
- Saiba como criar uma instância do Azure Virtual Network Manager usando o Portal do Azure.
- Saiba mais sobre grupos de rede no Azure Virtual Network Manager.