Учебник. Регистрация потока входящего и исходящего сетевого трафика виртуальной машины с помощью портала Azure

Внимание

30 сентября 2027 г. журналы потоков группы безопасности сети (NSG) будут выведены из эксплуатации. В рамках этого выхода на пенсию вы больше не сможете создавать новые журналы потоков NSG с 30 июня 2025 года. Мы рекомендуем мигрировать на журналы потоков виртуальной сети, которые преодолевают ограничения журналов потоков NSG. После выхода на пенсию аналитика трафика, включенная с помощью журналов потоков NSG, больше не будет поддерживаться, а существующие ресурсы журналов потоков NSG в подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.

Ведение журнала потоков группы безопасности сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через группу безопасности сети. Дополнительные сведения о ведении журналов потоков группы безопасности сети см. в разделе Обзор журналов потоков NSG.

В этом руководстве показано, как использовать журналы потоков NSG для регистрации сетевого трафика виртуальной машины, который проходит через группу безопасности сети, связанную с сетевым интерфейсом.

В этом руководстве описано следующее:

• Создание виртуальной сети
• Создайте виртуальную машину с группой безопасности сети, связанной с её сетевым интерфейсом.
• Зарегистрировать поставщика Microsoft.Insights
• Активируйте ведение журнала потоков для сетевой группы безопасности с использованием журналов потоков Network Watcher
• Скачивание зарегистрированных в журнале данных.
• Просмотр зарегистрированных в журнале данных.

Предварительные условия

• Учетная запись Azure с активной подпиской. Если у вас нет, создайте бесплатную учетную запись перед началом.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть myVNet с одной подсетью для виртуальной машины.

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

   

3. Выберите + Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку Azure.
   Группа ресурсов	Выберите Создать новый. Введите myResourceGroup в поле Имя. Нажмите кнопку ОК.
   Сведения об экземпляре
   Имя.	Введите myVNet.
   Область/регион	Выберите регион (США) Восточная часть США.

4. Выберите Просмотреть и создать.

5. Проверьте параметры, а затем нажмите кнопку Создать.

Создание виртуальной машины

В этом разделе описано, как создать виртуальную машину myVM .

1. В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.

2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите myResourceGroup.
   Сведения об экземпляре
   Virtual machine name	Введите myVM.
   Область/регион	Выберите регион (США) Восточная часть США.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Выберите Стандартное.
   Изображения	Выберите Windows Server 2022 Datacenter: Azure Edition — x64-го поколения 2-го поколения.
   Размер	Выберите размер или оставьте параметр по умолчанию.
   Учетная запись администратора
   Username	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.

4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

5. На вкладке "Сеть" выберите следующие значения:

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите myVNet.
   Подсеть	Выберите mySubnet.
   Общедоступный IP-адрес	Выберите (новое) myVM-ip.
   Группа безопасности сети сетевого адаптера	Выберите Базовый. Этот параметр создает группу безопасности сети с именем myVM-nsg и связывает ее с сетевым интерфейсом виртуальной машины myVM .
   Общедоступные входящие порты	Выберите Разрешить выбранные порты.
   Выбрать входящие порты	Выберите RDP (3389).

   Внимание

   Оставлять RDP-порт открытым для интернета рекомендуется только для тестирования. Для рабочих сред рекомендуется ограничить доступ к порту RDP определенным IP-адресом или диапазоном IP-адресов. Вы также можете заблокировать доступ к интернету к порту RDP и использовать Azure Bastion для безопасного подключения к вашей виртуальной машине из портала Azure.

6. Выберите Просмотреть и создать.

7. Проверьте параметры, а затем нажмите кнопку Создать.

8. После завершения развертывания выберите "Перейти к ресурсу", чтобы перейти на страницу обзора myVM.

9. Выберите "Подключиться", а затем выберите RDP.

10. Выберите "Скачать файл RDP " и откройте скачанный файл.

11. Выберите "Подключиться ", а затем введите имя пользователя и пароль, созданные на предыдущих шагах. Примите сертификат при появлении запроса.

Регистрация поставщика Microsoft Insights

Для регистрации потока NSG требуется поставщик Microsoft.Insights. Чтобы проверить его состояние, выполните следующие действия.

1. В поле поиска в верхней части портала введите подписки. Выберите подписки из результатов поиска.

2. Выберите подписку Azure, для которой нужно включить поставщика в подписках.

3. Выберите поставщики ресурсов в разделе "Параметры" подписки.

4. Введите аналитические сведения в поле фильтра.

5. Убедитесь, что состояние поставщика — Зарегистрировано. Если статус NotRegistered, выберите поставщика Microsoft.Insights, затем нажмите Register.

   

Создание учетной записи хранилища

В этом разделе описано, как создать учетную запись хранения для хранения журналов потоков.

1. В поле поиска в верхней части портала введите учетные записи хранилища. Выберите учетные записи хранилища из результатов поиска.

2. Выберите + Создать. В разделе "Создание учетной записи хранения" введите или выберите следующие значения на вкладке "Основные сведения".

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку Azure.
   Группа ресурсов	Выберите myResourceGroup.
   Сведения об экземпляре
   Имя учетной записи хранения	Введите уникальное имя. В этом руководстве используется mynwstorageaccount.
   Область/регион	Выберите регион (США) Восточная часть США. Учетная запись хранения должна находиться в том же регионе, что и виртуальная машина и ее группа безопасности сети.
   Производительность	Выберите Стандартное. Журналы потоков NSG поддерживают только учетные записи хранения уровня "Стандартный".
   Избыточность	Выберите локально избыточное хранилище (LRS) или другую стратегию репликации, соответствующую вашим требованиям к устойчивости.

3. Выберите вкладку "Рецензирование" или нажмите кнопку "Рецензирование" внизу.

4. Проверьте параметры, а затем нажмите кнопку Создать.

Создайте журнал потоков NSG

В этом разделе вы создаете журнал потоков NSG, который сохраняется в учетной записи хранения, созданной ранее в этом учебном пособии.

1. В поле поиска в верхней части портала введите Network Watcher. Выберите Наблюдатель за сетями из результатов поиска.

2. В разделе Журналы выберите журналы потоков.

3. В Наблюдатель за сетями | Журналы потоков выберите + Создать или синюю кнопку Создать журнал потока.

   

4. Введите или выберите следующие значения в Создать журнал потоков:

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите подписку Azure для группы безопасности сети, которую вы хотите регистрировать.
   группу безопасности сети;	Выберите + Выбор ресурса. Выберите группу безопасности сети, myVM-nsg. Затем нажмите кнопку "Подтвердить выбор".
   Имя журнала потоков	Оставьте значение по умолчанию — myVM-nsg-myResourceGroup-flowlog.
   Сведения об экземпляре
   Подписка	Выберите подписку Azure вашей учетной записи хранилища.
   Учетные записи хранения	Выберите учетную запись хранения, созданную на предыдущих шагах. В этом руководстве используется mynwstorageaccount.
   Период удержания (в днях)	Введите 0 , чтобы сохранить данные журналов потоков в учетной записи хранения навсегда (пока не удалите его из учетной записи хранения). Чтобы применить политику хранения, введите время хранения в днях. Для получения информации о ценах на хранилище см. цены на хранилище Azure.

   

   Примечание.

   Портал Azure создает журналы потоков NSG в группе ресурсов NetworkWatcherRG.

5. Выберите Просмотреть и создать.

6. Проверьте параметры, а затем нажмите кнопку Создать.

7. После завершения развертывания выберите "Перейти к ресурсу ", чтобы убедиться, что журнал потоков создан и указан на странице журналов потоков.

   

8. Вернитесь к сеансу RDP с виртуальной машиной myVM .

9. Откройте Microsoft Edge и перейдите на www.bing.com.

Скачивание журнала потоков

В этом разделе описано, как перейти к выбранной учетной записи хранения и скачать журнал потоков NSG, созданный в предыдущем разделе.

1. В поле поиска на верхней панели портала введите учетные записи хранилища. Выберите аккаунты хранения из результатов поиска.

2. Выберите mynwstorageaccount или учетную запись хранения, созданную ранее и выбранную для хранения журналов.

3. В разделе Хранилище данных выберите Контейнеры.

4. Выберите контейнер insights-logs-networksecuritygroupflowevent.

5. В контейнере перейдите к иерархии папок, пока не перейдете к файлу PT1H.json . Файлы журналов NSG записываются в иерархию папок, которая соответствует следующему соглашению об именовании:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
   

6. Выберите многоточие ... справа от файла PT1H.json, а затем нажмите кнопку "Скачать".

   

Примечание.

Вы можете использовать Azure Storage Explorer для доступа к журналам потоков и их скачивания из учетной записи хранения. Дополнительные сведения см. в статье "Начало работы с Обозревателем хранилища".

Просмотр журнала потока

Откройте скачанный PT1H.json файл с помощью текстового редактора. Следующий пример — это раздел, взятый из скачавшего PT1H.json файла, в котором показан поток, обработанный правилом DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Сведения, разделенные запятыми для flowTuples , приведены следующим образом:

Демонстрационные данные	Что представляют собой данные	Описание
1677455097	Отметка времени	Метка времени возникновения потока в формате UNIX EPOCH. В предыдущем примере дата преобразуется в 26 февраля 2023 г. 11:44:57 UTC/GMT.
10.0.0.4	Исходный IP-адрес	Исходный IP-адрес, с которого поступил поток. 10.0.0.4 — это частный IP-адрес созданной ранее виртуальной машины.
13.107.21.200	IP-адрес назначения	IP-адрес назначения, которому предназначен поток. 13.107.21.200 — ЭТО IP-адрес www.bing.com. Так как трафик направлен за пределы Azure, правило безопасности DefaultRule_AllowInternetOutBound обработало поток.
49982	Исходный порт	Исходный порт, с которого был отправлен поток.
443	Порт назначения	Порт назначения, на который был отправлен поток.
T	Протокол	Протокол потока. T: TCP.
O	Направление	Направление потока. O: Исходящий трафик.
а	Решение	Решение, принятое правилом безопасности. Ответ. Разрешено.
C	Только режим потока версии 2	Состояние потока. C: Продолжение текущего потока.
7	Только пакеты, отправленные версией 2	Общее количество пакетов TCP, отправленных в место назначения с момента последнего обновления.
1158	Количество отправленных байтов только в версии 2	Общее количество байтов TCP-пакетов, отправляемых из источника в место назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.
12	Пакеты получены только версии 2	Общее количество пакетов TCP, полученных от назначения с момента последнего обновления.
8143	Байты получено версия 2 только	Общее количество байтов TCP-пакетов, полученных от назначения с момента последнего обновления. Байты пакетов включают в себя заголовок пакета и полезные данные.

Очистка ресурсов

При отсутствии необходимости удалите группу ресурсов myResourceGroup и все содержащиеся в ней ресурсы:

1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

2. Выберите команду Удалить группу ресурсов.

3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Примечание.

Журнал потока myVM-nsg-myResourceGroup-flowlog находится в группе ресурсов NetworkWatcherRG, но он будет удален после удаления группы безопасности сети myVM-nsg (удалив группу ресурсов myResourceGroup).

Связанный контент

• Дополнительные сведения о журналах потоков NSG см. в разделе "Ведение журнала потоков" для групп безопасности сети.
• Сведения о создании, изменении, включении, отключении или удалении журналов потоков NSG см. в статье "Управление журналами потоков NSG".
• Дополнительные сведения об аналитике трафика см. в обзоре аналитики трафика.