Создание, изменение, включение, отключение или удаление журналов потоков виртуальной сети с помощью Azure PowerShell

Ведение журнала потоков виртуальной сети — это функция Azure Наблюдатель за сетями, которая позволяет записывать сведения о IP-трафике, проходящим через виртуальную сеть Azure. Дополнительные сведения о ведении журнала потоков виртуальной сети см. в обзоре журналов потоков виртуальной сети.

Из этой статьи вы узнаете, как создавать, изменять, включать, отключать или удалять журнал потоков виртуальной сети с помощью Azure PowerShell. Вы можете узнать, как управлять журналом потоков виртуальной сети с помощью портал Azure или Azure CLI.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• поставщик Аналитика. Дополнительные сведения см. в разделе "Регистрация поставщика Аналитика".

• Виртуальная сеть. Если необходимо создать виртуальную сеть, см. статью "Создание виртуальной сети с помощью PowerShell".

• Учетная запись хранения Azure. Если вам нужно создать учетную запись хранения, см. статью "Создание учетной записи хранения с помощью PowerShell".

• Среда PowerShell в Azure Cloud Shell или Azure PowerShell, установленная локально. Дополнительные сведения об использовании PowerShell в Azure Cloud Shell см . в кратком руководстве по Azure Cloud Shell — PowerShell.

  • Если вы решили установить и использовать PowerShell локально, для этой статьи требуется Azure PowerShell версии 7.4.0 или более поздней. Выполните командлет Get-InstalledModule -Name Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. Запустите Connect-AzAccount, чтобы выполнить вход в Azure.

Регистрация поставщика аналитики

Microsoft. Аналитика поставщик должен быть зарегистрирован для успешного регистрации трафика в виртуальной сети. Если вы не уверены, зарегистрирован ли поставщик Microsoft.Аналитика, используйте Register-AzResourceProvider для регистрации.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Включение журналов потоков виртуальной сети

Используйте New-AzNetworkWatcherFlowLog для создания журнала потоков виртуальной сети.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name myStorageAccount -ResourceGroupName myResourceGroup

# Create a VNet flow log.
New-AzNetworkWatcherFlowLog -Enabled $true -Name myVNetFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

Включение журналов потоков виртуальной сети и аналитики трафика

Используйте New-AzOperational Аналитика Workspace, чтобы создать рабочую область аналитики трафика, а затем использовать New-AzNetworkWatcherFlowLog для создания журнала потоков виртуальной сети, использующего его.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name myStorageAccount -ResourceGroupName myResourceGroup

# Create a traffic analytics workspace and place its configuration into a variable.
$workspace = New-AzOperationalInsightsWorkspace -Name myWorkspace -ResourceGroupName myResourceGroup -Location EastUS

# Create a VNet flow log.
New-AzNetworkWatcherFlowLog -Enabled $true -Name myVNetFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

Вывод списка всех журналов потоков в регионе

Используйте Get-AzNetworkWatcherFlowLog для перечисления всех ресурсов журнала потоков в определенном регионе в подписке.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG | format-table Name

Просмотр ресурса журнала потоков виртуальной сети

Используйте Get-AzNetworkWatcherFlowLog , чтобы просмотреть сведения о ресурсе журнала потоков.

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG -Name myVNetFlowLog

Скачивание журнала потоков

Чтобы скачать журналы потоков виртуальной сети из учетной записи хранения, используйте командлет Get-Az служба хранилища BlobContent.

Файлы журнала потоков виртуальной сети сохраняются в учетной записи хранения по следующему пути:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Примечание.

Вы также можете получить доступ к файлам журналов потоков виртуальной сети и скачать их из контейнера учетной записи хранения с помощью служба хранилища Azure Обозреватель. Обозреватель службы хранилища — это автономное приложение, которое удобно использовать для доступа и работы с данными служба хранилища Azure. Дополнительные сведения см. в статье "Начало работы с Обозреватель службы хранилища".

Отключение аналитики трафика в ресурсе журнала потоков

Чтобы отключить аналитику трафика в ресурсе журнала потоков и продолжить создавать и сохранять журналы потоков виртуальной сети в учетной записи хранения, используйте Set-AzNetworkWatcherFlowLog.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name mynwstorageaccount -ResourceGroupName Storage

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name myVNetFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Отключение ведения журнала потоков виртуальной сети

Чтобы отключить журнал потоков виртуальной сети без удаления, чтобы повторно включить его позже, используйте Set-AzNetworkWatcherFlowLog.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name mynwstorageaccount -ResourceGroupName Storage

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name myVNetFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Удаление ресурса журнала потоков виртуальной сети

Чтобы удалить ресурс журнала потоков виртуальной сети, используйте Remove-AzNetworkWatcherFlowLog.

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name myVNetFlowLog -NetworkWatcherName NetworkWatcher_eastus -ResourceGroupName NetworkWatcherRG

Связанный контент

• Дополнительные сведения об аналитике трафика см. в статье "Аналитика трафика".
• Сведения об использовании встроенных политик Azure для аудита или включения аналитики трафика см. в статье "Управление аналитикой трафика с помощью Политика Azure".