你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure CLI 创建、更改、启用或禁用虚拟网络流日志
虚拟网络安全组流日志记录是 Azure 网络观察程序的一项功能,可用于记录有关流经 Azure 虚拟网络的 IP 流量的信息。 有关虚拟网络流日志记录的详细信息,请参阅虚拟网络流日志概述。
在本文中,你将了解如何使用 Azure CLI 创建、更改、启用、禁用或删除虚拟网络流日志。 你可以了解如何使用 Azure 门户或 PowerShell 管理虚拟网络流日志。
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
Insights 提供程序。 有关详细信息,请参阅注册 Insights 提供程序。
虚拟网络。 如果需要创建虚拟网络,请参阅使用 Azure CLI 创建虚拟网络。
一个 Azure 存储帐户。 如果需要创建存储帐户,请参阅使用 Azure CLI 创建存储帐户。
Azure Cloud Shell 或本地安装的 Azure CLI 中的 Bash 环境。 要详细了解如何在 Azure Cloud Shell 中使用 Bash,请参阅 Azure Cloud Shell 快速入门 - Bash。
- 如果选择在本地安装和使用 Azure CLI,本文需要使用 Azure CLI 2.39.0 或更高版本。 运行
az --version查找已安装的版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。 运行az login以登录到 Azure。
- 如果选择在本地安装和使用 Azure CLI,本文需要使用 Azure CLI 2.39.0 或更高版本。 运行
注册 Insights 提供程序
必须注册 Microsoft.Insights 提供程序才能成功记录虚拟网络中的流量。 如果不确定是否已注册 Microsoft.Insights 提供程序,请使用 az provider register 进行注册。
# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights
启用虚拟网络流日志
使用 az network watcher flow-log create 创建虚拟网络流日志。
# Create a VNet flow log.
az network watcher flow-log create --location eastus --resource-group myResourceGroup --name myVNetFlowLog --vnet myVNet --storage-account myStorageAccount
启用虚拟网络流日志和流量分析
使用 az monitor log-analytics workspace create 创建流量分析工作区,然后使用 az network watcher flow-log create 创建使用它的虚拟网络流日志。
# Create a traffic analytics workspace.
az monitor log-analytics workspace create --name myWorkspace --resource-group myResourceGroup --location eastus
# Create a VNet flow log.
az network watcher flow-log create --location eastus --name myVNetFlowLog --resource-group myResourceGroup --vnet myVNet --storage-account myStorageAccount --workspace myWorkspace --interval 10 --traffic-analytics true
列出区域中的所有流日志
使用 az network watcher flow-log list 列出订阅中特定区域内的所有 NSG 流日志资源。
# Get all flow logs in East US region.
az network watcher flow-log list --location eastus --out table
查看虚拟网络流日志资源
使用 az network watcher flow-log show 查看流日志资源的详细信息。
# Get the flow log details.
az network watcher flow-log show --name myVNetFlowLog --resource-group NetworkWatcherRG --location eastus
下载流日志
若要从存储帐户下载虚拟网络流日志,请使用 az storage blob download 命令。
虚拟网络流日志文件会保存到以下路径的存储帐户:
https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
注意
还可以使用 Azure 存储资源管理器从存储帐户容器访问和下载 VNet 流日志文件。 存储资源管理器是可用于访问和处理 Azure 存储数据的独立应用。 有关详细信息,请参阅存储资源管理器入门。
对流日志资源禁用流量分析
要对流日志资源禁用流量分析,并且继续生成虚拟网络流日志并将其保存到存储帐户,请使用 az network watcher flow-log update。
# Update the VNet flow log.
az network watcher flow-log update --location eastus --name myVNetFlowLog --resource-group myResourceGroup --vnet myVNet --storage-account myStorageAccount --traffic-analytics false
删除虚拟网络流日志资源
要删除虚拟网络流日志资源,请使用 az network watcher flow-log delete。
# Delete the VNet flow log.
az network watcher flow-log delete --name myVNetFlowLog --location eastus
后续步骤
- 若要了解流量分析,请参阅流量分析。
- 要了解如何使用 Azure 内置策略审核或启用流量分析,请参阅使用 Azure Policy 管理流量分析。