Protokoly toku virtuální sítě

Protokoly toku virtuální sítě jsou funkcí služby Azure Network Watcher. Můžete je použít k protokolování informací o přenosech IP adres procházejících přes virtuální síť.

Data toku z protokolů toku virtuální sítě se odesílají do Azure Storage. Odtud můžete získat přístup k datům a exportovat je do libovolného řešení pro vizualizaci, informací o zabezpečení a správě událostí (SIEM) nebo do systému detekce neoprávněných vniknutí (IDS). Protokoly toků virtuální sítě překonaly některá omezení protokolů toků skupin zabezpečení sítě.

Proč používat protokoly toku?

Je důležité monitorovat, spravovat a znát vaši síť, abyste ji mohli chránit a optimalizovat. Možná budete muset znát aktuální stav sítě, kdo se připojuje a odkud se uživatelé připojují. Možná budete také potřebovat vědět, které porty jsou otevřené pro internet, jaké chování sítě se očekává, jaké chování sítě je nepravidelné a kdy dojde k náhlému nárůstu provozu.

Protokoly toku jsou zdrojem pravdivých informací o všech síťových aktivitách ve vašem cloudovém prostředí. Ať už jste ve startupu, který se pokoušíte optimalizovat prostředky, nebo velký podnik, který se snaží detekovat neoprávněný vniknutí, můžou vám pomoct protokoly toků. Můžete je použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další.

Běžné případy použití

Monitorování sítě

  • Identifikace neznámého nebo nežádoucího provozu
  • Monitorujte úrovně provozu a spotřebu šířky pásma.
  • Filtrujte protokoly toku podle IP adresy a portu, abyste porozuměli chování aplikace.
  • Exportujte protokoly toku do analytických a vizualizačních nástrojů podle vašeho výběru a nastavte řídicí panely monitorování.

Monitorování a optimalizace využití

  • Identifikujte hlavní talkery ve vaší síti.
  • Zkombinujte s daty GeoIP a identifikujte provoz mezi oblastmi.
  • Seznamte se s růstem provozu pro prognózování kapacity.
  • Data můžete použít k odebrání příliš omezujících pravidel provozu.

Kompatibilita

  • Pomocí dat toku ověřte izolaci sítě a dodržování předpisů s pravidly podnikového přístupu.

Forenzní analýza sítě a analýzy zabezpečení

  • Analyzujte síťové toky z ohrožených IP adres a síťových rozhraní.
  • Exportujte protokoly toku do libovolného nástroje SIEM nebo IDS.

Protokoly toku virtuální sítě ve srovnání s protokoly toků skupin zabezpečení sítě

Protokoly toku virtuální sítě i protokoly toku skupiny zabezpečení sítě zaznamenávají přenosy IP adres, ale liší se v jejich chování a možnostech.

Protokoly toku virtuální sítě zjednodušují rozsah monitorování provozu, protože můžete povolit protokolování ve virtuálních sítích. Zaznamenává se provoz přes všechny podporované úlohy ve virtuální síti.

Protokoly toku virtuální sítě také nemusí povolovat protokolování toku na více úrovních, například v protokolech toků skupin zabezpečení sítě. V protokolech toku skupin zabezpečení sítě se skupiny zabezpečení sítě konfigurují v podsíti i síťovém rozhraní .

Kromě existující podpory pro identifikaci provozu, který pravidla skupin zabezpečení sítě povolují nebo zakazují, podporují protokoly toků virtuálních sítí identifikaci provozu, který pravidla správce zabezpečení Azure Virtual Network Manageru povolují nebo zakazují. Protokoly toku virtuální sítě také podporují vyhodnocení stavu šifrování síťového provozu ve scénářích, kdy používáte šifrování virtuální sítě.

Důležité

Před povolením protokolů toku virtuální sítě ve stejných základních úlohách doporučujeme zakázat protokoly toku skupiny zabezpečení sítě, abyste se vyhnuli duplicitnímu záznamu provozu a dalším nákladům.

Pokud povolíte protokoly toku skupiny zabezpečení sítě ve skupině zabezpečení sítě podsítě, povolíte protokoly toku virtuální sítě ve stejné podsíti nebo nadřazené virtuální síti, může se zobrazit duplicitní protokolování nebo jenom protokoly toku virtuální sítě.

Jak funguje protokolování

Mezi klíčové vlastnosti protokolů toku virtuální sítě patří:

  • Protokoly toku pracují ve vrstvě 4 modelu Open Systems Interconnection (OSI) a zaznamenávají všechny toky IP procházející virtuální sítí.
  • Protokoly se shromažďují v minutových intervalech prostřednictvím platformy Azure. Neovlivňují vaše prostředky Azure ani síťový provoz.
  • Protokoly se zapisují ve formátu JSON (JavaScript Object Notation).
  • Každý záznam protokolu obsahuje síťové rozhraní, na které se tok vztahuje, informace o řazené kolekci členů, směr provozu, stav toku, stav šifrování a informace o propustnosti.
  • Všechny toky provozu ve vaší síti se vyhodnocují pomocí příslušných pravidel skupiny zabezpečení sítě nebo pravidel správce zabezpečení azure Virtual Network Manageru.

Formát protokolu

Protokoly toku virtuální sítě mají následující vlastnosti:

  • time: Čas ve standardu UTC, kdy byla událost zaznamenána.
  • flowLogVersion: Verze protokolu toku.
  • flowLogGUID: IDENTIFIKÁTOR GUID FlowLog zdroje prostředku.
  • macAddress: Adresa MAC síťového rozhraní, kde byla zaznamenána událost.
  • category: Kategorie události. Kategorie je vždy FlowLogFlowEvent.
  • flowLogResourceID: ID FlowLog prostředku.
  • targetResourceID: ID prostředku cílového prostředku, který je přidružený k FlowLog prostředku.
  • operationName: Vždy FlowLogFlowEvent.
  • flowRecords: Shromažďování záznamů toku.
    • flows: Kolekce toků. Tato vlastnost obsahuje více položek pro seznamy řízení přístupu (ACL):
      • aclID: Identifikátor prostředku, který vyhodnocuje provoz, buď skupinu zabezpečení sítě, nebo Virtual Network Manager. Pro provoz, který je odepřen kvůli šifrování, je unspecifiedtato hodnota .
      • flowGroups: Shromažďování záznamů toku na úrovni pravidla:
        • rule: Název pravidla, které provoz povolil nebo odepřel. Pro provoz, který je odepřen kvůli šifrování, je unspecifiedtato hodnota .
        • flowTuples: Řetězec, který obsahuje více vlastností řazené kolekce členů toku ve formátu odděleném čárkami:
          • Time Stamp: Časové razítko výskytu toku ve formátu EPOCH SYSTÉMU UNIX.
          • Source IP: Zdrojová IP adresa.
          • Destination IP: Cílová IP adresa.
          • Source port: Zdrojový port.
          • Destination port: Cílový port.
          • Protocol: Protokol toku vrstvy 4 vyjádřený v přiřazených hodnotách IANA.
          • Flow direction: Směr toku provozu. Platné hodnoty jsou I pro příchozí a O odchozí.
          • Flow state: Stav toku. Možné stavy jsou:
            • B: Začněte, když se vytvoří tok. Nejsou k dispozici žádné statistiky.
            • C: Pokračování v probíhajícím toku. Statistiky se poskytují v pětiminutových intervalech.
            • E: Ukončení, když je tok ukončen. Jsou k dispozici statistiky.
            • D: Odepřít, když je tok odepřen.
          • Flow encryption: Stav šifrování toku. Tabulka za tímto seznamem popisuje možné hodnoty.
          • Packets sent: Celkový počet paketů odeslaných ze zdroje do cíle od poslední aktualizace.
          • Bytes sent: Celkový počet bajtů paketů odeslaných ze zdroje do cíle od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.
          • Packets received: Celkový počet paketů odeslaných z cíle do zdroje od poslední aktualizace.
          • Bytes received: Celkový počet bajtů paketů odeslaných z cíle do zdroje od poslední aktualizace. Bajty paketů zahrnují hlavičku paketu a datovou část.

Flow encryption má následující možné stavy šifrování:

Stav šifrování Popis
X Připojení je šifrované. Šifrování se nakonfiguruje a platforma připojení zašifrovala.
NX Připojení není zašifrované. Tato událost se protokoluje ve dvou scénářích:
– Pokud není nakonfigurované šifrování.
– Když šifrovaný virtuální počítač komunikuje s koncovým bodem, který nemá šifrování (například internetový koncový bod).
NX_HW_NOT_SUPPORTED Hardware není podporován. Šifrování je nakonfigurované, ale virtuální počítač běží na hostiteli, který nepodporuje šifrování. K tomuto problému obvykle dochází, protože pole s programovatelným hradlem (FPGA) není připojené k hostiteli nebo je chybné. Ohlaste tento problém do Microsoftu a prošetření.
NX_SW_NOT_READY Software není připravený. Šifrování je nakonfigurované, ale softwarová komponenta (GFT) v zásobníku síťových služeb hostitele není připravená zpracovávat šifrovaná připojení. K tomuto problému může dojít při prvním spuštění virtuálního počítače, restartování nebo opětovném nasazení. Může k tomu dojít také v případě, že je na hostiteli, na kterém je spuštěný virtuální počítač, aktualizaci síťových komponent. Ve všech těchto scénářích se paket zahodí. Problém by měl být dočasný. Šifrování by mělo začít fungovat po úplném spuštění virtuálního počítače nebo dokončení aktualizace softwaru na hostiteli. Pokud má problém delší dobu trvání, nahlaste ho Microsoftu, aby ho prošetroval.
NX_NOT_ACCEPTED Zahoďte kvůli žádnému šifrování. Šifrování se konfiguruje na zdrojovém i cílovém koncovém bodu s poklesem nešifrovaných zásad. Pokud šifrování provozu selže, paket se zahodí.
NX_NOT_SUPPORTED Zjišťování není podporováno. Šifrování je nakonfigurované, ale relace šifrování nebyla vytvořena, protože zásobník síťových služeb hostitele nepodporuje zjišťování. V tomto případě se paket zahodí. Pokud narazíte na tento problém, nahlaste ho Microsoftu, aby ho prošetřením prošetřením.
NX_LOCAL_DST Cíl je na stejném hostiteli. Šifrování je nakonfigurované, ale zdrojové a cílové virtuální počítače běží na stejném hostiteli Azure. V tomto případě není připojení záměrně šifrované.
NX_FALLBACK Vraťte se zpět k žádnému šifrování. Šifrování se konfiguruje pomocí zásad Povolit nešifrované pro zdrojové i cílové koncové body. Systém se pokusil o šifrování, ale měl problém. V tomto případě je připojení povolené, ale není šifrované. Například virtuální počítač původně přistál na uzlu, který podporuje šifrování, ale tato podpora byla později odebrána.

Provoz ve vašich virtuálních sítích je ve výchozím nastavení nešifrovaný (NX). Šifrovaný provoz najdete v tématu Šifrování virtuální sítě.

Ukázkový záznam protokolu

V následujícím příkladu protokolů toku virtuální sítě následuje několik záznamů podle seznamu vlastností popsaných výše.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Výpočet řazené kolekce členů protokolu a šířky pásma

Tabulka znázorňující formát protokolu toku virtuální sítě

Tady je příklad výpočtu šířky pásma pro tok řazených kolekcí členů z konverzace TCP mezi 203.0.113.105:35370 a 10.0.0.5:23:

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Pro stavy pokračování (C) a koncového (E) toku jsou počty bajtů a paketů agregované od času záznamu řazené kolekce členů předchozího toku. V ukázkové konverzaci je celkový počet přenesených paketů 1 021 + 52 + 8 005 + 47 = 9 125. Celkový počet přenesených bajtů je 588 096 + 29 952 + 4 610 880 + 27 072 = 5 256 000.

Důležité informace o protokolech toku virtuální sítě

Účet úložiště

  • Umístění: Účet úložiště musí být ve stejné oblasti jako virtuální síť.
  • Předplatné: Účet úložiště musí být ve stejném předplatném virtuální sítě nebo v předplatném přidruženém ke stejnému tenantovi Microsoft Entra předplatného virtuální sítě.
  • Úroveň výkonu: Účet úložiště musí být standardní. Účty Premium Storage nejsou podporovány.
  • Obměna klíčů spravovaných svým držitelem: Pokud změníte nebo otočíte přístupové klíče k účtu úložiště, protokoly toku virtuální sítě přestanou fungovat. Chcete-li tento problém vyřešit, musíte zakázat a znovu povolit protokoly toku virtuální sítě.

Přenosy privátních koncových bodů

Provoz nejde zaznamenat přímo na privátním koncovém bodu. Na zdrojovém virtuálním počítači můžete zaznamenávat provoz do privátního koncového bodu. Provoz se zaznamená se zdrojovou IP adresou virtuálního počítače a cílovou IP adresou privátního koncového bodu. Pole můžete použít PrivateEndpointResourceId k identifikaci toku provozu do privátního koncového bodu. Další informace najdete v tématu Schéma analýzy provozu.

Ceny

  • Protokoly toku virtuální sítě se účtují za gigabajt shromážděných protokolů toku sítě a obsahují bezplatnou úroveň 5 GB za měsíc za předplatné.

  • Pokud je povolená analýza provozu s protokoly toků virtuální sítě, platí ceny analýzy provozu za každou gigabajtovou rychlost zpracování. Analýza provozu se nenabízí s cenovou úrovní Free. Další informace najdete v tématu Ceny služby Network Watcher.

  • Úložiště protokolů se účtuje samostatně. Další informace najdete v tématu s cenami služby Azure Blob Storage.

Podporované scénáře

Následující tabulka popisuje rozsah podpory protokolů toku.

Obor Protokoly toků skupin zabezpečení sítě Protokoly toku virtuální sítě
Bajty a pakety v bezstavových tocích Nepodporováno Podporováno
Identifikace šifrování virtuální sítě Nepodporováno Podporováno
Azure API Management Nepodporováno Podporováno
Azure Application Gateway Nepodporováno Podporováno
Azure Virtual Network Manager Nepodporováno Podporováno
Brána ExpressRoute Nepodporováno Podporováno
Škálovací sady virtuálních počítačů Podporováno Podporováno
VPN Gateway Nepodporováno Podporováno

Dostupnost

Protokoly toků virtuální sítě jsou obecně dostupné ve všech veřejných oblastech Azure a aktuálně jsou ve verzi Preview ve službě Azure Government.