Início Rápido: configurar logs de fluxo do NSG do Observador de Rede do Azure usando um arquivo Bicep

Neste início rápido, você aprenderá a habilitar logs de fluxo do NSG usando um arquivo Bicep.

O Bicep é um DSL (linguagem específica de domínio) que usa sintaxe declarativa para implantar recursos do Azure. Ele fornece sintaxe concisa, segurança de tipos confiável e suporte para reutilização de código. O Bicep oferece a melhor experiência de criação para suas soluções de infraestrutura como código no Azure.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.

• Para implantar os arquivos do Bicep, a CLI do Azure ou o PowerShell foram instalados.

  • CLI do Azure
  • PowerShell

  1. Instale a CLI do Azure localmente para executar os comandos.

  2. Entre no Azure usando o comando az login.

Examinar o arquivo Bicep

Este início rápido usa o modelo do Bicep Criar logs de fluxo do NSG nos Modelos de Início Rápido do Azure.

@description('Name of the Network Watcher attached to your subscription. Format: NetworkWatcher_<region_name>')
param networkWatcherName string = 'NetworkWatcher_${location}'

@description('Name of your Flow log resource')
param flowLogName string = 'FlowLog1'

@description('Region where you resources are located')
param location string = resourceGroup().location

@description('Resource ID of the target NSG')
param existingNSG string

@description('Retention period in days. Default is zero which stands for permanent retention. Can be any Integer from 0 to 365')
@minValue(0)
@maxValue(365)
param retentionDays int = 0

@description('FlowLogs Version. Correct values are 1 or 2 (default)')
@allowed([
  1
  2
])
param flowLogsVersion int = 2

@description('Storage Account type')
@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_ZRS'
])
param storageAccountType string = 'Standard_LRS'

var storageAccountName = 'flowlogs${uniqueString(resourceGroup().id)}'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: storageAccountName
  location: location
  sku: {
    name: storageAccountType
  }
  kind: 'StorageV2'
  properties: {}
}

resource networkWatcher 'Microsoft.Network/networkWatchers@2022-01-01' = {
  name: networkWatcherName
  location: location
  properties: {}
}

resource flowLog 'Microsoft.Network/networkWatchers/flowLogs@2022-01-01' = {
  name: '${networkWatcherName}/${flowLogName}'
  location: location
  properties: {
    targetResourceId: existingNSG
    storageId: storageAccount.id
    enabled: true
    retentionPolicy: {
      days: retentionDays
      enabled: true
    }
    format: {
      type: 'JSON'
      version: flowLogsVersion
    }
  }
}

Os seguintes recursos são definido no arquivo Bicep:

• Microsoft.Storage/storageAccounts
• Microsoft.Network networkWatchers
• Microsoft.Network networkWatchers/flowLogs

O código realçado no exemplo anterior mostra uma definição de recurso de logs de fluxo do NSG.

Implante o arquivo Bicep

Este início rápido pressupõe que você tenha um grupo de segurança de rede no qual seja possível habilitar o log de fluxo.

1. Salve o arquivo Bicep como main.bicep no computador local.

2. Para implantar o arquivo Bicep, use a CLI do Azure ou o Azure PowerShell.

   • CLI do Azure
   • PowerShell

   az group create --name exampleRG --location eastus
   az deployment group create --resource-group exampleRG --template-file main.bicep
   

   Será solicitado que você insira a ID do recurso do grupo de segurança de rede existente. A sintaxe da ID do recurso do grupo de segurança de rede é:

   "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/networkSecurityGroups/<network-security-group-name>"
   

Quando a implantação for concluída, você deverá ver uma mensagem indicando que ela foi bem-sucedida.

Validar a implantação

Você tem duas opções para ver se a implantação foi bem-sucedida:

• O console mostra ProvisioningState como Succeeded.
• Vá para a página do portal dos logs de fluxo do NSG para confirmar as alterações.

Se houver problemas com a implantação, confira Solucionar problemas comuns de implantação do Azure com o Azure Resource Manager.

Limpar os recursos

Você pode excluir os recursos do Azure usando o modo de implantação completo. Para excluir um recurso dos logs de fluxo, especifique uma implantação no modo completo sem incluir o recurso que deseja excluir. Leia mais sobre o modo de implantação completo.

Você também pode desabilitar um log de fluxo do NSG no portal do Azure:

1. Entre no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

3. Em Logs, selecione Logs de fluxo.

4. Na lista de logs de fluxo, selecione o log de fluxo que você deseja desabilitar.

5. Selecione Desabilitar.

Conteúdo relacionado

Para saber como visualizar os dados dos logs de fluxo do NSG, confira:

• Como visualizar logs de fluxo do NSG usando o Power BI.
• Visualizar logs de fluxo do NSG usando ferramentas de código aberto.
• Análise de Tráfego.