Tutorial: Registar o tráfego de rede de/para uma máquina virtual com o portal do Azure
Importante
Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte dessa desativação, você não poderá mais criar novos logs de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para logs de fluxo de rede virtual, que superam as limitações dos logs de fluxo NSG. Após a data de desativação, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada e os recursos existentes de logs de fluxo NSG em suas assinaturas serão excluídos. No entanto, os registros de logs de fluxo do NSG não serão excluídos e continuarão a seguir suas respetivas políticas de retenção. Para obter mais informações, veja o anúncio oficial.
O log de fluxo do grupo de segurança de rede é um recurso do Observador de Rede do Azure que permite registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. Para obter mais informações sobre o log de fluxo do grupo de segurança de rede, consulte Visão geral dos logs de fluxo do NSG.
Este tutorial ajuda você a usar logs de fluxo NSG para registrar o tráfego de rede de uma máquina virtual que flui através do grupo de segurança de rede associado à sua interface de rede.
Neste tutorial, irá aprender a:
- Criar uma rede virtual
- Criar uma máquina virtual com um grupo de segurança de rede associado à sua interface de rede
- Registrar o provedor Microsoft.insights
- Habilitar o log de fluxo para um grupo de segurança de rede usando os logs de fluxo do Inspetor de Rede
- Transferir dados registados
- Ver dados registados
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Se não tiver uma, crie uma conta gratuita antes de começar.
Criar uma rede virtual
Nesta seção, você cria uma rede virtual myVNet com uma sub-rede para a máquina virtual.
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.
Selecione + Criar. Em Criar rede virtual, insira ou selecione os seguintes valores na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de Recursos Selecione Criar novo.
Digite myResourceGroup em Name.
Selecione OK.Detalhes da instância Nome Introduza myVNet. País/Região Selecione (EUA) Leste dos EUA. Selecione Rever + criar.
Reveja as definições e, em seguida, selecione Criar.
Criar uma máquina virtual
Nesta seção, você cria a máquina virtual myVM .
Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione + Criar e, em seguida, selecione Máquina virtual do Azure.
Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Noções básicas :
Definição Value Detalhes do Projeto Subscrição Selecione a subscrição do Azure. Grupo de Recursos Selecione myResourceGroup. Detalhes da instância Virtual machine name Digite myVM. País/Região Selecione (EUA) Leste dos EUA. Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura. Tipo de segurança selecione Standard. Image Selecione Windows Server 2022 Datacenter: Azure Edition - x64 Gen2. Tamanho Escolha um tamanho ou deixe a configuração padrão. Conta de administrador Username Introduza um nome de utilizador. Palavra-passe Introduza uma palavra-passe. Confirme a palavra-passe Reintroduza a palavra-passe. Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.
Na guia Rede, selecione os seguintes valores:
Definição Value Interface de Rede Rede virtual Selecione myVNet. Sub-rede Selecione mySubnet. IP público Selecione (novo) myVM-ip. Grupo de segurança de rede NIC Selecione Básico. Essa configuração cria um grupo de segurança de rede chamado myVM-nsg e o associa à interface de rede da máquina virtual myVM . Portas de entrada públicas Selecione Permitir portas selecionadas. Selecione as portas de entrada Selecione RDP (3389). Atenção
Deixar a porta RDP aberta para a internet só é recomendado para testes. Para ambientes de produção, é recomendável restringir o acesso à porta RDP a um endereço IP específico ou intervalo de endereços IP. Você também pode bloquear o acesso à Internet à porta RDP e usar o Azure Bastion para se conectar com segurança à sua máquina virtual a partir do portal do Azure.
Selecione Rever + criar.
Reveja as definições e, em seguida, selecione Criar.
Quando a implantação estiver concluída, selecione Ir para o recurso para ir para a página Visão geral do myVM.
Selecione Conectar e, em seguida, selecione RDP.
Selecione Baixar arquivo RDP e abra o arquivo baixado.
Selecione Conectar e digite o nome de usuário e a senha que você criou nas etapas anteriores. Aceite o certificado, se solicitado.
Registar o fornecedor do Insights
O registo de fluxo do NSG precisa do fornecedor do Microsoft.Insights. Para verificar o seu estado, siga estes passos:
Na caixa de pesquisa na parte superior do portal, introduza subscrições. Selecione Subscrições nos resultados da pesquisa.
Selecione a assinatura do Azure para a qual você deseja habilitar o provedor em Assinaturas.
Selecione Fornecedores de recursos em Definições da sua subscrição.
Insira informações na caixa de filtro.
Confirme se o status do provedor exibido é Registrado. Se o status for NotRegistered, selecione o provedor Microsoft.Insights e selecione Registrar.
Criar uma conta de armazenamento
Nesta seção, você cria uma conta de armazenamento para usá-la para armazenar os logs de fluxo.
Na caixa de pesquisa na parte superior do portal, insira contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.
Selecione + Criar. Em Criar uma conta de armazenamento, insira ou selecione os seguintes valores na guia Noções básicas :
Definição Value Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de Recursos Selecione myResourceGroup. Detalhes da instância Nome da conta de armazenamento Introduza um nome exclusivo. Este tutorial usa mynwstorageaccount. País/Região Selecione (EUA) Leste dos EUA. A conta de armazenamento deve estar na mesma região que a máquina virtual e seu grupo de segurança de rede. Desempenho selecione Standard. Os logs de fluxo do NSG suportam apenas contas de armazenamento de nível padrão. Redundância Selecione LRS (armazenamento com redundância local) ou uma estratégia de replicação diferente que corresponda aos seus requisitos de durabilidade. Selecione a guia Revisão ou selecione o botão Revisão na parte inferior.
Reveja as definições e, em seguida, selecione Criar.
Criar um log de fluxo NSG
Nesta seção, você cria um log de fluxo NSG que é salvo na conta de armazenamento criada anteriormente no tutorial.
Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.
Em Logs, selecione Logs de fluxo.
No Observador de Rede | Logs de fluxo, selecione + Criar botão azul Criar ou Criar log de fluxo.
Insira ou selecione os seguintes valores em Criar um log de fluxo:
Definição Value Detalhes do projeto Subscrição Selecione a assinatura do Azure do seu grupo de segurança de rede que você deseja registrar. Grupo de segurança de rede Selecione + Selecionar recurso.
Em Selecionar grupo de segurança de rede, selecione myVM-nsg. Em seguida, selecione Confirmar seleção.Nome do log de fluxo Deixe o padrão de myVM-nsg-myResourceGroup-flowlog. Detalhes da instância Subscrição Selecione a assinatura do Azure da sua conta de armazenamento. Contas de Armazenamento Selecione a conta de armazenamento criada nas etapas anteriores. Este tutorial usa mynwstorageaccount. Retenção (dias) Digite 0 para reter os dados de logs de fluxo na conta de armazenamento para sempre (até excluí-los da conta de armazenamento). Para aplicar uma política de retenção, insira o tempo de retenção em dias. Para obter informações sobre preços de armazenamento, consulte Preços do Armazenamento do Azure. Nota
O portal do Azure cria logs de fluxo NSG no grupo de recursos NetworkWatcherRG .
Selecione Rever + criar.
Reveja as definições e, em seguida, selecione Criar.
Quando a implantação estiver concluída, selecione Ir para o recurso para confirmar o log de fluxo criado e listado na página Logs de fluxo.
Volte à sua sessão RDP com a máquina virtual myVM .
Abra o Microsoft Edge e vá para
www.bing.com
.
Faça o download do registro de fluxo
Nesta seção, você vai para a conta de armazenamento que selecionou anteriormente e baixa o log de fluxo NSG criado na seção anterior.
Na caixa de pesquisa na parte superior do portal, insira contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.
Selecione mynwstorageaccount ou a conta de armazenamento que você criou anteriormente e selecionou para armazenar os logs.
Em Armazenamento de dados, selecione Contêineres.
Selecione o contêiner insights-logs-networksecuritygroupflowevent.
No contêiner, navegue pela hierarquia de pastas até chegar ao
PT1H.json
arquivo. Os arquivos de log NSG são gravados em uma hierarquia de pastas que segue a seguinte convenção de nomenclatura:https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json
Selecione as reticências ... à direita do arquivo de PT1H.json e, em seguida, selecione Download.
Nota
Você pode usar o Gerenciador de Armazenamento do Azure para acessar e baixar logs de fluxo de sua conta de armazenamento. Para obter mais informações, consulte Introdução ao Gerenciador de Armazenamento.
Exibir o registro de fluxo
Abra o arquivo baixado PT1H.json
usando um editor de texto de sua escolha. O exemplo a seguir é uma seção retirada do arquivo baixado PT1H.json
, que mostra um fluxo processado pela regra DefaultRule_AllowInternetOutBound.
{
"time": "2023-02-26T23:45:44.1503927Z",
"systemId": "00000000-0000-0000-0000-000000000000",
"macAddress": "112233445566",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "112233445566",
"flowTuples": [
"1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"
]
}
]
}
]
}
}
As informações separadas por vírgulas para flowTuples são as seguintes:
Dados de exemplo | O que representam os dados | Explicação |
---|---|---|
1677455097 | Carimbo de data/hora | O carimbo de data/hora de quando o fluxo ocorreu no formato UNIX EPOCH. No exemplo anterior, a data converte para 26 de fevereiro de 2023 23:44:57 UTC/GMT. |
10.0.0.4 | Endereço IP de origem | O endereço IP de origem do qual teve origem o fluxo. 10.0.0.4 é o endereço IP privado da VM que você criou anteriormente. |
13.107.21.200 | Endereço IP de destino | O endereço IP de destino ao qual o fluxo foi destinado. 13.107.21.200 é o endereço IP de www.bing.com . Como o tráfego é destinado para fora do Azure, a regra de segurança DefaultRule_AllowInternetOutBound processou o fluxo. |
49982 | Porta de origem | A porta de origem da qual teve origem o fluxo. |
443 | Porta de destino | A porta de destino à qual se destinava o fluxo. |
T | Protocolo | O protocolo do fluxo. T: TCP. |
O | Direção | A direção do fluxo. O: Saída. |
A | Decisão | A decisão tomada pela regra de segurança. R: Permitido. |
C | Somente Estado de Fluxo Versão 2 | O estado do fluxo. C: Continuar para um fluxo contínuo. |
7 | Pacotes enviados apenas Versão 2 | O número total de pacotes TCP enviados para o destino desde a última atualização. |
1158 | Apenas bytes enviados Versão 2 | O número total de bytes de pacotes TCP enviados da origem para o destino desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil. |
12 | Pacotes recebidos apenas Versão 2 | O número total de pacotes TCP recebidos do destino desde a última atualização. |
8143 | Apenas bytes recebidos versão 2 | O número total de bytes de pacotes TCP recebidos do destino desde a última atualização. Os bytes de pacote incluem o cabeçalho do pacote e a carga útil. |
Clean up resources (Limpar recursos)
Quando não for mais necessário, exclua o grupo de recursos myResourceGroup e todos os recursos que ele contém:
Na caixa de pesquisa que se encontra na parte superior do portal, introduza myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.
Selecione Eliminar grupo de recursos.
Em Excluir um grupo de recursos, digite myResourceGroup e selecione Excluir.
Selecione Excluir para confirmar a exclusão do grupo de recursos e de todos os seus recursos.
Nota
O log de fluxo myVM-nsg-myResourceGroup-flowlog está no grupo de recursos NetworkWatcherRG , mas será excluído depois de excluir o grupo de segurança de rede myVM-nsg (excluindo o grupo de recursos myResourceGroup ).
Conteúdos relacionados
- Para saber mais sobre logs de fluxo NSG, consulte Log de fluxo para grupos de segurança de rede.
- Para saber como criar, alterar, habilitar, desabilitar ou excluir logs de fluxo NSG, consulte Gerenciar logs de fluxo NSG.
- Para saber mais sobre a análise de tráfego, consulte Visão geral da análise de tráfego.