Självstudie: Logga nätverkstrafik till och från en virtuell dator via Azure-portalen

  • Artikel

Viktigt!

Den 30 september 2027 dras nätverkssäkerhetsgruppens flödesloggar tillbaka. Som en del av den här tillbakadragningen kommer du inte längre att kunna skapa nya NSG-flödesloggar från och med den 30 juni 2025. Vi rekommenderar att du migrerar till flödesloggar för virtuella nätverk, vilket övervinner begränsningarna i NSG-flödesloggar. Efter slutdatumet stöds inte längre trafikanalys som är aktiverad med NSG-flödesloggar, och befintliga NSG-flödesloggresurser i dina prenumerationer tas bort. NSG-flödesloggposter tas dock inte bort och fortsätter att följa deras respektive kvarhållningsprinciper. Mer information finns i det officiella meddelandet.

Flödesloggning för nätverkssäkerhetsgrupp är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Mer information om flödesloggning för nätverkssäkerhetsgrupper finns i Översikt över NSG-flödesloggar.

Den här självstudien hjälper dig att använda NSG-flödesloggar för att logga en virtuell dators nätverkstrafik som flödar genom nätverkssäkerhetsgruppen som är associerad med dess nätverksgränssnitt.

Diagrammet visar de resurser som skapades under självstudien.

I den här självstudien lär du dig att:

  • Skapa ett virtuellt nätverk
  • Skapa en virtuell dator med en nätverkssäkerhetsgrupp som är associerad med dess nätverksgränssnitt
  • Registrera Microsoft.insights-provider
  • Aktivera flödesloggning för en nätverkssäkerhetsgrupp med hjälp av Network Watcher-flödesloggar
  • Ladda ned loggdata
  • Visa loggdata

Förutsättningar

Skapa ett virtuellt nätverk

I det här avsnittet skapar du ett virtuellt myVNet-nätverk med ett undernät för den virtuella datorn.

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du virtuella nätverk. Välj Virtuella nätverk i sökresultaten.

    Skärmbild som visar sökning efter virtuella nätverk i Azure Portal.

  3. Välj + Skapa. I Skapa virtuellt nätverk anger eller väljer du följande värden på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj Skapa ny.
    Ange myResourceGroup i Namn.
    Välj OK.
    Instansinformation
    Name Ange myVNet.
    Region Välj (USA) USA, östra.

  4. Välj Granska + skapa.

  5. Granska inställningarna och välj sedan Skapa.

Skapa en virtuell dator

I det här avsnittet skapar du den virtuella datorn myVM .

  1. I sökrutan överst i portalen anger du virtuella datorer. Välj Virtuella datorer i sökresultaten.

  2. Välj + Skapa och välj sedan den virtuella Azure-datorn.

  3. I Skapa en virtuell dator anger eller väljer du följande värden på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Virtual machine name Ange myVM.
    Region Välj (USA) USA, östra.
    Tillgänglighetsalternativ Välj Ingen infrastrukturredundans krävs.
    Säkerhetstyp Välj Standard.
    Bild Välj Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Storlek Välj en storlek eller lämna standardinställningen.
    Administratörskonto
    Username Ange ett användarnamn.
    Lösenord Ange ett lösenord.
    Bekräfta lösenord Ange lösenordet igen.

  4. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.

  5. På fliken Nätverk väljer du följande värden:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVNet.
    Undernät Välj mySubnet.
    Offentlig IP-adress Välj (ny) myVM-ip.
    Nätverkssäkerhetsgrupp för nätverkskort Välj Grundläggande. Den här inställningen skapar en nätverkssäkerhetsgrupp med namnet myVM-nsg och associerar den med nätverksgränssnittet för den virtuella datorn myVM .
    Offentliga inkommande portar Välj Tillåt valda portar.
    Välj inkommande portar Välj RDP (3389).

    Varning

    Att lämna RDP-porten öppen för Internet rekommenderas endast för testning. För produktionsmiljöer rekommenderar vi att du begränsar åtkomsten till RDP-porten till en specifik IP-adress eller ett visst IP-adressintervall. Du kan också blockera Internetåtkomst till RDP-porten och använda Azure Bastion för att ansluta på ett säkert sätt till den virtuella datorn från Azure Portal.

  6. Välj Granska + skapa.

  7. Granska inställningarna och välj sedan Skapa.

  8. När distributionen är klar väljer du Gå till resurs för att gå till översiktssidan för myVM.

  9. Välj Anslut och välj sedan RDP.

  10. Välj Ladda ned RDP-fil och öppna den nedladdade filen.

  11. Välj Anslut och ange sedan det användarnamn och lösenord som du skapade i föregående steg. Acceptera certifikatet om du uppmanas att göra det.

Registrera Insights-providern

Providern Microsoft.Insights krävs för NSG-flödesloggning. Följ dessa steg för att kontrollera dess status:

  1. I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultaten.

  2. Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.

  3. Välj Resursprovidrar under Inställningar för din prenumeration.

  4. Ange insikt i filterrutan.

  5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.

    Skärmbild av registrering av Microsoft Insights-providern i Azure Portal.

Skapa ett lagringskonto

I det här avsnittet skapar du ett lagringskonto för att använda det för att lagra flödesloggarna.

  1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultaten.

  2. Välj + Skapa. I Skapa ett lagringskonto anger eller väljer du följande värden på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Lagringskontonamn Ange ett unikt namn. I den här självstudien används mynwstorageaccount.
    Region Välj (USA) USA, östra. Lagringskontot måste finnas i samma region som den virtuella datorn och dess nätverkssäkerhetsgrupp.
    Prestanda Välj Standard. NSG-flödesloggar stöder endast lagringskonton på standardnivå.
    Redundans Välj Lokalt redundant lagring (LRS) eller en annan replikeringsstrategi som matchar dina hållbarhetskrav.

  3. Välj fliken Granska eller välj knappen Granska längst ned.

  4. Granska inställningarna och välj sedan Skapa.

Skapa en NSG-flödeslogg

I det här avsnittet skapar du en NSG-flödeslogg som sparas i lagringskontot som skapades tidigare i självstudien.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

    Skärmbild av sidan Flödesloggar i Azure Portal.

  4. Ange eller välj följande värden i Skapa en flödeslogg:

    Inställning Värde
    Projektinformation
    Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga.
    Nätverkssäkerhetsgrupp Välj + Välj resurs.
    I Välj nätverkssäkerhetsgrupp väljer du myVM-nsg. Välj sedan Bekräfta markering.
    Flödesloggnamn Lämna standardvärdet myVM-nsg-myResourceGroup-flowlog.
    Instansinformation
    Prenumeration Välj Azure-prenumerationen för ditt lagringskonto.
    Lagringskonton Välj det lagringskonto som du skapade i föregående steg. I den här självstudien används mynwstorageaccount.
    Kvarhållning (dagar) Ange 0 för att behålla flödesloggdata i lagringskontot för alltid (tills du tar bort dem från lagringskontot). Om du vill tillämpa en kvarhållningsprincip anger du kvarhållningstiden i dagar. Information om lagringspriser finns i Priser för Azure Storage.

    Skärmbild av sidan skapa NSG-flödeslogg i Azure Portal.

    Kommentar

    Azure Portal skapar NSG-flödesloggar i resursgruppen NetworkWatcherRG.

  5. Välj Granska + skapa.

  6. Granska inställningarna och välj sedan Skapa.

  7. När distributionen är klar väljer du Gå till resurs för att bekräfta flödesloggen som skapats och listats på sidan Flödesloggar .

    Skärmbild av sidan Flödesloggar i Azure Portal som visar den nyligen skapade flödesloggen.

  8. Gå tillbaka till RDP-sessionen med den virtuella datorn myVM.

  9. Öppna Microsoft Edge och gå till www.bing.com.

Ladda ned flödesloggen

I det här avsnittet går du till det lagringskonto som du tidigare valde och laddar ned NSG-flödesloggen som skapades i föregående avsnitt.

  1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultaten.

  2. Välj mynwstorageaccount eller det lagringskonto som du skapade tidigare och välj för att lagra loggarna.

  3. Under Datalagring väljer du Containrar.

  4. Välj containern insights-logs-networksecuritygroupflowevent .

  5. I containern navigerar du i mapphierarkin tills du kommer till PT1H.json filen. NSG-loggfiler skrivs till en mapphierarki som följer följande namngivningskonvention:

    https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={acAddress}/PT1H.json

  6. Välj ellipsen ... till höger om PT1H.json-filen och välj sedan Ladda ned.

    Skärmbild som visar hur du laddar ned nsg-flödesloggen från lagringskontocontainern i Azure Portal.

Kommentar

Du kan använda Azure Storage Explorer för att komma åt och ladda ned flödesloggar från ditt lagringskonto. Mer information finns i Kom igång med Storage Explorer.

Visa flödesloggen

Öppna den nedladdade PT1H.json filen med valfri textredigerare. Följande exempel är ett avsnitt som hämtats från den nedladdade PT1H.json filen, som visar ett flöde som bearbetas av regeln DefaultRule_AllowInternetOutBound.

{
    "time": "2023-02-26T23:45:44.1503927Z",
    "systemId": "00000000-0000-0000-0000-000000000000",
    "macAddress": "112233445566",
    "category": "NetworkSecurityGroupFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/MYRESOURCEGROUP/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/MYVM-NSG",
    "operationName": "NetworkSecurityGroupFlowEvents",
    "properties": {
        "Version": 2,
        "flows": [
            {
                "rule": "DefaultRule_AllowInternetOutBound",
                "flows": [
                    {
                        "mac": "112233445566",
                        "flowTuples": [
                            "1677455097,10.0.0.4,13.107.21.200,49982,443,T,O,A,C,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Kommaavgränsad information för flowTuples är följande:

Exempeldata Vad data representerar Förklaring
1677455097 Tidstämpel Tidsstämpeln för när flödet inträffade i UNIX EPOCH-format. I föregående exempel konverteras datumet till 26 februari 2023 23:44:57 UTC/GMT.
10.0.0.4 Källans IP-adress Käll-IP-adressen som flödet kom från. 10.0.0.4 är den privata IP-adressen för den virtuella dator som du skapade tidigare.
13.107.21.200 Mål-IP-adress Mål-IP-adressen som flödet var avsett för. 13.107.21.200 är IP-adressen www.bing.comför . Eftersom trafiken är avsedd utanför Azure DefaultRule_AllowInternetOutBound säkerhetsregeln bearbetat flödet.
49982 Källport Källporten som flödet kom från.
443 Målport Målporten som flödet skickades till.
T Protokoll Protokollet för flödet. T: TCP.
O Riktning Flödets riktning. O: Utgående.
A Beslut Det beslut som fattas av säkerhetsregeln. S: Tillåts.
C Endast flödestillstånd version 2 Flödets tillstånd. C: Fortsätter (Continuing) för en pågående flöde.
7 Endast paket som skickats version 2 Det totala antalet TCP-paket som skickats till målet sedan den senaste uppdateringen.
1158 Endast byte som skickats version 2 Det totala antalet TCP-paketbyte som skickats från källa till mål sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.
12 Endast paket som tagits emot version 2 Det totala antalet TCP-paket som tagits emot från målet sedan den senaste uppdateringen.
8143 Endast byte mottagna version 2 Det totala antalet TCP-paketbyte som tagits emot från målet sedan den senaste uppdateringen. Paketbyte omfattar paketets huvud och nyttolast.

Rensa resurser

Ta bort resursgruppen myResourceGroup och alla resurser som den innehåller när den inte längre behövs:

  1. Skriv myResourceGroup i sökrutan högst upp i portalen. Välj myResourceGroup i sökresultaten.

  2. Välj Ta bort resursgrupp.

  3. I Ta bort en resursgrupp anger du myResourceGroup och väljer sedan Ta bort.

  4. Välj Ta bort för att bekräfta borttagningen av resursgruppen och alla dess resurser.

Kommentar

Flödesloggen myVM-nsg-myResourceGroup-flowlog finns i resursgruppen NetworkWatcherRG, men den tas bort när du har tagit bort nätverkssäkerhetsgruppen myVM-nsg (genom att ta bort resursgruppen myResourceGroup).

Relaterat innehåll