從網路安全性群組流量記錄移轉至虛擬網路流量記錄
重要
網路安全性群組 (NSG) 流量記錄將於 2027 年 9 月 30 日淘汰。 經此淘汰後,自 2025 年 6 月 30 日起您將無法再建立新的 NSG 流量記錄。 建議您移轉 (部分機器翻譯) 至虛擬網路流量記錄,以因應 NSG 流量記錄的限制。 過了淘汰日期之後,將不再支援啟用了 NSG 流量記錄的流量分析,且將會刪除您的訂用帳戶中現有的 NSG 流量記錄資源。 不過,NSG 流量記錄將不會刪除,且將繼續遵循其各自的保留原則。 如需詳細資訊,請參閱官方公告。
在本文中,您會了解如何使用移轉指令碼,將現有的網路安全性群組流量記錄移轉至虛擬網路流量記錄。 虛擬網路流量記錄克服了網路安全性群組流量記錄的一些限制。 如需詳細資訊,請參閱 虛擬網路流量記錄。
注意
使用移轉指令碼的時機:
- 您未在虛擬網路中的所有網路介面或子網路上啟用流量記錄,而且不想要在所有這些網路介面或子網路上啟用虛擬網路流量記錄,或
- 您在虛擬網路中的網路安全性群組流量記錄具有不同的設定,而且想要使用那些不同的設定來建立虛擬網路流量記錄,作為網路安全性群組流量記錄。
使用 Azure 原則的時機:
- 您將相同的網路安全性群組套用至虛擬網路中的所有網路介面或子網路、
- 您對虛擬網路中的所有網路介面或子網路具有相同的網路安全性群組流量記錄設定,或
- 您想要在虛擬網路層級上啟用虛擬網路流量記錄。
如需詳細資訊,請參閱使用內建原則部署和設定虛擬網路流量記錄。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
在您的機器上安裝 PowerShell。 如需詳細資訊,請參閱在 Windows、Linux 和 macOS 上安裝 PowerShell。 本文需要 Az PowerShell 模組。 如需詳細資訊,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要尋找已安裝的版本,請執行
Get-Module -ListAvailable Az。流量記錄和 Log Analytics 工作區訂用帳戶的必要 RBAC 權限 (如果針對任何網路安全性群組流量記錄啟用使用流量分析)。 如需詳細資訊,請參閱網路監看員權限。
一或多個區域中的網路安全性群組流量記錄。 如需詳細資訊,請參閱建立網路安全性群組流量記錄。
產生移轉指令碼
在本節中,您會了解如何針對您要移轉的網路安全性群組流量記錄產生並下載移轉檔案。
在入口網站頂端的搜尋方塊中,輸入網路監看員。 從搜尋結果中,選取 [網路監看員]。
在 [記錄] 底下,選取 [移轉流量記錄]。
![顯示 Azure 入口網站中 [網路安全性群組流量記錄移轉] 頁面的螢幕擷取畫面。](media/nsg-flow-logs-migrate/migrate-flow-logs.png)
選取訂用帳戶,其中包含您要移轉的網路安全性群組流量記錄。
針對每個訂用帳戶,選取區域,其中包含您要移轉的流量記錄。 [NSG 流量記錄總數] 會顯示位於所選訂用帳戶中的流量記錄總數。 [選取的 NSG 流量記錄] 會顯示所選區域中的流量記錄數目。
在您選擇訂用帳戶和區域之後,請選取 [下載指令碼和 JSON 檔案],以將移轉檔案下載為 zip 檔案。
在本機電腦上擷取
MigrateFlowLogs.zip檔案。 zip 檔案包含這兩個檔案:- 指令檔:
MigrationFromNsgToAzureFlowLogging.ps1 - JSON 檔案:
RegionSubscriptionConfig.json。
- 指令檔:
![顯示 Azure 入口網站中 [網路安全性群組流量記錄移轉] 頁面的螢幕擷取畫面。](media/nsg-flow-logs-migrate/migrate-flow-logs.png#lightbox)
執行移轉指令碼
在本節中,您會了解如何使用您在上一節下載的指令檔,來移轉網路安全性群組流量記錄。
重要
一旦您開始執行指令碼,就不應該對您要移轉的流量記錄的區域和訂用帳戶中的拓撲進行任何變更。
執行指令檔
MigrationFromNsgToAzureFlowLogging.ps1。輸入 1,代表 [執行分析] 選項。
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. Quit輸入 JSON 檔案名稱。
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json輸入執行緒數目,或保留空白以使用預設值 16。
Please enter the number of threads you would like to use, press enter for using default value of 16:在分析完成之後,您將會在畫面上和相同移轉檔案目錄中的 html 檔案中看到分析報告。 此報告會列出將停用的網路安全性群組流量記錄數目,以及為了取代這些流量記錄而建立的虛擬網路流量記錄數目。 所建立的虛擬網路流量記錄數目取決於您選擇的移轉類型。 例如,如果您要移轉其流量記錄的網路安全性群組與相同虛擬網路中的三個網路介面相關聯,則您可以選擇 [使用彙總進行移轉],將單一虛擬網路流量記錄資源套用至虛擬網路。 您也可以選擇 [不使用彙總進行移轉],以具有三個虛擬網路流量記錄 (每個網路介面一個虛擬網路流量記錄資源)。
注意
如需所執行分析的完整報告,請參閱
AnalysisReport-<subscriptionId>-<region>-<time>.html檔案。 此檔案可在指令碼的同一目錄中取得。輸入 2 或 3,以選擇您想要執行的移轉類型。
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. Quit在畫面上看到移轉摘要之後,您可以取消移轉並還原變更。 若要接受並繼續進行移轉,請輸入 n,否則請輸入 y。 一旦您接受了變更,就無法還原這些變更。
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n注意
保留指令碼和分析報告檔案以供參考,以防您在移轉時遇到任何問題。
檢查 Azure 入口網站,確認您移轉的網路安全性群組流量記錄狀態變成已停用。 也請檢查移轉過程中新建立的虛擬網路流量記錄。
新增篩選條件,只列出來自所選擇訂用帳戶和區域的網路安全性群組流量記錄。 如果您只移轉了幾個網路安全性群組流量記錄,則可以略過此步驟。
選取您要刪除的流量記錄,然後選取 [刪除]
輸入 delete,然後選取 [刪除] 以確認刪除。
考量
具有負載平衡器的擴展集:移轉指令碼會在具有擴展集虛擬機器的子網路上啟用虛擬網路流量記錄。
注意
如果未在擴展集的所有網路介面上啟用網路安全性群組流量記錄,或網路介面未共用相同的網路安全性群組流量記錄,則會在子網路上建立虛擬網路流量記錄,其設定與擴展集的其中一個網路介面相同。
PaaS:移轉指令碼不支援具有 PaaS 解決方案的環境,這些環境在使用者的訂用帳戶中具有網路安全性群組流量記錄,但目標資源位於不同的訂用帳戶中。 針對這類環境,您應該在 PaaS 解決方案的虛擬網路或子網路上手動啟用虛擬網路流量記錄。