Creación, cambio, habilitación, deshabilitación o eliminación de registros de flujo de red virtual

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Proveedor de Insights. Para más información, consulte Registro del proveedor de Insights.

• Una red virtual. Si necesita crear una red virtual, consulte Creación de una red virtual mediante Azure Portal.

• Una cuenta de almacenamiento de Azure. Si necesita crear una cuenta de almacenamiento, consulte Creación de una cuenta de almacenamiento mediante Azure Portal.

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Proveedor de Insights. Para más información, consulte Registro del proveedor de Insights.

• Una red virtual. Si necesita crear una red virtual, consulte Creación de una red virtual mediante PowerShell.

• Una cuenta de almacenamiento de Azure. Si necesita crear una cuenta de almacenamiento, consulte Creación de una cuenta de almacenamiento mediante PowerShell.

• Azure Cloud Shell o Azure PowerShell.

  Los pasos de este artículo ejecutarán los cmdlets de Azure PowerShell de forma interactiva en Azure Cloud Shell. Para ejecutar los cmdlets en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo, a continuación, en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.

  También podrá instalar Azure PowerShell localmente para ejecutar los cmdlet. En este artículo se requiere la versión 7.4.0 o posterior de Azure PowerShell. Ejecute Get-Module -ListAvailable Az para buscar la versión instalada. Si ejecuta PowerShell localmente, inicie sesión en Azure con el cmdlet Connect-AzAccount.

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

• Proveedor de Insights. Para más información, consulte Registro del proveedor de Insights.

• Una red virtual. Si necesita ayuda para crear una red virtual, consulte Creación de una red virtual mediante la CLI de Azure.

• Una cuenta de almacenamiento de Azure. Si necesita crear una cuenta de almacenamiento, consulte Crear una cuenta de almacenamiento mediante la CLI de Azure.

• Azure Cloud Shell o la CLI de Azure.

  Los pasos de este artículo ejecutarán los comandos de la CLI de Azure de forma interactiva en Azure Cloud Shell. Para ejecutar los comandos en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.

  También puede instalar la CLI de Azure localmente para ejecutar los comandos. Este artículo requiere la CLI de Azure versión 2.39.0 o posteriores. Ejecute el comando az --version para buscar la versión instalada. Si ejecuta la CLI de Azure localmente, inicie sesión en Azure con el comando az login.

El proveedor Microsoft.Insights debe estar registrado para registrar correctamente el tráfico que fluye por una red virtual. Si no está seguro de si el proveedor Microsoft.Insights está registrado, compruebe su estado en Azure Portal siguiendo estos pasos:

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba suscripciones. En los resultados de la búsqueda, seleccione Suscripciones.

   

2. Seleccione la suscripción de Azure para la que quiere habilitar el proveedor en Suscripciones.

3. En Configuración, seleccione Proveedores de recursos.

4. Escriba insight en el cuadro de filtro.

5. Confirme que el estado que se muestra para el proveedor es Registrado. Si el estado es NotRegistered, seleccione el proveedor Microsoft.Insights. Después, seleccione Registrar.

   

Se debe registrar el proveedor de Microsoft.Insights para registrar correctamente el tráfico en una red virtual. Si no está seguro de si el proveedor de Microsoft.Insights está registrado, use Register-AzResourceProvider para registrarlo.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Se debe registrar el proveedor de Microsoft.Insights para registrar correctamente el tráfico en una red virtual. Si no sabe si el proveedor Microsoft.Insights está registrado, use az provider register para registrarlo.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. En Network Watcher | Registros de flujo, seleccione + Crear o el botón azul Crear registro de flujo.

   

4. En la pestaña Aspectos básicos de Crear un registro de flujo, escriba o seleccione los valores siguientes:

   Configuración	Importancia
   Detalles del proyecto
   Suscripción	Seleccione la suscripción de Azure que contiene la red virtual.
   Tipo de registro de flujo	Seleccione Red virtual y, después, + Seleccionar recurso de destino. Las opciones disponibles son: red virtual, subred y interfaz de red. Seleccione los recursos que desea registrar y, a continuación, seleccione Confirmar selección.
   Nombre del registro de flujo	Escriba un nombre para el registro de flujo o deje el nombre predeterminado. Azure Portal usa {ResourceName}-{ResourceGroupName}-flowlog como nombre predeterminado.
   Detalles de instancia
   Suscripción	Seleccione la suscripción de Azure que contiene la cuenta de almacenamiento.
   Cuentas de almacenamiento	Seleccione la cuenta de almacenamiento donde desea guardar los registros de flujo. Para crear una cuenta de almacenamiento, seleccione Crear una nueva cuenta de almacenamiento.
   Retención (días)	Escriba un período de retención para los registros en días. Esta opción solo está disponible con cuentas de almacenamiento estándar de uso general v2 . Escriba 0 para conservar los datos del registro de flujo indefinidamente (hasta que se elimine manualmente). Para obtener información sobre los precios, consulte Precios de Azure Storage.

   Importante

   Actualmente, una cuenta de almacenamiento admite 100 reglas y cada una puede acomodar 10 prefijos de blob. Para obtener más información, consulte ¿Cuántas reglas de directivas de retención puede tener una cuenta de almacenamiento?

   

   Importante

   Si configura registros de flujo de red virtual en los niveles de NIC, subred y red virtual, la preferencia de activación sigue este orden: NIC > subred > red virtual.

   Precaución

   Los registros de flujo de red virtual se ingieren en un blob en bloques a intervalos de un minuto agregando bloques. Mientras la ingesta está en curso, no realice operaciones que modifiquen la estructura de bloques del blob, como editar, sobrescribir o eliminar el contenido del blob. Estas operaciones pueden hacer que todas las operaciones de escritura del registro de flujo posteriores generen un error en el blob de esa hora específica.

5. Para permitir el análisis de tráfico, seleccione el botón Siguiente: Análisis o seleccione la pestaña Análisis. Escriba o seleccione los siguientes valores:

   Configuración	Importancia
   Habilitar el análisis del tráfico	Active la casilla para habilitar el análisis de tráfico para el registro de flujo.
   Intervalo de procesamiento del análisis de tráfico	Seleccione el intervalo de procesamiento que prefiera; las opciones disponibles son: Cada 1 hora y Cada 10 minutos. El intervalo de procesamiento determinado es cada hora. Para más información, consulte Análisis de tráfico.
   Suscripción	Seleccione la suscripción de Azure para el área de trabajo de Log Analytics.
   Área de trabajo de Log Analytics	Seleccione el área de trabajo de Log Analytics. De manera predeterminada, Azure Portal crea el área de trabajo de Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} en el grupo de recursos defaultresourcegroup-{Region}.

   

   Nota:

   Para crear y seleccionar un área de trabajo de Log Analytics que no sea la predeterminada, consulte Creación de un área de trabajo de Log Analytics.

6. Selecciona Revisar + crear.

7. Revise la configuración y, a continuación, seleccione Crear.

Use el cmdlet New-AzNetworkWatcherFlowLog para crear un registro de flujo de red virtual.

• Habilitación de registros de flujo de red virtual sin análisis de tráfico

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2
  

• Habilitación de registros de flujo de red virtual y análisis de tráfico

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'EastUS'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10
  

Use el comando az network watcher flow-log create para crear un registro de flujo de red virtual.

• Habilitación de registros de flujo de red virtual sin análisis de tráfico

  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account 'myStorageAccount'
  

  # Create a VNet flow log (storage account is in a different resource group from the virtual network).
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'
  

• Habilitación de registros de flujo de red virtual y análisis de tráfico

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10
  

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics true --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10
  

Para habilitar el análisis de tráfico para un registro de flujo, siga estos pasos:

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. En Network Watcher | Registros de flujo, seleccione l registro de flujo para el que desea habilitar el análisis de tráfico.

4. En Configuración de registros de flujo, bajo Análisis de tráfico, active la casilla Habilitar análisis de tráfico.

   

5. Introduzca o seleccione los siguientes valores:

   Configuración	Importancia
   Suscripción	Seleccione la suscripción de Azure para el área de trabajo de Log Analytics.
   Área de trabajo de Log Analytics	Seleccione el área de trabajo de Log Analytics. De manera predeterminada, Azure Portal crea el área de trabajo de Log Analytics DefaultWorkspace-{SubscriptionID}-{Region} en el grupo de recursos defaultresourcegroup-{Region}.
   Intervalo de registro de tráfico	Seleccione el intervalo de procesamiento que prefiera; las opciones disponibles son: Cada 1 hora y Cada 10 minutos. El intervalo de procesamiento determinado es cada hora. Para más información, consulte Análisis de tráfico.

   

6. Seleccione Guardar para aplicar los cambios.

Para deshabilitar el análisis de tráfico de un registro de flujo, siga los pasos anteriores del 1 al 3, luego desactive la casilla Habilitar análisis de tráfico y seleccione Guardar.

Para habilitar el análisis de tráfico en un recurso de registro de flujo, use el cmdlet Set-AzNetworkWatcherFlowLog .

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

Para deshabilitar el análisis de tráfico en el recurso de registro de flujo y continuar generando y guardando registros de flujo de red virtual en la cuenta de almacenamiento, use el cmdlet Set-AzNetworkWatcherFlowLog .

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

Para habilitar el análisis de tráfico en un recurso de registro de flujo, use el comando az network watcher flow-log update.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

Para deshabilitar el análisis de tráfico en el recurso de registro de flujo y continuar generando y guardando registros de flujo de red virtual en una cuenta de almacenamiento, use el comando az network watcher flow-log update.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. Seleccione el filtro Igualdad de suscripción para elegir una o varias de las suscripciones. Puede aplicar otros filtros como Igualdad de ubicación para enumerar todos los registros de flujo de una región.

   

Utiliza el cmdlet Get-AzNetworkWatcherFlowLog para enumerar todos los recursos de registro de flujo en una región determinada de tu suscripción.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table

Usa el comando az network watcher flow-log list para enumerar todos los recursos de log de flujo en una región particular en tu suscripción.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. En Network Watcher | Registros de flujo, seleccione el registro de flujo que desea ver.

4. En Configuración de registros de flujo, puede ver la configuración del recurso de registro de flujo.

   

5. Seleccione Cancelar para cerrar la página de configuración sin realizar cambios.

Use el cmdlet Get-AzNetworkWatcherFlowLog para ver los detalles de un recurso de registro de flujo.

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -Name 'myVNetFlowLog'

Use az network watcher flow-log show para ver los detalles de un recurso de registro de flujo.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba cuentas de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.

2. Seleccione la cuenta de almacenamiento que usó para almacenar los registros.

3. En Almacenamiento de datos, seleccione Contenedores.

4. Seleccione el contenedor insights-logs-flowlogflowevent.

5. En insights-logs-flowlogflowevent, vaya a la jerarquía de carpetas hasta que llegue al archivo PT1H.json que desea descargar. Los archivos de registro de flujo de red virtual siguen la siguiente ruta de acceso:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Seleccione los puntos suspensivos ... a la derecha del archivo PT1H.json y, luego, elija Descargar.

   

Para descargar registros de flujo de red virtual desde la cuenta de almacenamiento, use el cmdlet Get-AzStorageBlobContent . Para más información, consulte Descargar un blob.

Los archivos de registro de flujo de red virtual se guardan en la cuenta de almacenamiento en la siguiente ruta de acceso:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Para descargar registros de flujo de red virtual desde la cuenta de almacenamiento, use el comando az storage blob download. Para más información, consulte Descargar un blob.

Los archivos de registro de flujo de red virtual se guardan en la cuenta de almacenamiento en la siguiente ruta de acceso:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. En Network Watcher | Registros de flujo, seleccione la casilla del registro de flujo que desea deshabilitar.

4. Seleccione Deshabilitar.

   

Utiliza el cmdlet Set-AzNetworkWatcherFlowLog para deshabilitar un registro de flujo.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Utilice el comando az network watcher flow-log update para desactivar un registro de flujo.

# Update the VNet flow log.
az network watcher flow-log update --enabled false --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount'

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba network watcher. En los resultados de la búsqueda, seleccione Network Watcher.

2. En Registros, seleccione Registros de flujo.

3. En Network Watcher | Registros de flujo, seleccione la casilla del registro de flujo que desea eliminar.

4. Seleccione Eliminar.

   

Para eliminar un recurso de registro de flujo de red virtual, use Remove-AzNetworkWatcherFlowLog cmdlet.

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myVNetFlowLog' -Location 'eastus'

Para eliminar un recurso de registro de flujo de red virtual, use el comando az network watcher flow-log delete.

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'