Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, obtendrá información sobre los registros de diagnóstico del perímetro de seguridad de red y sobre cómo habilitar el registro. Obtendrá información sobre las categorías de registros de acceso usadas. Posteriormente, obtendrá información sobre las opciones para almacenar registros de diagnóstico y sobre cómo habilitar el registro a través de Azure Portal.
Importante
El perímetro de seguridad de red ahora está disponible con carácter general en todas las regiones de nube pública de Azure. Para obtener información sobre los servicios admitidos, consulte Recursos de vínculo privado incorporados para los servicios paaS compatibles".
Categorías de registros de acceso
Las categorías de registros de acceso para un perímetro de seguridad de red se basan en los resultados de la evaluación de reglas de acceso. Las categorías de registro elegidas en la configuración de diagnóstico se envían a la ubicación de almacenamiento elegida por el cliente. A continuación se muestran las descripciones de cada una de las categorías de registro de acceso, incluidos los modos en los que son aplicables:
| Categoría del registro | Descripción | Aplicable a modos |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | El acceso de entrada se permite en función de las reglas de acceso perimetral de seguridad de red. | Transición o aplicación |
| NspPublicInboundPerimeterRulesDenied | Acceso de entrada público denegado por el perímetro de seguridad de red. | Aplicado |
| NspPublicOutboundPerimeterRulesAllowed | El acceso de salida se permite en función de las reglas de acceso perimetral de seguridad de red. | Transición o aplicación |
| NspPublicOutboundPerimeterRulesDenied | Acceso de salida público denegado por el perímetro de seguridad de red. | Aplicado |
| NspOutboundAttempt | Intento de salida dentro del perímetro de seguridad de red. | Transición o aplicación |
| NspIntraPerimeterInboundAllowed | Se permite el acceso de entrada dentro del perímetro. | Transición o aplicación |
| NspPublicInboundResourceRulesAllowed | Cuando se deniegan las reglas perimetrales de seguridad de red, se permite el acceso de entrada en función de las reglas de recursos de PaaS. | Transition |
| NspPublicInboundResourceRulesDenied | Cuando se deniegan las reglas perimetrales de seguridad de red, las reglas de recursos de PaaS deniegan el acceso de entrada. | Transition |
| NspPublicOutboundResourceRulesAllowed | Cuando se deniegan las reglas perimetrales de seguridad de red, se permite el acceso de salida en función de las reglas de recursos de PaaS. | Transition |
| NspPublicOutboundResourceRulesDenied | Cuando se deniegan las reglas perimetrales de seguridad de red, las reglas de recursos de PaaS deniegan el acceso de salida. | Transition |
| NspPrivateInboundAllowed | Se permite el tráfico del punto de conexión privado. | Transición o aplicación |
Nota:
Los modos de acceso disponibles para un perímetro de seguridad de red son Transición y Aplicación. Anteriormente, el modo de transición se denominaba modo de aprendizaje. Es posible que siga viendo referencias al modo de aprendizaje en algunos casos.
Esquema de registro de acceso
Cada recurso paaS asociado al perímetro de seguridad de red genera registros de acceso con el esquema de registro unificado cuando está habilitado.
Nota:
Es posible que se hayan agregado los registros de acceso del perímetro de seguridad de la red. Si faltan los campos "count" y "timeGeneratedEndTime", considere el recuento de agregaciones como 1.
| Valor | Descripción |
|---|---|
| tiempo | Marca de tiempo (UTC) del primer evento en la ventana de agregación del registro. |
| timeGeneratedEndTime | Marca de tiempo (UTC) del último evento en la ventana de agregación de registros. |
| count | Número de registros agregados. |
| resourceId | Identificador de recurso del perímetro de seguridad de red. |
| ubicación | Región del perímetro de seguridad de red. |
| operationName | Nombre de la operación de recurso PaaS representada por este evento. |
| versiónDeOperación | Versión de API asociada a la operación. |
| categoría | Categorías de registro definidas para los registros de Access. |
| propiedades | Propiedades extendidas específicas del perímetro de seguridad de red relacionadas con esta categoría de eventos. |
| descripciónDelResultado | Descripción de texto estático de esta operación en el recurso PaaS, por ejemplo, "Obtener archivo de almacenamiento". |
Propiedades específicas del perímetro de seguridad de red
En esta sección se describen las propiedades específicas del perímetro de seguridad de red en el esquema de registro.
Nota:
La aplicación de las propiedades está sujeta al tipo de categoría de registro. Consulte los esquemas de categoría de registro correspondientes para la aplicabilidad.
| Valor | Descripción |
|---|---|
| serviceResourceId | Identificador de recurso de recurso PaaS que emite registros de acceso perimetral de seguridad de red. |
| serviceFqdn | Nombre de dominio completo del recurso PaaS que emite registros de acceso al perímetro de seguridad de la red. |
| perfil | Nombre del perfil perimetral de seguridad de red asociado al recurso. |
| Parámetros | Lista de propiedades de recursos PaaS opcionales en formato de cadena JSON. Por ejemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | GUID único que representa el identificador de aplicación del recurso en Azure Active Directory. |
| matchedRule | Contenedor de propiedades JSON que contiene el nombre accessRule coincidente, {"accessRule" : "{ruleName}"}. Puede ser el nombre de la regla de acceso perimetral de seguridad de red o el nombre de la regla de recursos (no ArmId). |
| de origen | Contenedor de propiedades JSON que describe el origen de la conexión entrante. |
| destino | Contenedor de propiedades JSON que describe el destino de la conexión saliente. |
| accessRulesVersion | Contenedor de propiedades JSON que contiene la versión de la regla de acceso del recurso. |
Propiedades de origen
Propiedades que describen el origen de la conexión entrante.
| Valor | Descripción |
|---|---|
| resourceId | Identificador de recurso del recurso PaaS de origen para una conexión entrante. Existirá si procede. |
| ipAddress | Dirección IP del origen que realiza la conexión entrante. Existirá si procede. |
| puerto | Número de puerto de conexión entrante. Es posible que no exista para todos los tipos de recursos. |
| protocolo | Protocolos de capa de aplicación y transporte para la conexión entrante en formato {AppProtocol}:{TptProtocol}. Por ejemplo, HTTPS:TCP. Es posible que no exista para todos los tipos de recursos. |
| perimeterGuids | Lista de GUID perimetrales del recurso de origen. Solo se debe especificar si se permite en función del GUID perimetral. |
| appId | GUID único que representa el id. de la aplicación de origen en Azure Active Directory. |
| Parámetros | Lista de propiedades de origen opcionales en formato de cadena JSON. Por ejemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Propiedades de destino
Propiedades que describen el destino de la conexión saliente.
| Valor | Descripción |
|---|---|
| resourceId | Identificador de recurso del recurso PaaS de destino para una conexión saliente. Existirá si procede. |
| nombre de dominio completamente calificado | Nombre de dominio completo (FQDN) del destino. |
| Parámetros | Lista de propiedades de destino opcionales en formato de cadena JSON. Por ejemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| puerto | Número de puerto de conexión saliente. Es posible que no exista para todos los tipos de recursos. |
| protocolo | Protocolos de capa de aplicación y transporte para la conexión saliente con el formato {AppProtocol}:{TptProtocol}. Por ejemplo, HTTPS:TCP. Es posible que no exista para todos los tipos de recursos. |
Entrada de registro de ejemplo para categorías de entrada
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Entrada de registro de ejemplo para categorías de salida
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Opciones de destino de registro para los registros de acceso
Los destinos para almacenar registros de diagnóstico para un perímetro de seguridad de red incluyen servicios como el área de trabajo de Log Analytics (nombre de tabla: NSPAccessLogs), la cuenta de Azure Storage y Azure Event Hubs. Para obtener la lista completa y los detalles de los destinos admitidos, consulte Destinos admitidos para los registros de diagnóstico.
Habilitación del registro mediante Azure Portal
Puede habilitar el registro de diagnóstico para un perímetro de seguridad de red mediante Azure Portal en la configuración de diagnóstico. Al agregar una configuración de diagnóstico, puede elegir las categorías de registro que desea recopilar y el destino en el que desea entregar los registros.
Nota:
Al utilizar Azure Monitor con un perímetro de seguridad de red, el área de trabajo de Log Analytics que se asociará con el perímetro de seguridad de red debe encontrarse en una de las regiones admitidas de Azure Monitor.
Advertencia
Los destinos de registro deben estar dentro del mismo perímetro de seguridad de red que el recurso PaaS para garantizar el flujo adecuado de los registros de recursos de PaaS. La configuración o la configuración de diagnóstico ya configurada para los recursos que no se incluyen en la lista de recursos de vínculo privado incorporados darán lugar a la interrupción del flujo de registro de esos recursos.