Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez découvrir les journaux de diagnostic pour le périmètre de sécurité réseau et apprendre à activer la journalisation. Vous découvrez les catégories de journaux d’accès utilisées. Vous examinerez ensuite les options de stockage des journaux de diagnostic et apprendrez à activer la journalisation via le Portail Azure.
Important
Le périmètre de sécurité réseau est désormais en disponibilité générale dans toutes les régions de cloud public Azure. Pour plus d’informations sur les services pris en charge, consultez les ressources de liaison privée intégrées pour les services PaaS pris en charge. »
Catégories de journaux d’accès
Les catégories de journaux d’accès pour un périmètre de sécurité réseau sont basées sur les résultats de l’évaluation des règles d’accès. Les catégories de journaux choisies dans les paramètres de diagnostic sont envoyées à l’emplacement de stockage choisi par le client. Voici les descriptions de chacune des catégories de journaux d’accès, avec les modes dans lesquels elles s’appliquent :
| Catégorie de journal | Description | S’applique aux modes |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | L’accès entrant est autorisé en fonction des règles d’accès au périmètre de sécurité réseau. | Transition/Enforced |
| NspPublicInboundPerimeterRulesDenied | L’accès entrant public est refusé par le périmètre de sécurité réseau. | Appliqué |
| NspPublicOutboundPerimeterRulesAllowed | L’accès sortant est autorisé en fonction des règles d’accès au périmètre de sécurité réseau. | Transition/Enforced |
| NspPublicOutboundPerimeterRulesDenied | L’accès sortant public est refusé par le périmètre de sécurité réseau. | Appliqué |
| NspOutboundAttempt | Tentative de trafic sortant dans le périmètre de sécurité réseau. | Transition/Enforced |
| NspIntraPerimeterInboundAllowed | L’accès entrant dans le périmètre est autorisé. | Transition/Enforced |
| NspPublicInboundResourceRulesAllowed | En cas de refus par les règles de périmètre de sécurité réseau, l’accès entrant est autorisé en fonction des règles de ressource PaaS. | Transition |
| NspPublicInboundResourceRulesDenied | En cas de refus par les règles de périmètre de sécurité réseau, l’accès entrant est refusé par les règles de ressource PaaS. | Transition |
| NspPublicOutboundResourceRulesAllowed | En cas de refus par les règles de périmètre de sécurité réseau, l’accès sortant est autorisé en fonction des règles de ressource PaaS. | Transition |
| NspPublicOutboundResourceRulesDenied | En cas de refus par les règles de périmètre de sécurité réseau, l’accès sortant est refusé par les règles de ressource PaaS. | Transition |
| NspPrivateInboundAllowed | Le trafic de point de terminaison privé est autorisé. | Transition/Enforced |
Remarque
Les modes d'accès disponibles pour un périmètre de sécurité réseau sont Transition et Appliqué. Le mode Transition était auparavant nommé Mode Learning. Vous pouvez continuer à voir des références au mode Learning dans certains cas.
Schéma du journal d’accès
Chaque ressource PaaS associée au périmètre de sécurité réseau génère des journaux d’accès avec un schéma de journal unifié lorsqu’elle est activée.
Remarque
Les journaux d’accès au périmètre de sécurité réseau ont peut-être été agrégés. Si les champs « count » et « timeGeneratedEndTime » sont manquants, considérez le nombre d’agrégations comme 1.
| Valeur | Description |
|---|---|
| temps | Horodatage (UTC) du premier événement dans la fenêtre d’agrégation de journaux. |
| timeGeneratedEndTime | Horodatage (UTC) du dernier événement dans la fenêtre d’agrégation du journal des événements. |
| nombre | Nombre de fichiers de log agrégés. |
| resourceId | ID de ressource du périmètre de sécurité réseau. |
| emplacement | Région du périmètre de sécurité réseau. |
| operationName | Nom de l’opération de ressource PaaS représentée par cet événement. |
| operationVersion | Version de l’API associée à l’opération. |
| catégorie | Catégories de journaux définies pour les journaux d’activité Access. |
| properties | Propriétés étendues spécifiques au périmètre de sécurité réseau associées à cette catégorie d’événements. |
| resultDescription | Description textuelle statique de cette opération sur la ressource PaaS, par exemple « Obtenir le fichier de stockage ». |
Propriétés spécifiques au périmètre de sécurité réseau
Cette section décrit les propriétés spécifiques du périmètre de sécurité réseau dans le schéma de journal.
Remarque
L’application des propriétés est soumise au type de catégorie de journal. Reportez-vous aux schémas de catégorie de journal respectifs pour l’applicabilité.
| Valeur | Description |
|---|---|
| serviceResourceId | ID de ressource de la ressource PaaS qui émet des journaux d’accès au périmètre de sécurité réseau. |
| serviceFqdn | Nom de domaine complet de la ressource PaaS qui émet des journaux d’accès au périmètre de sécurité réseau. |
| profil | Nom du profil de périmètre de sécurité réseau associé à la ressource. |
| Paramètres | Liste des propriétés facultatives des ressources PaaS au format de chaîne JSON. Par exemple, { {Param1} : {value1}, {Param2} : {value2}, ...}. |
| appId | GUID unique représentant l’ID d’application de ressource dans Azure Active Directory. |
| règleCorrespondante | Conteneur de propriétés JSON contenant le nom d’accessRule correspondant, {"accessRule » : « {ruleName}"}. Il peut s’agir du nom de la règle d’accès au périmètre de sécurité réseau ou du nom de la règle de ressource (et non armId). |
| source | Conteneur de propriétés JSON décrivant la source de la connexion entrante. |
| destination | Conteneur de propriétés JSON décrivant la destination de la connexion sortante. |
| accessRulesVersion | Conteneur de propriétés JSON contenant la version de règle d’accès de la ressource. |
Propriétés de source
Propriétés décrivant la source de la connexion entrante.
| Valeur | Description |
|---|---|
| resourceId | ID de ressource de la ressource PaaS source pour une connexion entrante. Sera présent le cas échéant. |
| ipAddress | Adresse IP de la source qui effectue une connexion entrante. Sera présent le cas échéant. |
| port | Numéro de port de la connexion entrante. Il se peut qu’il n’existe pas pour tous les types de ressources. |
| protocole | Protocoles de couche d’application et de transport pour la connexion entrante au format {AppProtocol} :{TptProtocol}. Par exemple, HTTPS :TCP. Il se peut qu’il n’existe pas pour tous les types de ressources. |
| perimeterGuids | Liste des GUID périmétriques de la ressource source. Il doit être spécifié seulement s’il est autorisé en fonction du GUID du périmètre. |
| appId | GUID unique représentant l’ID d’application de la source dans Azure Active Directory. |
| Paramètres | Liste des propriétés sources facultatives au format de chaîne JSON. Par exemple, { {Param1} : {value1}, {Param2} : {value2}, ...}. |
Propriétés de destination
Propriétés décrivant la destination de la connexion sortante.
| Valeur | Description |
|---|---|
| resourceId | ID de ressource de la ressource PaaS de destination pour une connexion sortante. Sera présent le cas échéant. |
| nom de domaine entièrement qualifié | Nom de domaine complet (FQDN) de la destination. |
| Paramètres | Liste des propriétés de destination facultatives au format de chaîne JSON. Par exemple, { {Param1} : {value1}, {Param2} : {value2}, ...}. |
| port | Numéro de port de connexion sortante. Il se peut qu’il n’existe pas pour tous les types de ressources. |
| protocole | Protocoles de couche application et de transport pour la connexion sortante au format {AppProtocol} :{TptProtocol}. Par exemple, HTTPS :TCP. Il se peut qu’il n’existe pas pour tous les types de ressources. |
Exemple d’entrée de journal pour les catégories entrantes
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Exemple d’entrée de log pour les catégories sortantes
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Options de destination de journalisation pour les journaux d’activité d’accès
Les destinations pour le stockage des journaux de diagnostic pour un périmètre de sécurité réseau incluent des services tels que l’espace de travail Log Analytics (nom de table : NSPAccessLogs), le compte de stockage Azure et Azure Event Hubs. Pour obtenir la liste complète et les détails des destinations prises en charge, consultez Destinations prises en charge pour les journaux de diagnostic.
Activation de la journalisation via le portail Azure
Vous pouvez activer la journalisation des diagnostics pour un périmètre de sécurité réseau à l’aide du Portail Azure, sous Paramètres de diagnostic. Quand vous ajoutez un paramètre de diagnostic, vous pouvez choisir les catégories de journaux d’activité à collecter et la destination où vous souhaitez remettre les journaux d’activité.
Remarque
Quand vous utilisez Azure Monitor avec un périmètre de sécurité réseau, l’espace de travail Log Analytics à associer au périmètre de sécurité réseau doit se trouver dans l’une des régions prises en charge par Azure Monitor.
Avertissement
Les destinations de journal doivent se trouver dans le même périmètre de sécurité réseau que la ressource PaaS pour garantir le flux approprié des journaux d’activité des ressources PaaS. La configuration/la configuration déjà effectuée des paramètres de diagnostic pour les ressources non incluses dans la liste des Ressources de liaison privée intégrées entraînera l'arrêt du flux de journal pour ces ressources.