Partager via

Tutoriel : Journaliser le trafic réseau vers et depuis un réseau virtuel à l’aide du portail Azure

Les journaux de flux de réseau virtuel sont une fonctionnalité d’Azure Network Watcher qui vous permet de journaliser des informations sur le trafic IP circulant dans un réseau virtuel Azure. Pour plus d’informations sur la journalisation des flux de réseau virtuel, consultez journaux de flux de réseau virtuel.

Ce tutoriel vous aide à utiliser les journaux de flux de réseau virtuel pour journaliser le trafic réseau d’une machine virtuelle qui transite par le réseau virtuel.

Diagramme montrant les ressources créées pendant le tutoriel.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un réseau virtuel
  • Créer une machine virtuelle
  • Inscrire un fournisseur Microsoft.insights
  • Activer la journalisation des flux pour un réseau virtuel à l’aide des journaux de flux Network Watcher
  • Télécharger les données enregistrées
  • Afficher les données enregistrées

Conditions préalables

  • Un compte Azure avec un abonnement actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.

Créer un réseau virtuel

Dans cette section, vous allez créer un réseau virtuel myVNet avec un sous-réseau pour la machine virtuelle.

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez réseaux virtuels. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

    Capture d’écran montrant comment rechercher des réseaux virtuels dans le portail Azure.

  3. Sélectionnez + Créer. Dans l’option Créer un réseau virtuel, entrez ou sélectionnez les valeurs suivantes sous l’onglet Informations de base :

    Réglage Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez Créer nouveau.
    Entrez myResourceGroup dans Nom.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez MyVnet.
    Région Sélectionnez (États-Unis) USA Est.

  4. Sélectionnez Vérifier + créer.

  5. Passez en revue les paramètres, puis sélectionnez Créer.

Créer une machine virtuelle

Dans cette section, vous créez une machine virtuelle myVNet.

  1. Dans la zone de recherche située en haut du portail, entrez machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez + Créer , puis sélectionnez Machine virtuelle.

  3. Dans Créer une machine virtuelle, entrez ou sélectionnez les valeurs suivantes sous l’onglet Fonctions base :

    Réglage Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVM.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez l’image que vous préférez. Ce tutoriel utilise Windows Server 2022 Datacenter : Azure Edition - x64 Gen2.
    Taille Choisissez une taille de machine virtuelle ou laissez le paramètre par défaut.
    Compte d’administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Retapez le mot de passe.

  4. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  5. Sous l’onglet Mise en réseau, sélectionnez les valeurs suivantes :

    Réglage Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVNet.
    Subnet Sélectionnez mySubnet.
    Adresse IP publique Sélectionnez (nouveau) myVM-ip.
    Groupe de sécurité réseau de la NIC Sélectionnez De base.
    Ports d’entrée publics Sélectionnez Autoriser les ports sélectionnés.
    Sélectionner des ports d’entrée Sélectionnez RDP (3389).

    Avertissement

    Laisser le port RDP ouvert sur Internet n’est recommandé qu’à des fins de test. Pour les environnements de production, il est recommandé de restreindre l’accès au port RDP à une adresse IP ou à une plage d’adresses IP spécifiques. Vous pouvez également bloquer l’accès Internet au port RDP et utiliser Azure Bastion pour vous connecter en toute sécurité à votre machine virtuelle à partir du Portail Azure.

  6. Sélectionnez Vérifier + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

  8. Une fois le déploiement terminé, sélectionnez Accéder à la ressource pour accéder à la page Vue d’ensemble de myVM.

  9. Sélectionnez Se connecter, puis RDP.

  10. Sélectionnez Télécharger le fichier RDP, puis ouvrez le fichier téléchargé.

  11. Sélectionnez Connecter et entrez le nom d’utilisateur et le mot de passe que vous avez créés lors des étapes précédentes. Acceptez le certificat si vous y êtes invité.

Inscrire un fournisseur Insights

La journalisation des flux nécessite le fournisseur Microsoft.Insights . Pour vérifier son état, procédez comme suit :

  1. Dans la zone de recherche située en haut du portail, entrez abonnements. Sélectionnez Abonnements dans les résultats de la recherche.

  2. Sélectionnez l’abonnement Azure pour lequel vous souhaitez activer le fournisseur dans Abonnements.

  3. Sous Paramètres, sélectionnez Fournisseurs de ressources.

  4. Entrez insight dans la zone de filtre.

  5. Vérifiez que l’état du fournisseur affiché est Inscrit. Si l’état n’est pas Inscrit, sélectionnez le fournisseur Microsoft.Insights , puis Inscrivez-vous.

    Capture d’écran montrant comment inscrire le fournisseur Microsoft Insights dans le portail Azure.

Créer un compte de stockage

Dans cette section, vous créez un compte de stockage afin de l’utiliser pour stocker les journaux de flux.

  1. Dans la zone de recherche située en haut du portail, entrez comptes de stockage. Sélectionnez les comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez + Créer. Dans Créer un compte de stockage, entrez ou sélectionnez les valeurs suivantes sous l’onglet Informations de base :

    Réglage Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom du compte de stockage Entrez un nom unique. Ce tutoriel utilise nwteststorageaccount.
    Région Sélectionnez (États-Unis) USA Est. Le compte de stockage doit se situer dans la même région que la machine virtuelle et son groupe de sécurité réseau.
    Service principal Sélectionnez Stockage Blob Azure ou Azure Data Lake Storage Gen2.
    Performances Sélectionnez Standard. Les journaux de flux prennent uniquement en charge les comptes de stockage de niveau Standard.
    Redondance Sélectionnez la redondance que vous préférez. Ce tutoriel utilise le stockage localement redondant (LRS).

  3. Sélectionnez l’onglet Vérifier, ou sélectionnez le bouton Vérifier au bas de la page.

  4. Passez en revue les paramètres, puis sélectionnez Créer.

Créer un journal de flux

Dans cette section, vous allez créer un journal de flux de réseau virtuel enregistré dans le compte de stockage créé précédemment dans le didacticiel.

  1. Dans la zone de recherche située en haut du portail, entrez Network Watcher. Sélectionnez Network Watcher dans les résultats de recherche.

  2. Sous Journaux, sélectionnez Journaux de flux.

  3. Dans Network Watcher | Journaux de flux, sélectionnez + Bouton Créer ou créer un journal de flux bleu.

    Capture d’écran des journaux de flux Network Watcher dans le portail Azure.

  4. Entrez ou sélectionnez les valeurs suivantes dans Créer un journal de flux :

    Réglage Valeur
    Détails du projet
    Abonnement Sélectionnez l’abonnement Azure de votre groupe de sécurité réseau que vous souhaitez consigner.
    Type du journal de flux Sélectionnez Réseau virtuel.
    Réseau virtuel Sélectionnez + Sélectionner la ressource cible.
    Dans Sélectionner un réseau virtuel, sélectionnez myVNet. Sélectionnez ensuite Confirmer la sélection.
    Nom du journal de flux Conservez la valeur par défaut de myVNet-myresourcegroup-flowlog.
    Détails de l’instance
    Abonnement Sélectionnez l’abonnement Azure de votre compte de stockage.
    Comptes de stockage Sélectionnez le compte de stockage que vous avez créé dans les étapes précédentes.
    Rétention (en jours) Entrez 10 pour conserver les données des journaux de flux dans le compte de stockage pendant 10 jours. Pour conserver les données des journaux de flux dans le compte de stockage pour toujours (jusqu’à ce que vous le supprimiez), entrez 0. Pour plus d’informations sur la tarification du stockage, consultez la page Tarification Azure Storage.

    Capture d’écran de la page créer un journal de flux dans le portail Azure.

    Remarque

    Le portail Azure crée des journaux de flux de réseau virtuel dans le groupe de ressources NetworkWatcherRG .

  5. Sélectionnez Vérifier + créer.

  6. Passez en revue les paramètres, puis sélectionnez Créer.

  7. Une fois le déploiement terminé, sélectionnez Accéder à la ressource pour confirmer la création du journal de flux et qu’il est répertorié à la page Journaux de flux.

    Capture d’écran de la page des journaux de flux dans le Portail Azure montrant le journal de flux nouvellement créé.

  8. Retour à votre session RDP avec la machine virtuelle myVM.

  9. Ouvrez Microsoft Edge et accédez à www.bing.com.

Télécharger le journal de flux

Dans cette section, vous accédez au compte de stockage que vous avez sélectionné précédemment et téléchargez le journal de flux créé dans la section précédente.

  1. Dans la zone de recherche située en haut du portail, entrez comptes de stockage. Sélectionnez les comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez nwteststorageaccount ou le compte de stockage que vous avez créé précédemment et sélectionné pour stocker les journaux.

  3. Sous Stockage de données, sélectionnez Conteneurs.

  4. Sélectionnez le conteneur insights-logs-flowlogflowevent.

  5. Dans le conteneur, accédez à la hiérarchie des dossiers jusqu’à ce que vous accédiez au PT1H.json fichier que vous souhaitez télécharger. Les logs de flux de réseau virtuel suivent le chemin suivant :

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Sélectionnez les points de suspension ... à droite du fichier PT1H.json, puis Télécharger.

    Capture d’écran montrant comment télécharger les données du journal de flux de réseau virtuel à partir du compte de stockage dans le portail Azure.

Remarque

Vous pouvez utiliser Explorateur Stockage Azure pour accéder aux journaux de flux et les télécharger à partir de votre compte de stockage. Pour plus d’informations, consultez Prise en main de l’Explorateur Stockage.

Visualisez le journal de flux

Ouvrez le fichier PT1H.json téléchargé à l’aide d’un éditeur de texte de votre choix. L’exemple suivant est une section extraite du fichier téléchargé PT1H.json qui montre un flux traité par la règle DefaultRule_AllowInternetOutBound.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Les informations séparées par des virgules dans flowTuples sont les suivantes :

Exemple de données Ce que représentent les données Explication
1754512773 Horodatage Indique la date et l’heure du flux qui s’est produit au format UNIX EPOCH. Dans l’exemple précédent, la date est convertie au 06 août 2025 08:39:33 UTC/GMT.
10.0.0.4 Adresse IP source Adresse IP source dont provient le flux. 10.0.0.4 est l’adresse IP privée de la machine virtuelle précédemment créée.
13.107.21.200 Adresse IP de destination Adresse IP de destination du flux. 13.107.21.200 est l’adresse IP de www.bing.com. Étant donné que le trafic est destiné à un emplacement se situant en dehors d’Azure, la règle de sécurité DefaultRule_AllowInternetOutBound a traité le flux.
49982 Port source Port source dont provient le flux.
443 Port de destination Port de destination du flux.
6 Protocole Protocole de couche 4 du flux dans les valeurs attribuées par l’IANA : 6 : TCP.
O Orientation Sens du flux. O : sortant.
C État du flux État du flux. C : continuation d’un flux en cours.
NX Chiffrement de flux La connexion n’est pas chiffrée.
7 Paquets envoyés Nombre total de paquets TCP envoyés à la destination depuis la dernière mise à jour.
1158 Octets envoyés Nombre total d’octets de paquets TCP envoyés de la source à la destination depuis la dernière mise à jour. Les octets de paquets incluent l’en-tête et la charge utile du paquet.
12 Paquets reçus Nombre total de paquets TCP reçus de la destination depuis la dernière mise à jour.
8143 Octets reçus Nombre total d’octets de paquets TCP reçus de la destination depuis la dernière mise à jour. Les octets de paquets incluent l’en-tête et la charge utile du paquet.

Nettoyer les ressources

Quand vous n’en avez plus besoin, supprimez le groupe de ressources myResourceGroup et toutes les ressources qu’il contient :

  1. Dans la zone de recherche située en haut du portail, entrez myResourceGroup. Sélectionnez myResourceGroup dans les résultats de la recherche.

  2. Sélectionnez Supprimer le groupe de ressources.

  3. Dans Supprimer un groupe de ressources, entrez myResourceGroup, puis sélectionnez Supprimer.

  4. Sélectionnez Supprimer pour confirmer la suppression du groupe de ressources et de toutes ses ressources.

Remarque

La ressource NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog se trouve dans le groupe de ressources NetworkWatcherRG , mais elle sera supprimée après la suppression du réseau virtuel myVNet (en supprimant le groupe de ressources myResourceGroup ).

Contenu connexe

  • Last updated on