Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane 30 września 2027 r. Po 30 czerwca 2025 r. nie będzie już można tworzyć nowych dzienników przepływu sieciowej grupy zabezpieczeń. Zalecamy migrację do dzienników przepływu sieci wirtualnej, które dotyczą ograniczeń dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona dla dzienników przepływu sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby dziennika przepływu sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak istniejące rekordy dziennika przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte z usługi Azure Storage i będą nadal zgodne ze skonfigurowanymi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.
Rejestry przepływu grupy zabezpieczeń sieci umożliwiają wyświetlanie informacji o ruchu IP przychodzącym i wychodzącym w grupach zabezpieczeń sieci. Te dzienniki ruchu sieciowego pokazują przepływy wychodzące i przychodzące dla każdej reguły, interfejs sieciowy, do którego ma zastosowanie przepływ, pięciokrotka informacji o przepływie (adres źródłowy/docelowy IP, port źródłowy/docelowy, protokół) oraz informacja, czy ruch był dozwolony czy odrzucony.
Uzyskanie wglądu w dane rejestrowania przepływu przez ręczne przeszukiwanie plików dziennika może być trudne. W tym artykule przedstawiamy rozwiązanie do wizualizacji najnowszych dzienników przepływu i uzyskiwania informacji o ruchu w sieci.
Ostrzeżenie
Poniższe kroki działają z dziennikami przepływu w wersji 1. Aby uzyskać szczegółowe informacje, zobacz Wprowadzenie do rejestrowania przepływów dla sieciowych grup zabezpieczeń. Poniższe instrukcje nie będą działać z wersją 2 plików dziennika bez modyfikacji.
Scenariusz
W poniższym scenariuszu połączymy program Power BI Desktop z kontem magazynowym skonfigurowanym jako cel dla danych logowania przepływów NSG. Po połączeniu się z naszym kontem magazynowym, Power BI pobiera i analizuje dzienniki, aby zapewnić wizualną reprezentację ruchu rejestrowanego przez grupy zabezpieczeń sieciowych.
Korzystając z wizualizacji dostarczonych w szablonie, możesz sprawdzić:
- Najlepsi mówcy
- Dane przepływu szeregów czasowych według kierunku i decyzji o regule
- Przepływy według adresu MAC interfejsu sieciowego
- Przepływy według NSG i reguły
- Przepływy według portu docelowego
Dostarczony szablon można edytować, dzięki czemu można go modyfikować w celu dodawania nowych danych, wizualizacji lub edytowania zapytań zgodnie z własnymi potrzebami.
Konfiguracja
Przed rozpoczęciem musisz mieć włączone rejestrowanie przepływu w grupach zabezpieczeń sieci w co najmniej jednej grupie zabezpieczeń na koncie. Aby uzyskać instrukcje dotyczące włączania dzienników przepływu zabezpieczeń sieciowych, zapoznaj się z następującym artykułem: Wprowadzenie do rejestrowania przepływu dla sieciowych grup zabezpieczeń.
Na komputerze musi być również zainstalowany klient programu Power BI Desktop oraz wystarczająca ilość wolnego miejsca na komputerze, aby pobrać i załadować dane dziennika znajdujące się na koncie magazynu.
Kroki
Pobierz i otwórz następujący szablon Power BI w aplikacji Power BI Desktop: Network Watcher Power BI flow logs template
Wprowadź wymagane parametry zapytania
- StorageAccountName — odnosi się do nazwy konta magazynu zawierającego logi przepływu NSG, które chcesz załadować i zwizualizować.
- NumberOfLogFiles — określa liczbę plików dziennika, które chcesz pobrać i zwizualizować w usłudze Power BI. Jeśli na przykład określono wartość 50, 50 najnowszych plików dziennika. Jeśli mamy włączone i skonfigurowane dwie sieciowe grupy zabezpieczeń do wysyłania dzienników przepływu do tego konta, można wyświetlić dzienniki z ostatnich 25 godzin.
Wprowadź klucz dostępu dla konta magazynowego. Prawidłowe klucze dostępu można znaleźć, przechodząc do konta magazynu w Azure Portal i wybierając pozycję Klucze dostępu w obszarze Zabezpieczenia + sieć. Wybierz pozycję Połącz , a następnie zastosuj zmiany.
Dzienniki są pobierane i analizowane, a teraz możesz korzystać ze wstępnie utworzonych wizualizacji.
Zrozumienie wizualizacji
W szablonie znajduje się zestaw wizualizacji, które pomagają zrozumieć dane dziennika przepływu NSG. Na poniższych ilustracjach przedstawiono przykład wyglądu pulpitu nawigacyjnego po wypełnieniu danymi. Poniżej przyjrzymy się bardziej szczegółowo każdej wizualizacji.
Wizualizacja Top Talkers przedstawia adresy IP, które zainicjowały najwięcej połączeń w określonym okresie. Wielkość pól odpowiada relatywnej liczbie połączeń.
Poniższe wykresy szeregów czasowych przedstawiają liczbę przepływów w okresie. Górny wykres jest podzielony na segmenty według kierunku przepływu, a dolny jest podzielony na segmenty według podjętej decyzji (zezwól lub odrzuć). Dzięki tej wizualizacji możesz analizować trendy ruchu w czasie i wykrywać wszelkie nietypowe wzrosty lub spadki ruchu lub segmentację ruchu.
Poniższe wykresy przedstawiają przepływy według interfejsu sieci, przy czym górny segment jest podzielony na segmenty według kierunku przepływu, a dolny według podjętej decyzji. Dzięki tym informacjom można uzyskać wgląd w to, które z maszyn wirtualnych komunikują się najbardziej względem innych oraz czy ruch do określonej maszyny wirtualnej jest dozwolony, czy nie.
Poniższy wykres pierścieniowy przedstawia podział przepływów według portu docelowego. Dzięki tym informacjom można wyświetlić najczęściej używane porty docelowe używane w określonym okresie.
Poniższy wykres słupkowy przedstawia przepływy według reguły i NSG. Dzięki tym informacjom można zobaczyć sieciowe grupy zabezpieczeń odpowiedzialne za największy ruch oraz podział ruchu w sieciowej grupie zabezpieczeń według reguły.
Poniższe wykresy przedstawiają informacje o Grupach zabezpieczeń sieciowych (NSG) obecnych w dziennikach, liczbie przepływów przechwyconych na przestrzeni czasu oraz dacie najwcześniejszego przechwyconego dziennika. Te informacje dają wyobrażenie o tym, jakie sieciowe grupy zabezpieczeń są rejestrowane i jaki jest zakres dat przepływów.
Ten szablon zawiera następujące fragmentatory, które umożliwiają wyświetlanie tylko tych danych, które najbardziej Cię interesują. Możesz filtrować według grup zasobów, grup zabezpieczeń sieciowych (NSG) i reguł. Można również filtrować informacje o krotce 5, decyzję i czas zapisania dziennika.
Podsumowanie
W tym scenariuszu pokazaliśmy, że korzystając z dzienników przepływu sieciowej grupy zabezpieczeń udostępnianych przez Network Watcher i Power BI, jesteśmy w stanie wizualizować i rozumieć ruch. Korzystając z podanego szablonu, usługa Power BI pobiera dzienniki bezpośrednio z magazynu i przetwarza je lokalnie. Czas potrzebny na załadowanie szablonu różni się w zależności od liczby żądanych plików i całkowitego rozmiaru pobranych plików.
Zachęcamy do dostosowania tego szablonu do swoich potrzeb. Istnieje wiele różnych sposobów, w jakie można używać usługi Power BI z dziennikami przepływu grupy zabezpieczeń sieciowych.
Notatki
Dzienniki domyślnie są przechowywane w
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/- Jeśli w innym katalogu istnieją inne dane, zapytania do pobrania i przetworzenia danych muszą zostać zmodyfikowane.
Podany szablon nie jest zalecany do użycia z dziennikami o rozmiarze większym niż 1 GB.
Jeśli masz dużą liczbę dzienników, zalecamy zbadanie rozwiązania przy użyciu innego magazynu danych, takiego jak Data Lake lub SQL Server.
Dalsze kroki
Dowiedz się, jak wizualizować dzienniki przepływu sieciowej grupy zabezpieczeń za pomocą Elastic Stack, odwiedzając stronę Wizualizowanie dzienników przepływu sieciowej grupy zabezpieczeń Azure Network Watcher przy użyciu narzędzi typu open source