Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się o dziennikach diagnostycznych dla perymetru bezpieczeństwa sieci i jak włączyć rejestrowanie. Poznasz używane kategorie dzienników dostępu. Następnie odnajdziesz opcje przechowywania dzienników diagnostycznych i sposobu włączania rejestrowania za pośrednictwem witryny Azure Portal.
Ważne
Obwód zabezpieczeń sieci jest teraz ogólnie dostępny we wszystkich regionach chmury publicznej platformy Azure. Aby uzyskać informacje na temat obsługiwanych usług, zobacz Dołączane zasoby łącza prywatnego dla obsługiwanych usług PaaS.
Kategorie dzienników dostępu
Kategorie dzienników dostępu dla obwodu zabezpieczeń sieci są oparte na wynikach oceny reguł dostępu. Kategorie dzienników wybrane w ustawieniach diagnostycznych są wysyłane do wybranej przez klienta lokalizacji przechowywania. Poniżej przedstawiono opisy poszczególnych kategorii dziennika dostępu, w tym tryby, w których mają zastosowanie:
| Kategoria logów | Opis | Dotyczy trybów |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | Dostęp przychodzący jest dozwolony na podstawie reguł dostępu obwodowego zabezpieczeń sieci. | Przejście/narzucone |
| NspPublicInboundPerimeterRulesDenied | Publiczny dostęp przychodzący zabroniony przez obwód zabezpieczeń sieci. | Egzekwowane |
| ZasadyObwodoweNspPublicOutboundDozwolone | Dostęp wychodzący jest dozwolony na podstawie reguł dostępu obwodowego zabezpieczeń sieci. | Przejście/narzucone |
| NspPublicOutboundPerimeterRulesDenied | Publiczny dostęp wychodzący zabroniony przez obwód zabezpieczeń sieci. | Egzekwowane |
| NspOutboundAttempt | Próba ruchu wychodzącego w obrębie perymetru zabezpieczeń sieciowych. | Przejście/narzucone |
| NspIntraPerimeterInboundAllowed | Dostęp przychodzący w obrębie obwodu jest dozwolony. | Przejście/narzucone |
| NspPublicInboundResourceRulesAllowed | Gdy reguły obwodu zabezpieczeń sieci odrzucają, dostęp przychodzący jest dozwolony na podstawie reguł zasobów PaaS. | Przejście |
| NspPublicInboundResourceRulesDenied | Gdy reguły obwodu zabezpieczeń sieci odmawiają, dostęp przychodzący jest blokowany przez zasady zasobów PaaS. | Przejście |
| NspPublicOutboundResourceRulesAllowed | Kiedy zasady perymetra bezpieczeństwa sieci odmawiają dostępu, dostęp wychodzący jest dozwolony na podstawie reguł zasobów PaaS. | Przejście |
| NspPublicOutboundResourceRulesDenied | Kiedy reguły obwodu zabezpieczeń sieci odmawiają, dostęp wychodzący jest blokowany przez reguły zasobów PaaS. | Przejście |
| NspPrivateInboundAllowed | Ruch w prywatnym punkcie końcowym jest dozwolony. | Przejście/narzucone |
Uwaga
Dostępne tryby dostępu dla obwodu zabezpieczeń sieci to Przejście i Wymuszone. Tryb przejścia nosił wcześniej nazwę Tryb uczenia . W niektórych przypadkach mogą być nadal widoczne odwołania do trybu uczenia .
Schemat dziennika dostępu
Każdy zasób PaaS skojarzony z obwodem zabezpieczeń sieci generuje dzienniki dostępu z ujednoliconym schematem dziennika po włączeniu.
Uwaga
Dzienniki dostępu obwodowego zabezpieczeń sieci mogły zostać zagregowane. Jeśli brakuje pól "count" i "timeGeneratedEndTime", rozważ liczbę agregacji jako 1.
| Wartość | Opis |
|---|---|
| czas | Sygnatura czasowa (UTC) pierwszego zdarzenia w oknie agregacji dziennika. |
| timeGeneratedEndTime | Znacznik czasu (UTC) ostatniego zdarzenia w oknie agregacji dziennika. |
| liczba | Liczba zagregowanych logów. |
| resourceId | Identyfikator zasobu obwodu zabezpieczeń sieci. |
| lokalizacja | Region obwodu zabezpieczeń sieci. |
| operationName | Nazwa operacji zasobu PaaS reprezentowana przez to zdarzenie. |
| wersja operacji | Wersja interfejsu API skojarzona z operacją. |
| kategoria | Kategorie dzienników zdefiniowane dla dzienników dostępu. |
| właściwości | Rozszerzone właściwości perymetra ochrony sieci związane z tą kategorią zdarzeń. |
| opisWyniku | Statyczny opis tekstowy tej operacji na zasobie PaaS, np. "Pobierz plik storage". |
Właściwości specyficzne dla obwodu zabezpieczeń sieci
W tej sekcji opisano specyficzne właściwości przestrzeni zabezpieczeń sieciowych w schemacie dziennika.
Uwaga
Zastosowanie właściwości jest uzależnione od rodzaju kategorii logowania. Aby sprawdzić zastosowanie, zapoznaj się z odpowiednimi schematami kategorii dzienników.
| Wartość | Opis |
|---|---|
| serviceResourceId | Identyfikator zasobu PaaS emitujący dzienniki dostępu do obwodu bezpieczeństwa sieciowego. |
| serviceFqdn | W pełni kwalifikowana nazwa domeny zasobu PaaS emitującego dzienniki dostępu perymetru zabezpieczeń sieci. |
| profil | Nazwa profilu obwodowego zabezpieczeń sieci skojarzonego z zasobem. |
| Parametry | Lista opcjonalnych właściwości zasobu PaaS w formacie ciągu JSON. Np. { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | Unikatowy identyfikator GUID reprezentujący identyfikator aplikacji zasobu w usłudze Azure Active Directory. |
| matchedRule | Zbiór właściwości JSON zawierający dopasowaną nazwę zasady dostępu, {"accessRule": "{ruleName}"}. Może to być nazwa reguły dostępu obwodowego zabezpieczeń sieci lub nazwa reguły zasobu (a nie ArmId). |
| źródło | Zbiór właściwości JSON opisujący źródło połączenia przychodzącego. |
| cel | Zbiór właściwości JSON opisujący miejsce docelowe połączenia wychodzącego. |
| accessRulesVersion | Torba właściwości JSON zawierająca wersję reguły dostępu zasobu. |
Właściwości źródła
Właściwości opisujące źródło połączenia przychodzącego.
| Wartość | Opis |
|---|---|
| resourceId | Identyfikator zasobu źródłowego zasobu PaaS dla połączenia przychodzącego. Będzie istnieć, jeśli ma to zastosowanie. |
| ipAddress | Adres IP źródła tworzącego połączenie przychodzące. Będzie istnieć, jeśli ma to zastosowanie. |
| port | Numer portu połączenia przychodzącego. Może nie istnieć dla wszystkich typów zasobów. |
| protokół | Protokoły warstwy aplikacji i transportu dla połączenia przychodzącego w formacie {AppProtocol}:{TptProtocol}. Np. HTTPS:TCP. Może nie istnieć dla wszystkich typów zasobów. |
| perimeterGuids | Lista identyfikatorów GUID obwodu zasobu źródłowego. Powinna być określona tylko wtedy, gdy jest to dozwolone na podstawie identyfikatora GUID obwodu. |
| appId | Unikalny identyfikator GUID reprezentujący identyfikator aplikacji źródłowej w usłudze Azure Active Directory. |
| Parametry | Lista opcjonalnych właściwości źródłowych w formacie ciągu JSON. Np. { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Właściwości docelowe
Właściwości opisujące miejsce docelowe połączenia wychodzącego.
| Wartość | Opis |
|---|---|
| resourceId | Identyfikator zasobu docelowej usługi PaaS dla połączenia wychodzącego. Będzie istnieć, jeśli ma to zastosowanie. |
| w pełni kwalifikowana nazwa domeny | W pełni kwalifikowana nazwa domeny (FQDN) miejsca docelowego. |
| Parametry | Lista opcjonalnych właściwości docelowych w formacie ciągu JSON. Np. { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| port | Numer portu połączenia wychodzącego. Może nie istnieć dla wszystkich typów zasobów. |
| protokół | Protokoły warstwy aplikacji i transportu dla połączenia wychodzącego w formacie {AppProtocol}:{TptProtocol}. Np. HTTPS:TCP. Może nie istnieć dla wszystkich typów zasobów. |
Przykładowy wpis dziennika dla kategorii przychodzących
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Przykładowy wpis dziennika dla kategorii ruchu wychodzącego
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Opcje lokalizacji rejestrowania dla dzienników dostępu
Miejsca docelowe do przechowywania dzienników diagnostycznych dla obwodu zabezpieczeń sieci obejmują usługi, takie jak obszar roboczy usługi Log Analytic (nazwa tabeli: NSPAccessLogs), konto usługi Azure Storage i usługa Azure Event Hubs. Aby uzyskać pełną listę i szczegóły obsługiwanych miejsc docelowych, zobacz Obsługiwane lokalizacje docelowe dzienników diagnostycznych.
Włączanie rejestrowania za pośrednictwem witryny Azure Portal
Rejestrowanie diagnostyczne dla obwodu zabezpieczeń sieci można włączyć przy użyciu witryny Azure Portal w obszarze Ustawienia diagnostyczne. Podczas dodawania ustawienia diagnostycznego możesz wybrać kategorie dzienników, które chcesz zebrać, oraz miejsce docelowe, w którym chcesz dostarczyć dzienniki.
Uwaga
W przypadku korzystania z usługi Azure Monitor z obwodem zabezpieczeń sieci obszar roboczy usługi Log Analytics, który ma być skojarzony z obwodem zabezpieczeń sieci, musi znajdować się w jednym z obsługiwanych regionów usługi Azure Monitor.
Ostrzeżenie
Miejsca docelowe dziennika muszą znajdować się w tym samym obwodzie zabezpieczeń sieci co zasób PaaS, aby zapewnić prawidłowy przepływ dzienników zasobów PaaS. Skonfigurowanie lub już skonfigurowane ustawienia diagnostyczne dla zasobów, które nie znajdują się na liście dołączonych zasobów łącza prywatnego, spowoduje zaprzestanie przepływu logów dla tych zasobów.