Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá sobre os logs de diagnóstico do Perímetro de Segurança de Rede e como habilitar o registro em log. Você aprenderá sobre as categorias de logs de acesso usadas. Em seguida, você descobrirá as opções para armazenar os logs de diagnóstico e como habilitar o registro em log pelo portal do Azure.
Importante
O perímetro de segurança de rede agora está disponível em todas as regiões de nuvem pública do Azure. Para obter informações sobre serviços com suporte, consulte Recursos de link privado integrado para serviços de PaaS com suporte."
Categorias de logs de acesso
As categorias de logs de acesso de um perímetro de segurança de rede são baseadas nos resultados da avaliação das regras de acesso. As categorias de log escolhidas nas configurações de diagnóstico são enviadas para o local de armazenamento escolhido pelo cliente. Veja a seguir as descrições de cada uma das categorias de log de acesso, incluindo os modos nos quais elas são aplicáveis:
| Categoria do log | Descrição | Aplicável aos Modos |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | O acesso de entrada é permitido com base nas regras de acesso de perímetro de segurança de rede. | Transição/Imposto |
| NspPublicInboundPerimeterRulesDenied | O acesso de entrada público foi negado pelo perímetro de segurança de rede. | Imposto |
| NspPublicOutboundPerimeterRulesAllowed | O acesso de saída é permitido com base nas regras de acesso de perímetro de segurança de rede. | Transição/Imposto |
| NspPublicOutboundPerimeterRulesDenied | O acesso de saída público foi negado pelo perímetro de segurança de rede. | Imposto |
| NspOutboundAttempt | Tentativa de saída no perímetro de segurança de rede. | Transição/Imposto |
| NspIntraPerimeterInboundAllowed | O acesso de entrada no perímetro é permitido. | Transição/Imposto |
| NspPublicInboundResourceRulesAllowed | Quando as regras do perímetro de segurança da rede são negadas, o acesso de entrada é permitido com base nas regras de recursos da PaaS. | Transição |
| NspPublicInboundResourceRulesDenied | Quando as regras do perímetro de segurança da rede são negadas, o acesso de entrada é negado pelas regras de recursos da PaaS. | Transição |
| NspPublicOutboundResourceRulesAllowed | Quando as regras do perímetro de segurança da rede são negadas, o acesso de saída é permitido com base nas regras de recursos da PaaS. | Transição |
| NspPublicOutboundResourceRulesDenied | Quando as regras do perímetro de segurança da rede são negadas, o acesso de saída é negado pelas regras de recursos da PaaS. | Transição |
| NspPrivateInboundAllowed | O tráfego do ponto de extremidade privado é permitido. | Transição/Imposto |
Observação
Os modos de acesso disponíveis para um perímetro de segurança de rede são Transição e Imposto. O modo de Transição já foi denominado de modo de Aprendizado. Você pode continuar a ver referências ao modo de Aprendizado em algumas instâncias.
Esquema de log de acesso
Cada recurso de PaaS associado ao perímetro de segurança de rede gera logs de acesso com o esquema de log unificado quando habilitado.
Observação
Os logs de acesso ao perímetro de segurança da rede podem ter sido agregados. Se os campos 'count' e 'timeGeneratedEndTime' estiverem ausentes, considere a contagem de agregação como 1.
| Valor | Descrição |
|---|---|
| Tempo | O timestamp (UTC) do primeiro evento na janela de agregação de log. |
| timeGeneratedEndTime | O carimbo de data/hora (UTC) do último evento na janela de agregação de log. |
| contagem | Número de logs agregados. |
| resourceId | A ID do recurso do perímetro de segurança da rede. |
| localização | A região do perímetro de segurança de rede. |
| operationName | O nome da operação de recurso de PaaS representada por esse evento. |
| operationVersion | A versão da API associada à operação. |
| categoria | Categorias de log definidas para registros de acesso. |
| propriedades | Propriedades estendidas específicas do perímetro de segurança da rede relacionadas a essa categoria de eventos. |
| resultDescription | A descrição de texto estático desta operação no recurso PaaS, por exemplo, "Obter arquivo de armazenamento". |
Propriedades específicas do perímetro de segurança de rede
Esta seção descreve as propriedades específicas do perímetro de segurança de rede no esquema de log.
Observação
A aplicação das propriedades está sujeita ao tipo de categoria de log. Consulte os respectivos esquemas de categoria de log para verificar a aplicabilidade.
| Valor | Descrição |
|---|---|
| serviceResourceId | ID do recurso de PaaS que emite logs de acesso de perímetro de segurança da rede. |
| serviceFqdn | Nome de domínio totalmente qualificado do recurso PaaS que gera logs de acesso ao perímetro de segurança de rede. |
| perfil | Nome do perfil de perímetro de segurança de rede associado ao recurso. |
| Parâmetros | Lista de propriedades opcionais do recurso PaaS no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | GUID exclusivo que representa a ID do aplicativo do recurso no Azure Active Directory. |
| matchedRule | Recipiente de propriedades JSON que contém o nome accessRule correspondente, {"accessRule" : "{ruleName}"}. Pode ser o nome da regra de acesso de perímetro de segurança da rede ou o nome da regra de recurso (não o ArmId). |
| origem | Conjunto de propriedades JSON que descreve a origem da conexão recebida. |
| destino | Pacote de propriedades JSON que descreve o destino da conexão de saída. |
| accessRulesVersion | Saco de propriedades JSON contendo a versão de regra de acesso do recurso. |
Propriedades da fonte
Propriedades que descrevem a origem da conexão de entrada.
| Valor | Descrição |
|---|---|
| resourceId | ID do recurso de PaaS de origem para uma conexão recebida. Existirá se aplicável. |
| ipAddress | Endereço IP da origem fazendo conexão de entrada. Existirá se aplicável. |
| port | Número da porta de conexão de entrada. Pode não existir para todos os tipos de recursos. |
| protocolo | Protocolos de camada de aplicação e de transporte para conexão de entrada no formato {AppProtocol}:{TptProtocol}. Por exemplo, HTTPS:TCP. Pode não existir para todos os tipos de recursos. |
| perimeterGuids | Lista de GUIDs do perímetro do recurso de origem. Ele deve ser especificado somente se permitido com base no GUID do perímetro. |
| appId | GUID exclusivo que representa a ID do aplicativo de origem no Azure Active Directory. |
| Parâmetros | Lista de propriedades de origem opcionais no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Propriedades de destino
Propriedades que descrevem o destino da conexão de saída.
| Valor | Descrição |
|---|---|
| resourceId | ID do recurso de PaaS de destino para uma conexão de saída. Existirá se aplicável. |
| Nome de Domínio Totalmente Qualificado | Nome do FQDN (Domínio Totalmente Qualificado) do destino. |
| Parâmetros | Lista de propriedades de destino opcionais no formato de cadeia de caracteres JSON. Por exemplo, { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| port | Número da porta de conexão de saída. Pode não existir para todos os tipos de recursos. |
| protocolo | Protocolos de camada de aplicativo e transporte para conexão de saída no formato {AppProtocol}:{TptProtocol}. Por exemplo, HTTPS:TCP. Pode não existir para todos os tipos de recursos. |
Entrada de log de exemplo para categorias de entrada
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Entrada de log de exemplo para categorias de saída
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Opções de destino de registro em log para os logs de acesso
Os destinos para armazenar os logs de diagnóstico de um perímetro de segurança da rede incluem serviços como o workspace do Log Analytics (Nome da tabela: NSPAccessLogs), conta de Armazenamento do Azure e Hubs de Eventos do Azure. Para obter a lista completa e os detalhes dos destinos com suporte, consulte Destinos com suporte para os logs de diagnóstico.
Habilitar o log por meio do portal do Azure
Você pode habilitar o registro em log de diagnóstico para um perímetro de segurança de rede usando o portal do Azure nas configurações de diagnóstico. Ao adicionar uma configuração de diagnóstico, você pode escolher as categorias de log que quer coletar e o destino em que quer entregar os logs.
Observação
Ao usar o Azure Monitor com um perímetro de segurança de rede, o espaço de trabalho do Log Analytics a ser associado ao perímetro de segurança de rede precisa estar localizado em uma das regiões com suporte do Azure Monitor.
Aviso
Os destinos de log devem estar dentro do mesmo perímetro de segurança de rede que o recurso PaaS para garantir o fluxo adequado dos logs dos recursos de PaaS. Configurar — ou já ter configurado — as Configurações de Diagnóstico para recursos que não estão na lista de recursos com link privado registrados resultará na interrupção do fluxo de log para esses recursos.