Criar, alterar, ativar, desativar ou eliminar logs de fluxo do NSG

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Um grupo de segurança de rede. Se você precisar criar um grupo de segurança de rede, consulte Criar, alterar ou excluir um grupo de segurança de rede.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando o portal do Azure.

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Um grupo de segurança de rede. Se você precisar criar um grupo de segurança de rede, consulte Criar, alterar ou excluir um grupo de segurança de rede.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando o PowerShell.

• Azure Cloud Shell ou Azure PowerShell.

  As etapas neste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os cmdlets no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Este artigo requer o módulo do Azure PowerShell. Se você executar o PowerShell localmente, entre no Azure usando o cmdlet Connect-AzAccount .

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Um grupo de segurança de rede. Se você precisar criar um grupo de segurança de rede, consulte Criar, alterar ou excluir um grupo de segurança de rede.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando a CLI do Azure.

• Azure Cloud Shell ou CLI do Azure.

  As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

O provedor Microsoft.Insights deve ser registrado para registrar com êxito o tráfego que flui através de uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, verifique seu status no portal do Azure seguindo estas etapas:

1. Na caixa de pesquisa na parte superior do portal, introduza subscrições. Selecione Subscrições nos resultados da pesquisa.

   

2. Selecione a assinatura do Azure para a qual você deseja habilitar o provedor em Assinaturas.

3. Em Configurações, selecione Provedores de recursos.

4. Insira informações na caixa de filtro.

5. Confirme se o status do provedor exibido é Registrado. Se o status for NotRegistered, selecione o provedor Microsoft.Insights e selecione Registrar.

   

O provedor Microsoft.Insights deve estar registrado para registrar com êxito o tráfego em uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, use Register-AzResourceProvider para registrá-lo :

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Insights'

O provedor Microsoft.Insights deve estar registrado para registrar com êxito o tráfego em uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, use az provider register para registrá-lo:

# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o botão azul + Criar ou Criar log de fluxo.

   

4. Na guia Noções básicas de Criar um log de fluxo, insira ou selecione os seguintes valores:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a subscrição do Azure do seu grupo de segurança de rede que pretende registar.
   Tipo de log de fluxo	Selecione Grupo de segurança de rede e, em seguida, selecione + Selecionar recurso de destino. Selecione o grupo de segurança de rede que pretende criar um log de fluxo e, em seguida, selecione Confirmar seleção.
   Nome do log de fluxo	Insira um nome para o log de fluxo ou deixe o nome padrão. O portal do Azure usa {ResourceName}-{ResourceGroupName}-flowlog como um nome padrão para o log de fluxo. myNSG-myResourceGroup-flowlog é o nome padrão usado neste artigo.
   Detalhes da instância
   Subscrição	Selecione a assinatura do Azure da sua conta de armazenamento.
   Contas de armazenamento	Selecione a conta de armazenamento na qual deseja salvar os logs de fluxo. Se quiser criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Insira um tempo de retenção para os logs (essa opção só está disponível com contas de armazenamento v2 de uso geral padrão ). Digite 0 se quiser manter os dados dos logs de fluxo na conta de armazenamento para sempre (até excluí-los manualmente da conta de armazenamento). Para obter informações sobre preços, consulte Preços do Armazenamento do Azure.

   

5. Para ativar a análise de tráfego, selecione o botão Avançar: Análise ou selecione a guia Análise . Insira ou selecione os seguintes valores:

   Configurações	Valor
   Versão dos logs de fluxo	Selecione a versão do log de fluxo do grupo de segurança de rede, as opções disponíveis são: Versão 1 e Versão 2. A versão padrão é a versão 2. Para obter mais informações, consulte Registo de fluxo para grupos de segurança de rede.
   Habilite a análise de tráfego	Marque a caixa de seleção para habilitar a análise de tráfego para seu registro de fluxo.
   Intervalo de processamento da análise de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: A cada 1 hora e a cada 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.
   Subscrição	Selecione a assinatura do Azure do seu espaço de trabalho do Log Analytics.
   Espaço de trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, o portal do Azure cria o espaço de trabalho DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics no grupo de recursos defaultresourcegroup-{Region} .

   

   Observação

   Para criar e selecionar um espaço de trabalho do Log Analytics diferente do padrão, consulte Criar um espaço de trabalho do Log Analytics

6. Selecione Revise + crie.

7. Reveja as definições e, em seguida, selecione Criar.

Use o cmdlet New-AzNetworkWatcherFlowLog para criar um log de fluxo. O log de fluxo é criado no grupo de recursos padrão do Inspetor de Rede NetworkWatcherRG.

• Habilite os logs de fluxo do NSG sem análise de tráfego:

  # Place the network security group properties into a variable.
  $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a version 1 NSG flow log.
  New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true
  

• Habilite os logs de fluxo do NSG com análise de tráfego:

  # Place the network security group properties into a variable.
  $nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
  
  # Create a version 1 NSG flow log.
  New-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -Enabled $true -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId
  

Utilize o comando az network watcher flow-log create para criar um log de fluxo de rede virtual. O log de fluxo é criado no grupo de recursos padrão do Inspetor de Rede NetworkWatcherRG.

• Habilite os logs de fluxo do NSG sem análise de tráfego:

  # Create a version 1 NSG flow log.
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --location 'eastus' 
  

  Se a conta de armazenamento estiver em um grupo de recursos diferente do grupo de segurança de rede, use a ID de recurso da conta de armazenamento em vez de seu nome:

  # Create a version 1 NSG flow log (the storage account is in a different resource group from the network security group).
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --location 'eastus' 
  

• Habilite os logs de fluxo do NSG com análise de tráfego:

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a version 1 NSG flow log and enable traffic analytics for it.
  az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --location 'eastus' 
  

  Se a conta de armazenamento estiver em um grupo de recursos diferente do grupo de segurança de rede, use a ID de recurso da conta de armazenamento em vez de seu nome.

Para habilitar a análise de tráfego para um log de fluxo, siga estas etapas:

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o log de fluxo para o qual você deseja habilitar a análise de tráfego.

4. Em Configurações de logs de fluxo, em Análise de tráfego, marque a caixa de seleção Habilitar análise de tráfego .

   

5. Introduza ou selecione os seguintes valores:

   Configurações	Valor
   Subscrição	Selecione a assinatura do Azure do seu espaço de trabalho do Log Analytics.
   área de trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, o portal do Azure cria o espaço de trabalho DefaultWorkspace-{SubscriptionID}-{Region} Log Analytics no grupo de recursos defaultresourcegroup-{Region} .
   Intervalo de registo de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: A cada 1 hora e a cada 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.

   

6. Selecione Salvar para aplicar as alterações.

Para desativar a análise de tráfego para um log de fluxo, execute as etapas anteriores de 1 a 3, desmarque a caixa de seleção Habilitar análise de tráfego e selecione Salvar.

Para ativar a análise de tráfego num recurso de log de fluxo, use Set-AzNetworkWatcherFlowLog cmdlet:

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -FormatVersion 2

Para desativar a análise de tráfego no recurso de log de fluxo e continuar a gerar e guardar logs de fluxo na conta de armazenamento, use Set-AzNetworkWatcherFlowLog cmdlet:

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id -FormatVersion 2

Para ativar a análise de tráfego num recurso de log de fluxo, use o comando az network watcher flow-log update:

# Update the NSG flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --log-version '2'

Para desativar a análise de tráfego no recurso de registo de fluxo e continuar a gerar e guardar registos de fluxo na conta de armazenamento, use o comando az network watcher flow-log update.

# Update the NSG flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics false --log-version '2'

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Selecione o filtro Subscrição igual para escolher uma ou mais das suas subscrições. Você pode aplicar outros filtros, como Location equals , para listar todos os logs de fluxo em uma região.

   

Utilize o cmdlet Get-AzNetworkWatcherFlowLog para listar todos os recursos do log de fluxo numa região específica na sua subscrição:

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table Name

Use o comando az network watcher flow-log list para listar todos os recursos do log de fluxo numa região específica na sua subscrição.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o log de fluxo que você deseja ver.

4. Em Configurações de logs de fluxo, você pode exibir as configurações do recurso de log de fluxo.

   

5. Selecione Cancelar para fechar a página de configurações sem fazer alterações.

Utilize o cmdlet Get-AzNetworkWatcherFlowLog para ver detalhes sobre um recurso de fluxo de log:

# Get the details of a flow log.
Get-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Use o comando az network watcher flow-log show para ver detalhes de um recurso de log de fluxo:

# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

1. Na caixa de pesquisa na parte superior do portal, insira contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione a conta de armazenamento usada para armazenar os logs.

3. Em Armazenamento de dados, selecione Contêineres.

4. Selecione o contentor insights-logs-networksecuritygroupflowevent.

5. Em insights-logs-networksecuritygroupflowevent, navegue pela hierarquia de pastas até chegar ao PT1H.json arquivo que deseja baixar. Os arquivos de log de fluxo NSG seguem o seguinte caminho:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Selecione as reticências ... à direita do PT1H.json ficheiro e depois selecione Transferir.

Para baixar os logs de fluxo de rede virtual da sua conta de armazenamento, use o cmdlet Get-AzStorageBlobContent. Para obter mais informações, consulte Baixar um blob.

Os arquivos de log de fluxo NSG salvos em uma conta de armazenamento seguem este caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Para baixar logs de fluxo de rede virtual de sua conta de armazenamento, use o comando az storage blob download . Para obter mais informações, consulte Baixar um blob.

Os arquivos de log de fluxo NSG salvos em uma conta de armazenamento seguem este caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja desabilitar.

4. Selecione Desativar.

   

Utilize o cmdlet Set-AzNetworkWatcherFlowLog para desativar um registo de fluxo:

# Place the network security group properties into a variable.
$nsg = Get-AzNetworkSecurityGroup -Name 'myNSG' -ResourceGroupName 'myResourceGroup'

# Place the storage account properties into a variable.
$sa = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the NSG flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myFlowLog' -Location 'eastus' -TargetResourceId $nsg.Id -StorageId $sa.Id

Utilize o comando az network watcher flow-log update para desativar um log de fluxo.

# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled false

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, marque a caixa de seleção do log de fluxo que você deseja excluir.

4. Selecione Excluir.

   

Para excluir um recurso de log de fluxo, use o cmdlet Remove-AzNetworkWatcherFlowLog :

# Delete the flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myFlowLog' -Location 'eastus'

Para eliminar um recurso de log de fluxo, utilize o comando az network watcher flow-log delete:

# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'