Partilhar via

Migrar de logs de fluxo do grupo de segurança de rede para logs de fluxo da rede virtual

Importante

Os logs de fluxo do grupo de segurança de rede (NSG) serão desativados em 30 de setembro de 2027. Após 30 de junho de 2025, você não poderá mais criar novos logs de fluxo NSG. Recomendamos migrar para logs de fluxo de rede virtual, que abordam as limitações dos logs de fluxo NSG. Após a data de desativação, a análise de tráfego habilitada para logs de fluxo NSG não será mais suportada e os recursos existentes do log de fluxo NSG em suas assinaturas serão excluídos. No entanto, os registros de log de fluxo NSG existentes não serão excluídos do Armazenamento do Azure e continuarão a seguir suas políticas de retenção configuradas. Para obter mais informações, veja o anúncio oficial.

Neste artigo, você aprenderá a migrar seus logs de fluxo de grupo de segurança de rede existentes para logs de fluxo de rede virtual usando um script de migração. Os logs de fluxo de rede virtual superam algumas das limitações dos logs de fluxo do grupo de segurança de rede. Para obter mais informações, consulte Logs de fluxo de rede virtual.

Nota

Use o script de migração:

  • quando não tem o registo de fluxo habilitado em todas as interfaces de rede ou sub-redes de uma rede virtual e não deseja habilitar o registo de fluxo de rede virtual em todas, ou
  • Quando os logs de fluxo do grupo de segurança de rede numa rede virtual têm configurações diferentes e deseja criar logs de fluxo de rede virtual que utilizem essas mesmas configurações distintas dos logs de fluxo do grupo de segurança de rede.

Use a Política do Azure:

  • quando você tem o mesmo grupo de segurança de rede aplicado a todas as interfaces de rede ou sub-redes em uma rede virtual,
  • Quando tiveres as mesmas configurações de logs de fluxo do grupo de segurança de rede para todas as interfaces de rede ou sub-redes numa rede virtual, ou
  • quando pretender ativar o registo de fluxo da rede virtual ao nível da rede virtual.

Para obter mais informações, consulte Implantar e configurar logs de fluxo de rede virtual usando uma política interna.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

  • PowerShell 7 instalado em sua máquina. Para obter mais informações, consulte Instalar o PowerShell no Windows, Linux e macOS. Este artigo requer o módulo Az PowerShell. Para obter mais informações, consulte Como instalar o Azure PowerShell. Para localizar a versão instalada, execute Get-Module -ListAvailable Az.

  • Permissões RBAC necessárias para as assinaturas dos logs de fluxo e espaços de trabalho do Log Analytics (se a análise de tráfego estiver habilitada para qualquer um dos logs de fluxo do grupo de segurança de rede). Para obter mais informações, consulte Permissões do Inspetor de Rede.

  • Logs de fluxo do grupo de segurança de rede em uma região ou mais. Para obter mais informações, consulte Criar logs de fluxo do grupo de segurança de rede.

Gerar script de migração

Nesta seção, você aprenderá a gerar e baixar os arquivos de migração para os logs de fluxo do grupo de segurança de rede que deseja migrar.

  1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

    Captura de ecrã que mostra como procurar o Observador de Rede no portal do Azure.

  2. Em Logs, selecione Migrar logs de fluxo.

    Captura de tela que mostra a página de migração de logs de fluxo do grupo de segurança de rede no portal do Azure.

  3. Selecione as assinaturas que contêm os logs de fluxo do grupo de segurança de rede que você deseja migrar.

  4. Para cada assinatura, selecione as regiões que contêm os logs de fluxo que você deseja migrar. O total de logs de fluxo NSG mostra o número total de logs de fluxo que estão nas assinaturas selecionadas. Os logs de fluxo NSG selecionados mostram o número de logs de fluxo nas regiões selecionadas.

  5. Depois de escolher as assinaturas e regiões, selecione Descarregar script e ficheiro JSON para descarregar os ficheiros de migração como um ficheiro zip.

    Captura de tela que mostra como gerar um script de migração no portal do Azure.

  6. Extraia MigrateFlowLogs.zip o arquivo em sua máquina local. O ficheiro zip contém estes dois ficheiros:

    • Um arquivo de script: MigrationFromNsgToAzureFlowLogging.ps1
    • um arquivo JSON: RegionSubscriptionConfig.json.

Executar script de migração

Nesta seção, você aprenderá a usar o arquivo de script baixado na seção anterior para migrar os logs de fluxo do grupo de segurança de rede.

Importante

Depois de começar a executar o script, não deve fazer quaisquer alterações na topologia nas regiões e assinaturas dos registos de fluxo que está a migrar.

  1. Execute o ficheiro de script MigrationFromNsgToAzureFlowLogging.ps1.

  2. Digite 1 para a opção Executar análise .

    .\MigrationFromNsgToAzureFlowLogging.ps1

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit

  3. Digite o nome do arquivo JSON.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json

  4. Insira o número de threads ou deixe em branco para usar o valor padrão de 16.

    Please enter the number of threads you would like to use, press enter for using default value of 16:

    Após a conclusão da análise, você verá o relatório de análise na tela e em um arquivo html no mesmo diretório dos arquivos de migração. O relatório lista o número de registos de fluxo do grupo de segurança de rede que serão desativados e o número de registos de fluxo de rede virtual criados para os substituir. O número de logs de fluxo de rede virtual criados depende do tipo de migração escolhido. Por exemplo, se o grupo de segurança de rede que você está migrando seu log de fluxo estiver associado a três interfaces de rede na mesma rede virtual, você poderá escolher a migração com agregação para ter um único recurso de log de fluxo de rede virtual aplicado à rede virtual. Você também pode escolher a migração sem agregação para ter três logs de fluxo de rede virtual (um recurso de log de fluxo de rede virtual por interface de rede).

    Nota

    Consulte AnalysisReport-<subscriptionId>-<region>-<time>.html o arquivo para obter um relatório completo da análise que você realizou. O arquivo está disponível no mesmo diretório do script.

  5. Digite 2 ou 3 para escolher o tipo de migração que deseja executar.

    Select one of the following options for flowlog migration:
1. Re-Run analysis
2. Proceed with migration with aggregation
3. Proceed with migration without aggregation
4. Quit

  6. Depois de ver o resumo da migração na tela, você pode cancelar a migração e reverter as alterações. Para aceitar e prosseguir com a migração, digite n, caso contrário, digite y. Depois de aceitar as alterações, não é possível revertê-las.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

    Nota

    Mantenha os arquivos de script e relatório de análise para referência caso tenha algum problema com a migração.

  7. Verifique o portal do Azure para confirmar se o status dos logs de fluxo do grupo de segurança de rede que você migrou ficou desabilitado. Verifique também os logs de fluxo de rede virtual recém-criados como resultado do processo de migração.

    Captura de tela que mostra o log de fluxo de rede virtual recém-criado como resultado da migração do log de fluxo do grupo de segurança de rede.

  8. Adicione um filtro para listar apenas os logs de fluxo do grupo de segurança de rede das assinaturas e regiões que você escolher. Você pode ignorar esta etapa se tiver migrado apenas alguns logs de fluxo do grupo de segurança de rede.

    Captura de tela que mostra como usar um filtro para listar apenas os logs de fluxo do grupo de segurança de rede.

  9. Selecione os logs de fluxo que deseja excluir e, em seguida, selecione Excluir

    Captura de tela que mostra como selecionar e excluir os logs de fluxo do grupo de segurança de rede migrado.

  10. Digite excluir e, em seguida, selecione Excluir para confirmar a exclusão.

    Captura de tela que mostra como confirmar a exclusão de logs de fluxo migrados.

Considerações

  • Conjunto de dimensionamento com um balanceador de carga: o script de migração permite o registo de fluxo de rede virtual na sub-rede que tem as máquinas virtuais do conjunto de dimensionamento.

    Nota

    Se o registo de fluxo do grupo de segurança de rede não estiver ativado em todas as interfaces de rede do conjunto de escalabilidade, ou se as interfaces de rede não partilharem o mesmo registo de fluxo do grupo de segurança de rede, então um registo de fluxo de rede virtual será criado na sub-rede com as mesmas configurações que uma das interfaces de rede do conjunto de escalabilidade.

  • PaaS: o script de migração não suporta ambientes com soluções PaaS que têm logs de fluxo de grupo de segurança de rede na assinatura de um usuário, mas os recursos de destino estão em assinaturas diferentes. Para esses ambientes, você deve habilitar manualmente o log de fluxo de rede virtual na rede virtual ou sub-rede da solução PaaS.

Conteúdos relacionados

  • Last updated on