Criar, alterar, ativar, desativar ou eliminar logs de fluxo de rede virtual

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Uma rede virtual. Se você precisar criar uma rede virtual, consulte Criar uma rede virtual usando o portal do Azure.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando o portal do Azure.

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Uma rede virtual. Se você precisar criar uma rede virtual, consulte Criar uma rede virtual usando o PowerShell.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando o PowerShell.

• Azure Cloud Shell ou Azure PowerShell.

  As etapas neste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os cmdlets no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Este artigo requer o Azure PowerShell versão 7.4.0 ou posterior. Execute Get-Module -ListAvailable Az para encontrar a versão instalada. Se você executar o PowerShell localmente, entre no Azure usando o cmdlet Connect-AzAccount .

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Provedor de insights. Para obter mais informações, consulte Registrar provedor do Insights.

• Uma rede virtual. Se você precisar criar uma rede virtual, consulte Criar uma rede virtual usando a CLI do Azure.

• Uma conta de armazenamento do Azure. Se você precisar criar uma conta de armazenamento, consulte Criar uma conta de armazenamento usando a CLI do Azure.

• Azure Cloud Shell ou CLI do Azure.

  As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar a CLI do Azure localmente para executar os comandos. Este artigo requer a CLI do Azure versão 2.39.0 ou posterior. Execute o comando az --version para localizar a versão instalada. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

O provedor Microsoft.Insights deve ser registrado para registrar com êxito o tráfego que flui através de uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, verifique seu status no portal do Azure seguindo estas etapas:

1. Na caixa de pesquisa na parte superior do portal, introduza subscrições. Selecione Subscrições nos resultados da pesquisa.

   

2. Selecione a assinatura do Azure para a qual você deseja habilitar o provedor em Assinaturas.

3. Em Definições, selecione Fornecedores de recursos.

4. Insira informações na caixa de filtro.

5. Confirme se o status do provedor exibido é Registrado. Se o estado for NotRegistered, escolha o fornecedor Microsoft.Insights e selecione Registar.

   

O provedor Microsoft.Insights deve estar registrado para registrar com êxito o tráfego em uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, use Register-AzResourceProvider para registrá-lo.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

O provedor Microsoft.Insights deve estar registrado para registrar com êxito o tráfego em uma rede virtual. Se você não tiver certeza se o provedor Microsoft.Insights está registrado, use az provider register para registrá-lo.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | logs de fluxo, selecione o botão + Criar ou o botão azul Criar log de fluxo.

   

4. Na guia Noções básicas de Criar um log de fluxo, insira ou selecione os seguintes valores:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a assinatura do Azure que contém sua rede virtual.
   Tipo de log de fluxo	Selecione Rede virtual e, em seguida, selecione + Selecionar recurso de destino. As opções disponíveis são: Rede virtual, Sub-rede e Interface de rede. Selecione os recursos que deseja registrar e, em seguida, selecione Confirmar seleção.
   Nome do log de fluxo	Insira um nome para o log de fluxo ou deixe o nome padrão. O portal do Azure usa {ResourceName}-{ResourceGroupName}-flowlog como o nome padrão.
   Detalhes da instância
   Subscrição	Selecione a assinatura do Azure que contém a conta de armazenamento.
   Contas de armazenamento	Selecione a conta de armazenamento onde deseja salvar os logs de fluxo. Para criar uma nova conta de armazenamento, selecione Criar uma nova conta de armazenamento.
   Retenção (dias)	Insira um período de retenção para os logs em dias. Esta opção só está disponível com contas de armazenamento padrão de uso geral v2 . Digite 0 para reter os dados do log de fluxo indefinidamente (até excluí-los manualmente). Para obter informações sobre preços, consulte Preços do Armazenamento do Azure.

   Importante

   Atualmente, uma conta de armazenamento suporta 100 regras e cada regra pode acomodar 10 prefixos de blob. Para obter mais informações, consulte Quantas regras de política de retenção uma conta de armazenamento pode ter?

   

   Importante

   Se você configurar logs de fluxo de rede virtual nos níveis de NIC, sub-rede e rede virtual, a preferência de ativação seguirá esta ordem: NIC > sub-rede > rede virtual.

   Atenção

   Os logs de fluxo de rede virtual são ingeridos num blob de blocos a cada minuto, adicionando blocos. Enquanto a ingestão estiver em andamento, não execute operações que modifiquem a estrutura de blocos do blob, como editar, substituir ou excluir o conteúdo do blob. Essas operações podem fazer com que todas as operações subsequentes de gravação do log de fluxo falhem para o blob dessa hora específica.

5. Para ativar a análise de tráfego, selecione o botão Avançar: Análise ou selecione a guia Análise . Insira ou selecione os seguintes valores:

   Configurações	Valor
   Habilite a análise de tráfego	Marque a caixa de seleção para habilitar a análise de tráfego para seu registro de fluxo.
   Intervalo de processamento da análise de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: A cada 1 hora e a cada 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.
   Subscrição	Selecione a assinatura do Azure do seu espaço de trabalho do Log Analytics.
   Espaço de trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, o portal do Azure cria o espaço de trabalho DefaultWorkspace-{SubscriptionID}-{Region} em um grupo de recursos defaultresourcegroup-{Region} de Análises de Registo.

   

   Observação

   Para criar e selecionar um espaço de trabalho do Log Analytics diferente do padrão, consulte Criar um espaço de trabalho do Log Analytics

6. Selecione Verificar + criar.

7. Reveja as definições e, em seguida, selecione Criar.

Use o cmdlet New-AzNetworkWatcherFlowLog para criar um log de fluxo de rede virtual.

• Ative os registos de fluxo de rede virtual sem análise de tráfego.

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2
  

• Ative registos de fluxo de rede virtual e análise de tráfego

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'EastUS'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10
  

Utilize o comando az network watcher flow-log create para criar um registo de fluxo de rede virtual.

• Ative os registos de fluxo de rede virtual sem análise de tráfego.

  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account 'myStorageAccount'
  

  # Create a VNet flow log (storage account is in a different resource group from the virtual network).
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'
  

• Ative registos de fluxo de rede virtual e análise de tráfego

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10
  

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics true --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10
  

Para habilitar a análise de tráfego para um log de fluxo, siga estas etapas:

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione o log de fluxo para o qual deseja habilitar a análise de tráfego.

4. Em Configurações de logs de fluxo, em Análise de tráfego, selecione a caixa de seleção de Habilitar análise de tráfego.

   

5. Introduza ou selecione os seguintes valores:

   Configurações	Valor
   Subscrição	Selecione a assinatura do Azure do seu espaço de trabalho do Log Analytics.
   área de trabalho do Log Analytics	Selecione seu espaço de trabalho do Log Analytics. Por padrão, o portal do Azure cria o espaço de trabalho DefaultWorkspace-{SubscriptionID}-{Region} em um grupo de recursos defaultresourcegroup-{Region} de Análises de Registo.
   Intervalo de registo de tráfego	Selecione o intervalo de processamento que preferir, as opções disponíveis são: A cada 1 hora e a cada 10 minutos. O intervalo de processamento padrão é a cada uma hora. Para obter mais informações, consulte Análise de tráfego.

   

6. Selecione Guardar para aplicar as alterações.

Para desativar a análise de tráfego para um log de fluxo, execute as etapas anteriores de 1 a 3, desmarque a caixa de seleção Desativar análise de tráfego e clique em Salvar.

Para ativar a análise de tráfego num recurso de log de fluxo, utilize o cmdlet Set-AzNetworkWatcherFlowLog.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

Para desativar a análise de tráfego no recurso de log de fluxo e continuar a gerar e salvar logs de fluxo de rede virtual na conta de armazenamento, use Set-AzNetworkWatcherFlowLog cmdlet.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

Para ativar análises de tráfego num recurso de registo de fluxos, use o comando az network watcher flow-log update.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

Para desativar a análise de tráfego no recurso de log de fluxo e continuar a gerar e salvar logs de fluxo de rede virtual numa conta de armazenamento, use o comando az network watcher flow-log update.

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. Selecione o filtro Subscrição igual a para escolher uma ou mais das suas assinaturas. Você pode aplicar outros filtros, como Localização igual a, para listar todos os registos de fluxo em uma região.

   

Use o cmdlet Get-AzNetworkWatcherFlowLog para listar todos os recursos de log de fluxo numa região específica na sua subscrição.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table

Use o comando az network watcher flow-log list para listar todos os recursos do log de fluxo numa região específica na sua subscrição.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Registos de fluxo, selecione o registo de fluxo que pretende ver.

4. Em Configuração dos registos de fluxo, pode verificar as definições do recurso de registo de fluxo.

   

5. Selecione Cancelar para fechar a página de configurações sem fazer alterações.

Utilize o cmdlet Get-AzNetworkWatcherFlowLog para obter detalhes de um recurso de registo de fluxo.

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -Name 'myVNetFlowLog'

Use az network watcher flow-log show para ver os detalhes de um recurso de log de fluxo.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

1. Na caixa de pesquisa na parte superior do portal, insira contas de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

2. Selecione a conta de armazenamento usada para armazenar os logs.

3. Na secção Armazenamento de Dados, selecione Contentores.

4. Selecione o contêiner insights-logs-flowlogflowevent.

5. Em insights-logs-flowlogflowevent, navegue pela hierarquia de pastas até chegar ao PT1H.json arquivo que deseja baixar. Os arquivos de log de fluxo de rede virtual seguem o seguinte caminho:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Selecione as reticências ... à direita do PT1H.json ficheiro e depois selecione Transferir.

   

Para baixar os logs de fluxo de rede virtual da sua conta de armazenamento, use o cmdlet Get-AzStorageBlobContent . Para obter mais informações, consulte Transferir um bloco de dados.

Os arquivos de log de fluxo de rede virtual são salvos na conta de armazenamento no seguinte caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Para baixar logs de fluxo de rede virtual da sua conta de armazenamento, use o comando az storage blob download. Para obter mais informações, consulte Transferir um bloco de dados.

Os arquivos de log de fluxo de rede virtual são salvos na conta de armazenamento no seguinte caminho:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Monitor de Rede | Logs de fluxo, selecione a caixa de seleção do log de fluxo que pretende desativar.

4. Selecione Desativar.

   

Use o cmdlet Set-AzNetworkWatcherFlowLog para desativar um log de fluxo.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Utilize o comando az network watcher flow-log update para desativar um log de fluxo.

# Update the VNet flow log.
az network watcher flow-log update --enabled false --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount'

1. Na caixa de pesquisa na parte superior do portal, digite observador de rede. Selecione Inspetor de Rede nos resultados da pesquisa.

2. Em Logs, selecione Logs de fluxo.

3. No Observador de Rede | Logs de fluxo, selecione a caixa de seleção do registo de fluxo que pretende eliminar.

4. Selecione Eliminar.

   

Para excluir um recurso de log de fluxo de rede virtual, use o cmdlet Remove-AzNetworkWatcherFlowLog .

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myVNetFlowLog' -Location 'eastus'

Para eliminar um recurso de log de fluxo de rede virtual, utilize o comando az network watcher flow-log delete.

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'