Migrálás a hálózati biztonsági csoport folyamatnaplóiból a virtuális hálózati folyamatnaplókba
Fontos
2027. szeptember 30-án a hálózati biztonsági csoport (NSG) folyamatnaplói megszűnnek. A kivonás részeként 2025. június 30-tól már nem hozhat létre új NSG-folyamatnaplókat. Javasoljuk, hogy migráljon a virtuális hálózati folyamatnaplókba, amelyek leküzdik az NSG-folyamatnaplók korlátait. A kivonási dátum után az NSG-folyamatnaplókkal engedélyezett forgalomelemzések már nem támogatottak, és az előfizetésekben meglévő NSG-folyamatnapló-erőforrások törlődnek. Az NSG-folyamat naplóinak rekordjai azonban nem törlődnek, és továbbra is betartják a vonatkozó adatmegőrzési szabályzatokat. További információért tekintse meg a hivatalos bejelentést.
Ebből a cikkből megtudhatja, hogyan migrálhatja a meglévő hálózati biztonsági csoport folyamatnaplóit a virtuális hálózati folyamatnaplókba migrálási szkript használatával. A virtuális hálózati folyamatnaplók leküzdik a hálózati biztonsági csoport folyamatnaplóinak bizonyos korlátait. További információ: Virtuális hálózati folyamatnaplók.
Feljegyzés
A migrálási szkript használata:
- ha nincs engedélyezve a folyamatnaplózás egy virtuális hálózat összes hálózati adapterén vagy alhálózatán, és nem szeretné engedélyezni a virtuális hálózati forgalom naplózását mindegyiken, vagy
- ha a hálózati biztonsági csoport folyamatnaplói különböző konfigurációkkal rendelkeznek egy virtuális hálózaton, és a hálózati biztonsági csoport folyamatnaplóiként ezeket a konfigurációkat tartalmazó virtuális hálózati folyamatnaplókat szeretné létrehozni.
Az Azure Policy használata:
- ha ugyanazt a hálózati biztonsági csoportot alkalmazza egy virtuális hálózat összes hálózati adapterére vagy alhálózatára,
- ha a virtuális hálózat összes hálózati adapteréhez vagy alhálózatához ugyanazokat a hálózati biztonsági csoportfolyamat-naplókonfigurációkat használja, vagy
- ha engedélyezni szeretné a virtuális hálózati forgalom naplózását a virtuális hálózat szintjén.
További információ: Virtuális hálózati folyamatnaplók üzembe helyezése és konfigurálása beépített szabályzat használatával.
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
A gépre telepített PowerShell 7. További információ: A PowerShell telepítése Windows, Linux és macOS rendszeren. Ehhez a cikkhez az Az PowerShell-modul szükséges. További információ: Az Azure PowerShell telepítése. A telepített verzió azonosításához futtassa a következőt:
Get-Module -ListAvailable Az
.A folyamatnaplók és a Log Analytics-munkaterületek előfizetéséhez szükséges RBAC-engedélyek (ha a forgalomelemzés engedélyezve van bármelyik hálózati biztonsági csoport folyamatnaplóihoz). További információ: Network Watcher-engedélyek.
A hálózati biztonsági csoport folyamatnaplói egy vagy több régióban. További információ: Hálózati biztonsági csoport folyamatnaplóinak létrehozása.
Migrálási szkript létrehozása
Ebben a szakaszban megtudhatja, hogyan hozhatja létre és töltheti le a migrálni kívánt hálózati biztonsági csoport folyamatnaplóinak migrálási fájljait.
A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények közül.
A Naplók területen válassza a Folyamatnaplók migrálása lehetőséget.
Válassza ki azokat az előfizetéseket, amelyek a migrálni kívánt hálózati biztonsági csoport folyamatnaplóit tartalmazzák.
Minden előfizetéshez válassza ki azokat a régiókat, amelyek tartalmazzák az áttelepítendő folyamatnaplókat. Az összes NSG-folyamatnapló a kiválasztott előfizetésekben található folyamatnaplók teljes számát jeleníti meg. A kijelölt NSG-folyamatnaplók a kijelölt régiókban lévő folyamatnaplók számát jelenítik meg.
Miután kiválasztotta az előfizetéseket és régiókat, válassza a Download script and JSON file (Szkript és JSON fájl letöltése) lehetőséget az áttelepítési fájlok zip-fájlként való letöltéséhez.
Bontsa ki
MigrateFlowLogs.zip
a fájlt a helyi gépen. A zip fájl a következő két fájlt tartalmazza:- egy szkriptfájl:
MigrationFromNsgToAzureFlowLogging.ps1
- JSON-fájl:
RegionSubscriptionConfig.json
.
- egy szkriptfájl:
Migrálási szkript futtatása
Ebben a szakaszban megtudhatja, hogyan használhatja az előző szakaszban letöltött szkriptfájlt a hálózati biztonsági csoport folyamatnaplóinak migrálásához.
Fontos
Miután megkezdte a szkript futtatását, nem szabad módosítania a topológiát az áttelepítendő folyamatnaplók régióiban és előfizetéseiben.
Futtassa a szkriptfájlt
MigrationFromNsgToAzureFlowLogging.ps1
.Adja meg az 1 for Run analysis (Futtatás ) lehetőséget .
.\MigrationFromNsgToAzureFlowLogging.ps1 Select one of the following options for flowlog migration: 1. Run analysis 2. Delete NSG flowlogs 3. Quit
Adja meg a JSON-fájl nevét.
Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
Adja meg a szálak számát, vagy hagyja üresen az alapértelmezett 16-os értéket.
Please enter the number of threads you would like to use, press enter for using default value of 16:
Az elemzés befejezése után megjelenik az elemzési jelentés a képernyőn és egy HTML-fájlban az áttelepítési fájlok ugyanazon könyvtárában. A jelentés felsorolja a letiltani kívánt hálózati biztonsági csoport folyamatnaplóinak számát, valamint a lecserélésükhöz létrehozott virtuális hálózati folyamatnaplók számát. A létrehozott virtuális hálózati folyamatnaplók száma a választott migrálás típusától függ. Ha például az áttelepítendő hálózati biztonsági csoport három hálózati adapterrel van társítva ugyanabban a virtuális hálózatban, akkor az összesítéssel rendelkező migrálást úgy is választhatja, hogy egyetlen virtuális hálózati folyamatnapló-erőforrás legyen alkalmazva a virtuális hálózatra. Azt is választhatja , hogy az áttelepítés összesítés nélkül három virtuális hálózati folyamatnaplóval (hálózati adapterenként egy virtuális hálózati folyamatnapló-erőforrással) rendelkezik.
Feljegyzés
Az elvégzett elemzés teljes jelentésének megtekintéséhez tekintse meg
AnalysisReport-<subscriptionId>-<region>-<time>.html
a fájlt. A fájl a szkript ugyanazon könyvtárában érhető el.A végrehajtani kívánt áttelepítés típusának kiválasztásához írja be a 2 vagy a 3 értéket.
Select one of the following options for flowlog migration: 1. Re-Run analysis 2. Proceed with migration with aggregation 3. Proceed with migration without aggregation 4. Quit
Miután a képernyőn megjelenik az áttelepítés összegzése, megszakíthatja az áttelepítést, és visszaállíthatja a módosításokat. A migrálás elfogadásához és folytatásához írja be az n értéket, ellenkező esetben írja be az y értéket. Miután elfogadta a módosításokat, nem állíthatja vissza őket.
Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
Feljegyzés
A szkript- és elemzési jelentésfájlokat referenciaként tárolhatja, ha bármilyen probléma merül fel a migrálással kapcsolatban.
Ellenőrizze az Azure Portalon, hogy az áttelepített hálózati biztonsági csoport folyamatnaplóinak állapota le lett-e tiltva. Ellenőrizze az újonnan létrehozott virtuális hálózati folyamatnaplókat is az áttelepítési folyamat eredményeként.
Adjon hozzá egy szűrőt, hogy csak a kiválasztott előfizetésekből és régiókból listázhassa a hálózati biztonsági csoport folyamatnaplóit. Ezt a lépést kihagyhatja, ha csak néhány hálózati biztonsági csoport folyamatnaplóját migrálta.
Jelölje ki a törölni kívánt folyamatnaplókat, majd válassza a Törlés lehetőséget
Adja meg a törlést, majd a Törlés gombra kattintva erősítse meg a törlést.
Megfontolások
Méretezési csoport terheléselosztóval: A migrálási szkript lehetővé teszi a virtuális hálózati folyamatok naplózását azon az alhálózaton, amelyen a méretezési csoport virtuális gépei vannak.
Feljegyzés
Ha a hálózati biztonsági csoport folyamatnaplózása nincs engedélyezve a méretezési csoport összes hálózati adapterén, vagy a hálózati adapterek nem ugyanazt a hálózati biztonsági csoportfolyamat-naplót használják, akkor a rendszer létrehoz egy virtuális hálózati folyamatnaplót az alhálózaton, amely a méretezési csoport egyik hálózati adapterével azonos konfigurációval rendelkezik.
PaaS: A migrálási szkript nem támogatja azokat a PaaS-megoldásokat, amelyek hálózati biztonsági csoportfolyamat-naplókkal rendelkeznek egy felhasználó előfizetésében, de a célerőforrások különböző előfizetésekben találhatók. Ilyen környezetekben manuálisan engedélyeznie kell a virtuális hálózati folyamatok naplózását a PaaS-megoldás virtuális hálózatán vagy alhálózatán.