Megosztás a következőn keresztül:


Migrálás a hálózati biztonsági csoport folyamatnaplóiból a virtuális hálózati folyamatnaplókba

Fontos

2027. szeptember 30-án a hálózati biztonsági csoport (NSG) folyamatnaplói megszűnnek. A kivonás részeként 2025. június 30-tól már nem hozhat létre új NSG-folyamatnaplókat. Javasoljuk, hogy migráljon a virtuális hálózati folyamatnaplókba, amelyek leküzdik az NSG-folyamatnaplók korlátait. A kivonási dátum után az NSG-folyamatnaplókkal engedélyezett forgalomelemzések már nem támogatottak, és az előfizetésekben meglévő NSG-folyamatnapló-erőforrások törlődnek. Az NSG-folyamat naplóinak rekordjai azonban nem törlődnek, és továbbra is betartják a vonatkozó adatmegőrzési szabályzatokat. További információért tekintse meg a hivatalos bejelentést.

Ebből a cikkből megtudhatja, hogyan migrálhatja a meglévő hálózati biztonsági csoport folyamatnaplóit a virtuális hálózati folyamatnaplókba migrálási szkript használatával. A virtuális hálózati folyamatnaplók leküzdik a hálózati biztonsági csoport folyamatnaplóinak bizonyos korlátait. További információ: Virtuális hálózati folyamatnaplók.

Feljegyzés

A migrálási szkript használata:

  • ha nincs engedélyezve a folyamatnaplózás egy virtuális hálózat összes hálózati adapterén vagy alhálózatán, és nem szeretné engedélyezni a virtuális hálózati forgalom naplózását mindegyiken, vagy
  • ha a hálózati biztonsági csoport folyamatnaplói különböző konfigurációkkal rendelkeznek egy virtuális hálózaton, és a hálózati biztonsági csoport folyamatnaplóiként ezeket a konfigurációkat tartalmazó virtuális hálózati folyamatnaplókat szeretné létrehozni.

Az Azure Policy használata:

  • ha ugyanazt a hálózati biztonsági csoportot alkalmazza egy virtuális hálózat összes hálózati adapterére vagy alhálózatára,
  • ha a virtuális hálózat összes hálózati adapteréhez vagy alhálózatához ugyanazokat a hálózati biztonsági csoportfolyamat-naplókonfigurációkat használja, vagy
  • ha engedélyezni szeretné a virtuális hálózati forgalom naplózását a virtuális hálózat szintjén.

További információ: Virtuális hálózati folyamatnaplók üzembe helyezése és konfigurálása beépített szabályzat használatával.

Előfeltételek

Migrálási szkript létrehozása

Ebben a szakaszban megtudhatja, hogyan hozhatja létre és töltheti le a migrálni kívánt hálózati biztonsági csoport folyamatnaplóinak migrálási fájljait.

  1. A portál tetején található keresőmezőbe írja be a Network Watcher nevet. Válassza a Network Watcher lehetőséget a keresési eredmények közül.

    Képernyőkép a Network Watcher kereséséről az Azure Portalon.

  2. A Naplók területen válassza a Folyamatnaplók migrálása lehetőséget.

    Képernyőkép a hálózati biztonsági csoport folyamatnaplóinak migrálási oldalával az Azure Portalon.

  3. Válassza ki azokat az előfizetéseket, amelyek a migrálni kívánt hálózati biztonsági csoport folyamatnaplóit tartalmazzák.

  4. Minden előfizetéshez válassza ki azokat a régiókat, amelyek tartalmazzák az áttelepítendő folyamatnaplókat. Az összes NSG-folyamatnapló a kiválasztott előfizetésekben található folyamatnaplók teljes számát jeleníti meg. A kijelölt NSG-folyamatnaplók a kijelölt régiókban lévő folyamatnaplók számát jelenítik meg.

  5. Miután kiválasztotta az előfizetéseket és régiókat, válassza a Download script and JSON file (Szkript és JSON fájl letöltése) lehetőséget az áttelepítési fájlok zip-fájlként való letöltéséhez.

    Képernyőkép arról, hogyan hozhat létre migrálási szkriptet az Azure Portalon.

  6. Bontsa ki MigrateFlowLogs.zip a fájlt a helyi gépen. A zip fájl a következő két fájlt tartalmazza:

    • egy szkriptfájl: MigrationFromNsgToAzureFlowLogging.ps1
    • JSON-fájl: RegionSubscriptionConfig.json.

Migrálási szkript futtatása

Ebben a szakaszban megtudhatja, hogyan használhatja az előző szakaszban letöltött szkriptfájlt a hálózati biztonsági csoport folyamatnaplóinak migrálásához.

Fontos

Miután megkezdte a szkript futtatását, nem szabad módosítania a topológiát az áttelepítendő folyamatnaplók régióiban és előfizetéseiben.

  1. Futtassa a szkriptfájlt MigrationFromNsgToAzureFlowLogging.ps1.

  2. Adja meg az 1 for Run analysis (Futtatás ) lehetőséget .

    .\MigrationFromNsgToAzureFlowLogging.ps1
    
    Select one of the following options for flowlog migration:
    1. Run analysis
    2. Delete NSG flowlogs
    3. Quit
    
  3. Adja meg a JSON-fájl nevét.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
    
  4. Adja meg a szálak számát, vagy hagyja üresen az alapértelmezett 16-os értéket.

    Please enter the number of threads you would like to use, press enter for using default value of 16:    
    

    Az elemzés befejezése után megjelenik az elemzési jelentés a képernyőn és egy HTML-fájlban az áttelepítési fájlok ugyanazon könyvtárában. A jelentés felsorolja a letiltani kívánt hálózati biztonsági csoport folyamatnaplóinak számát, valamint a lecserélésükhöz létrehozott virtuális hálózati folyamatnaplók számát. A létrehozott virtuális hálózati folyamatnaplók száma a választott migrálás típusától függ. Ha például az áttelepítendő hálózati biztonsági csoport három hálózati adapterrel van társítva ugyanabban a virtuális hálózatban, akkor az összesítéssel rendelkező migrálást úgy is választhatja, hogy egyetlen virtuális hálózati folyamatnapló-erőforrás legyen alkalmazva a virtuális hálózatra. Azt is választhatja , hogy az áttelepítés összesítés nélkül három virtuális hálózati folyamatnaplóval (hálózati adapterenként egy virtuális hálózati folyamatnapló-erőforrással) rendelkezik.

    Feljegyzés

    Az elvégzett elemzés teljes jelentésének megtekintéséhez tekintse meg AnalysisReport-<subscriptionId>-<region>-<time>.html a fájlt. A fájl a szkript ugyanazon könyvtárában érhető el.

  5. A végrehajtani kívánt áttelepítés típusának kiválasztásához írja be a 2 vagy a 3 értéket.

    Select one of the following options for flowlog migration:
    1. Re-Run analysis
    2. Proceed with migration with aggregation
    3. Proceed with migration without aggregation
    4. Quit
    
  6. Miután a képernyőn megjelenik az áttelepítés összegzése, megszakíthatja az áttelepítést, és visszaállíthatja a módosításokat. A migrálás elfogadásához és folytatásához írja be az n értéket, ellenkező esetben írja be az y értéket. Miután elfogadta a módosításokat, nem állíthatja vissza őket.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
    

    Feljegyzés

    A szkript- és elemzési jelentésfájlokat referenciaként tárolhatja, ha bármilyen probléma merül fel a migrálással kapcsolatban.

  7. Ellenőrizze az Azure Portalon, hogy az áttelepített hálózati biztonsági csoport folyamatnaplóinak állapota le lett-e tiltva. Ellenőrizze az újonnan létrehozott virtuális hálózati folyamatnaplókat is az áttelepítési folyamat eredményeként.

    Képernyőkép az újonnan létrehozott virtuális hálózati folyamatnaplóról a hálózati biztonsági csoport folyamatnaplójából való migrálás eredményeként.

  8. Adjon hozzá egy szűrőt, hogy csak a kiválasztott előfizetésekből és régiókból listázhassa a hálózati biztonsági csoport folyamatnaplóit. Ezt a lépést kihagyhatja, ha csak néhány hálózati biztonsági csoport folyamatnaplóját migrálta.

    Képernyőkép arról, hogyan lehet szűrővel csak a hálózati biztonsági csoport folyamatnaplóit listázni.

  9. Jelölje ki a törölni kívánt folyamatnaplókat, majd válassza a Törlés lehetőséget

    Képernyőkép a migrált hálózati biztonsági csoport folyamatnaplóinak kiválasztásáról és törléséről.

  10. Adja meg a törlést, majd a Törlés gombra kattintva erősítse meg a törlést.

    Képernyőkép a migrált folyamatnaplók törlésének megerősítéséről.

Megfontolások

  • Méretezési csoport terheléselosztóval: A migrálási szkript lehetővé teszi a virtuális hálózati folyamatok naplózását azon az alhálózaton, amelyen a méretezési csoport virtuális gépei vannak.

    Feljegyzés

    Ha a hálózati biztonsági csoport folyamatnaplózása nincs engedélyezve a méretezési csoport összes hálózati adapterén, vagy a hálózati adapterek nem ugyanazt a hálózati biztonsági csoportfolyamat-naplót használják, akkor a rendszer létrehoz egy virtuális hálózati folyamatnaplót az alhálózaton, amely a méretezési csoport egyik hálózati adapterével azonos konfigurációval rendelkezik.

  • PaaS: A migrálási szkript nem támogatja azokat a PaaS-megoldásokat, amelyek hálózati biztonsági csoportfolyamat-naplókkal rendelkeznek egy felhasználó előfizetésében, de a célerőforrások különböző előfizetésekben találhatók. Ilyen környezetekben manuálisan engedélyeznie kell a virtuális hálózati folyamatok naplózását a PaaS-megoldás virtuális hálózatán vagy alhálózatán.