NSG-folyamatnaplók kezelése az Azure Policy használatával
Fontos
2027. szeptember 30-án a hálózati biztonsági csoport (NSG) folyamatnaplói megszűnnek. A kivonás részeként 2025. június 30-tól már nem hozhat létre új NSG-folyamatnaplókat. Javasoljuk, hogy migráljon a virtuális hálózati folyamatnaplókba, amelyek leküzdik az NSG-folyamatnaplók korlátait. A kivonási dátum után az NSG-folyamatnaplókkal engedélyezett forgalomelemzések már nem támogatottak, és az előfizetésekben meglévő NSG-folyamatnapló-erőforrások törlődnek. Az NSG-folyamat naplóinak rekordjai azonban nem törlődnek, és továbbra is betartják a vonatkozó adatmegőrzési szabályzatokat. További információért tekintse meg a hivatalos bejelentést.
Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy méretekben történő értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.
Ebből a cikkből megtudhatja, hogyan kezelheti a hálózati biztonsági csoport (NSG) folyamatnaplóinak beállítását két beépített szabályzat használatával. Az első szabályzat megjelöli azokat a hálózati biztonsági csoportokat, amelyeken nincs engedélyezve a folyamatnaplók használata. A második szabályzat automatikusan üzembe helyezi azokat az NSG-folyamatnaplókat, amelyeken nincs engedélyezve a folyamatnapló.
Hálózati biztonsági csoportok naplózása beépített szabályzat használatával
A Flow-naplókat konfigurálni kell minden hálózati biztonsági csoport szabályzatához, amely egy hatókör összes meglévő hálózati biztonsági csoportját naplózza az összes Azure Resource Manager-objektum típusának Microsoft.Network/networkSecurityGroupsellenőrzésével. Ez a szabályzat ezután a hálózati biztonsági csoport folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókat, és megjelöl minden olyan hálózati biztonsági csoportot, amely nem rendelkezik engedélyezett folyamatnaplókkal.
A folyamatnaplók beépített szabályzattal történő naplózásához kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.
Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.
A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzat által naplózni kívánt hálózati biztonsági csoportokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a hálózati biztonsági csoportokkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.
Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt . A keresési eredmények között válassza a Flow-naplók beállítását minden hálózati biztonsági csoporthoz, majd válassza a Hozzáadás lehetőséget.
Adjon meg egy nevet a Hozzárendelés nevére, és adja meg a nevét a Hozzárendelt mezőben.
Ez a szabályzat nem igényel paramétereket. Nem tartalmaz szerepkördefiníciókat sem, így a Szervizelés lapon nem kell szerepkör-hozzárendeléseket létrehoznia a felügyelt identitáshoz.
Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.
Válassza az Erőforrás-megfelelőség lehetőséget az összes nem megfelelő hálózati biztonsági csoport listájának lekéréséhez.
NSG-folyamatnaplók üzembe helyezése és konfigurálása beépített szabályzat használatával
A folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoportházirenddel a hatókör összes meglévő hálózati biztonsági csoportját ellenőrzi az összes Azure Resource Manager-objektum típusának Microsoft.Network/networkSecurityGroupsellenőrzésével. Ezután a hálózati biztonsági csoport folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókat. Ha a tulajdonság nem létezik, a szabályzat egy folyamatnaplót helyez üzembe.
A deployIfNotExists szabályzat hozzárendelése:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.
Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.
A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzat által naplózni kívánt hálózati biztonsági csoportokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a hálózati biztonsági csoportokkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.
Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt . A keresési eredmények között válassza a Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal, majd a Hozzáadás lehetőséget.
Adjon meg egy nevet a Hozzárendelés nevére, és adja meg a nevét a Hozzárendelt mezőben.
Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután adja meg vagy válassza ki a következő értékeket:
Beállítás Érték NSG-régió Válassza ki a szabályzattal megcélzott hálózati biztonsági csoport régióját. Tárterület azonosítója Adja meg a tárfiók teljes erőforrás-azonosítóját. A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak. A tárolási erőforrás-azonosító formátuma a következő /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>: .Network Watchers RG Válassza ki az Azure Network Watcher-példány erőforráscsoportját. Network Watcher neve Adja meg a Network Watcher-példány nevét. 
Válassza a Tovább vagy a Szervizelés lapot. Adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Szervizelési feladat létrehozása Jelölje be a jelölőnégyzetet, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra. Felügyelt identitás létrehozása Jelölje be a jelölőnégyzetet. Felügyelt identitás típusa Válassza ki a használni kívánt felügyelt identitás típusát. Rendszer által hozzárendelt identitás helye Válassza ki a rendszer által hozzárendelt identitás régióját. Hatókör Válassza ki a felhasználó által hozzárendelt identitás hatókörét. Meglévő felhasználó által hozzárendelt identitások Válassza ki a felhasználó által hozzárendelt identitást. Feljegyzés
A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.
Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.
Válassza az Erőforrás-megfelelőség lehetőséget az összes nem megfelelő hálózati biztonsági csoport listájának lekéréséhez.
Hagyja a szabályzatfuttatásokat az összes nem megfelelő hálózati biztonsági csoport folyamatnaplóinak kiértékeléséhez és üzembe helyezéséhez. Ezután válassza ismét az Erőforrás-megfelelőség lehetőséget a hálózati biztonsági csoportok állapotának ellenőrzéséhez (ha a szabályzat befejezte a szervizelést, nem jelennek meg a nem megfelelő hálózati biztonsági csoportok).
Kapcsolódó tartalom
- Az NSG-folyamatnaplókkal kapcsolatos további információkért lásd a hálózati biztonsági csoportok folyamatnaplóit.
- A beépített szabályzatok forgalomelemzéssel való használatáról további információt a Forgalomelemzés kezelése az Azure Policy használatával című témakörben talál.
- Az NSG-folyamatnaplók Azure Resource Manager-sablonnal és forgalomelemzéssel történő üzembe helyezéséről az NSG-folyamatnaplók Azure Resource Manager-sablonnal való konfigurálásáról olvashat.