Mengelola log alur NSG menggunakan Azure CLI
Penting
Pada 30 September 2027, log alur kelompok keamanan jaringan (NSG) akan dihentikan. Sebagai bagian dari penghentian ini, Anda tidak akan lagi dapat membuat log alur NSG baru mulai 30 Juni 2025. Sebaiknya migrasi ke log alur jaringan virtual, yang mengatasi keterbatasan log alur NSG. Setelah tanggal penghentian, analitik lalu lintas yang diaktifkan dengan log alur NSG tidak akan lagi didukung, dan sumber daya log alur NSG yang ada di langganan Anda akan dihapus. Namun, rekaman log alur NSG tidak akan dihapus dan akan terus mengikuti kebijakan retensi masing-masing. Untuk informasi selengkapnya, lihat pengumuman resmi.
Pengelogan alur kelompok keamanan jaringan adalah fitur Azure Network Watcher yang memungkinkan Anda mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Untuk informasi selengkapnya tentang pengelogan alur grup keamanan jaringan, lihat Gambaran umum log alur NSG.
Dalam artikel ini, Anda mempelajari cara membuat, mengubah, menonaktifkan, atau menghapus log alur NSG menggunakan Azure CLI. Anda dapat mempelajari cara mengelola log alur NSG menggunakan templat portal Azure, PowerShell, REST API, atau ARM.
Prasyarat
Akun Azure dengan langganan aktif. Buat akun secara gratis.
Penyedia wawasan. Untuk informasi selengkapnya, lihat Mendaftarkan penyedia Insight.
Kelompok keamanan jaringan. Jika Anda perlu membuat grup keamanan jaringan, lihat Membuat, mengubah, atau menghapus grup keamanan jaringan.
Akun penyimpanan Azure. Jika Anda perlu membuat akun penyimpanan, lihat membuat akun penyimpanan menggunakan PowerShell.
Azure Cloud Shell atau Azure CLI diinstal secara lokal.
Langkah-langkah dalam artikel ini menjalankan perintah Azure CLI secara interaktif di Azure Cloud Shell. Untuk menjalankan perintah di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode lalu tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.
Anda juga dapat menginstal Azure CLI secara lokal untuk menjalankan perintah. Jika Anda menjalankan Azure CLI secara lokal, masuk ke Azure menggunakan perintah az login .
Mendaftarkan penyedia insight
Penyedia Microsoft.Insights harus didaftarkan untuk berhasil mencatat lalu lintas yang mengalir melalui grup keamanan jaringan. Jika Anda tidak yakin apakah penyedia Microsoft.Insights terdaftar, gunakan az provider register untuk mendaftarkannya.
# Register Microsoft.Insights provider.
az provider register --namespace 'Microsoft.Insights'
Membuat log alur
Buat log alur menggunakan az network watcher flow-log create. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log.
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount'
# Create a version 1 NSG flow log (the storage account is in a different resource group from the network security group).
az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'
Catatan
Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.
Membuat log alur dan ruang kerja analitik lalu lintas
Buat ruang kerja Analitik Log menggunakan az monitor log-analytics workspace create.
# Create a Log Analytics workspace. az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup'Buat log alur menggunakan az network watcher flow-log create. Log alur dibuat di grup sumber daya default Network Watcher NetworkWatcherRG.
# Create a version 1 NSG flow log and enable traffic analytics for it. az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'true' --workspace 'myWorkspace'# Create a version 1 NSG flow log and enable traffic analytics for it (storage account and traffic analytics workspace are in different resource groups from the network security group). az network watcher flow-log create --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics 'true' --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace'
Catatan
- Akun penyimpanan tidak dapat memiliki aturan jaringan yang membatasi akses jaringan hanya ke layanan Microsoft atau jaringan virtual tertentu.
- Jika akun penyimpanan berada dalam langganan yang berbeda, grup keamanan jaringan dan akun penyimpanan harus dikaitkan dengan penyewa Azure Active Directory yang sama. Akun yang Anda gunakan untuk setiap langganan harus memiliki izin yang diperlukan.
Mengubah log alur
Anda dapat menggunakan az network watcher flow-log update untuk mengubah properti log alur. Misalnya, Anda dapat mengubah versi log alur atau menonaktifkan analitik lalu lintas.
# Update the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --log-version '2'
Mencantumkan semua log alur di suatu wilayah
Gunakan az network watcher flow-log list untuk mencantumkan semua sumber daya log alur NSG di wilayah tertentu dalam langganan Anda.
# Get all NSG flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table
Menampilkan detail sumber daya log alur
Gunakan az network watcher flow-log show untuk melihat detail sumber daya log alur.
# Get the details of a flow log.
az network watcher flow-log show --name 'myFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'
Mengunduh log aliran
Lokasi penyimpanan log alur ditentukan saat pembuatan. Untuk mengakses dan mengunduh log alur dari akun penyimpanan, Anda dapat menggunakan Azure Storage Explorer. Untuk informasi selengkapnya, lihat Mulai menggunakan Storage Explorer.
File log alur NSG yang disimpan ke akun penyimpanan ikuti jalur ini:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{NetworkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Untuk informasi tentang struktur log alur, lihat Format log log alur NSG.
Menonaktifkan log alur
Untuk menonaktifkan log alur untuk sementara waktu tanpa menghapusnya, gunakan perintah az network watcher flow-log update . Menonaktifkan log alur menghentikan pengelogan alur untuk grup keamanan jaringan terkait. Namun, sumber daya log alur tetap dengan semua pengaturan dan asosiasinya. Anda dapat mengaktifkannya kembali kapan saja untuk melanjutkan pengelogan alur untuk grup keamanan jaringan yang dikonfigurasi.
Catatan
Jika analitik lalu lintas diaktifkan untuk log alur, analitik lalu lintas harus dinonaktifkan sebelum Anda dapat menonaktifkan log alur.
# Disable traffic analytics log if it's enabled.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --traffic-analytics 'false' --workspace 'myWorkspace'
# Disable the flow log.
az network watcher flow-log update --name 'myFlowLog' --nsg 'myNSG' --resource-group 'myResourceGroup' --storage-account 'myStorageAccount' --enabled 'false'
Menghapus log alur
Untuk menghapus log alur secara permanen, gunakan perintah az network watcher flow-log delete . Menghapus log alur akan menghapus semua pengaturan dan asosiasinya. Untuk memulai pengelogan alur lagi untuk grup keamanan jaringan yang sama, Anda harus membuat log alur baru untuk itu.
# Delete the flow log.
az network watcher flow-log delete --name 'myFlowLog' --location 'eastus' --no-wait 'true'
Catatan
Menghapus log alur tidak menghapus data log alur dari akun penyimpanan. Data log alur yang disimpan di akun penyimpanan mengikuti kebijakan penyimpanan yang dikonfigurasi.
Konten terkait
- Untuk mempelajari cara menggunakan kebijakan bawaan Azure untuk mengaudit atau menyebarkan log alur NSG, lihat Mengelola log alur NSG menggunakan Azure Policy.
- Untuk mempelajari analitik lalu lintas, lihat Analitik lalu lintas.