Bagikan melalui

Log alur jaringan virtual

  • Artikel

Log alur jaringan virtual adalah fitur Azure Network Watcher. Anda dapat menggunakannya untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual.

Aliran data dari log aliran jaringan virtual dikirim ke Azure Storage. Dari sana, Anda dapat mengakses data dan mengekspornya ke alat visualisasi, solusi manajemen informasi keamanan dan peristiwa (SIEM), atau sistem deteksi intrusi (IDS). Log alur jaringan virtual mengatasi beberapa batasan log alur kelompok keamanan Jaringan.

Mengapa menggunakan log alur?

Sangat penting untuk memantau, mengelola, dan mengetahui jaringan Anda sehingga Anda dapat melindungi dan mengoptimalkannya. Anda mungkin perlu mengetahui status jaringan saat ini, siapa yang tersambung, dan dari mana pengguna terhubung. Anda mungkin juga perlu mengetahui port mana yang terbuka untuk internet, perilaku jaringan apa yang diharapkan, perilaku jaringan apa yang tidak teratur, dan ketika tiba-tiba naik lalu lintas terjadi.

Log alur adalah sumber kebenaran untuk semua aktivitas jaringan di lingkungan cloud Anda. Baik Anda berada dalam startup yang mencoba mengoptimalkan sumber daya atau perusahaan besar yang mencoba mendeteksi gangguan, log alur dapat membantu. Anda dapat menggunakannya untuk mengoptimalkan alur jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi gangguan, dan banyak lagi.

Kasus penggunaan umum

Pemantauan jaringan

  • Identifikasi lalu lintas yang tidak diketahui atau tidak diinginkan.
  • Pantau tingkat lalu lintas dan konsumsi bandwidth.
  • Filter log alur menurut IP dan port untuk memahami perilaku aplikasi.
  • Ekspor log alur ke alat analitik dan visualisasi pilihan Anda untuk menyiapkan dasbor pemantauan.

Pemantauan dan pengoptimalan penggunaan

  • Identifikasi pembicara teratas dalam jaringan Anda.
  • Gabungkan dengan data GeoIP untuk mengidentifikasi lalu lintas wilayah.
  • Memahami pertumbuhan lalu lintas untuk perkiraan kapasitas.
  • Gunakan data untuk menghapus aturan lalu lintas yang terlalu ketat.

Kepatuhan

  • Gunakan data alur untuk memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan.

Forensik jaringan dan analisis keamanan

  • Analisis alur jaringan dari antarmuka jaringan dan IP yang disusupi.
  • Ekspor log alur ke alat SIEM atau IDS apa pun yang Anda pilih.

Log alur jaringan virtual dibandingkan dengan log alur kelompok keamanan jaringan

Baik log alur jaringan virtual maupun log alur kelompok keamanan jaringan merekam lalu lintas IP, tetapi berbeda dalam perilaku dan kemampuannya.

Log alur jaringan virtual menyederhanakan cakupan pemantauan lalu lintas karena Anda dapat mengaktifkan pengelogan di jaringan virtual. Lalu lintas melalui semua beban kerja yang didukung dalam jaringan virtual direkam.

Log alur jaringan virtual juga menghindari kebutuhan untuk mengaktifkan pengelogan alur beberapa tingkat, seperti dalam log alur kelompok keamanan jaringan. Dalam log alur kelompok keamanan jaringan, kelompok keamanan jaringan dikonfigurasi di subnet dan antarmuka jaringan (NIC).

Selain dukungan yang ada untuk mengidentifikasi lalu lintas yang diizinkan atau ditolak oleh aturan grup keamanan jaringan, Log alur jaringan virtual mendukung identifikasi lalu lintas yang diizinkan atau ditolak oleh aturan admin keamanan Azure Virtual Network Manager. Log alur jaringan virtual juga mendukung evaluasi status enkripsi lalu lintas jaringan Anda dalam skenario di mana Anda menggunakan enkripsi jaringan virtual.

Penting

Sebaiknya nonaktifkan log alur kelompok keamanan jaringan sebelum mengaktifkan log alur jaringan virtual pada beban kerja yang mendasari yang sama untuk menghindari perekaman lalu lintas duplikat dan biaya tambahan.

Jika Anda mengaktifkan log alur kelompok keamanan jaringan pada kelompok keamanan jaringan subnet, maka Anda mengaktifkan log alur jaringan virtual pada subnet atau jaringan virtual induk yang sama, Anda mungkin mendapatkan pengelogan duplikat atau hanya log alur jaringan virtual.

Cara kerja pengelogan

Properti utama log alur jaringan virtual meliputi:

  • Log alur beroperasi di Lapisan 4 model Open Systems Interconnection (OSI) dan merekam semua alur IP yang melalui jaringan virtual.
  • Log dikumpulkan pada interval satu menit melalui platform Azure. Mereka tidak memengaruhi sumber daya Azure atau lalu lintas jaringan Anda.
  • Log ditulis dalam format JavaScript Object Notation (JSON).
  • Setiap rekaman log berisi antarmuka jaringan yang diterapkan alur, informasi 5 tuple, arah lalu lintas, status alur, status enkripsi, dan informasi throughput.
  • Semua arus lalu lintas di jaringan Anda dievaluasi melalui aturan grup keamanan jaringan yang berlaku atau aturan admin keamanan Azure Virtual Network Manager.

Format Log

Log alur jaringan virtual memiliki properti berikut:

  • time: Waktu dalam UTC ketika peristiwa dicatat.
  • flowLogVersion: Versi log alur.
  • flowLogGUID: GUID FlowLog sumber daya sumber daya.
  • macAddress: Alamat MAC antarmuka jaringan tempat peristiwa diambil.
  • category: Kategori acara. Kategorinya selalu FlowLogFlowEvent.
  • flowLogResourceID: ID FlowLog sumber daya sumber daya.
  • targetResourceID: ID sumber daya dari sumber daya target yang terkait dengan FlowLog sumber daya.
  • operationName: Selalu FlowLogFlowEvent.
  • flowRecords: Kumpulan rekaman alur.
    • flows: Kumpulan alur. Properti ini memiliki beberapa entri untuk daftar kontrol akses (ACL):
      • aclID: Pengidentifikasi sumber daya yang mengevaluasi lalu lintas, baik kelompok keamanan jaringan atau Virtual Network Manager. Untuk lalu lintas yang ditolak karena enkripsi, nilai ini adalah unspecified.
      • flowGroups: Kumpulan rekaman alur pada tingkat aturan:
        • rule: Nama aturan yang mengizinkan atau menolak lalu lintas. Untuk lalu lintas yang ditolak karena enkripsi, nilai ini adalah unspecified.
        • flowTuples: String yang berisi beberapa properti untuk tuple alur dalam format yang dipisahkan koma:
          • Time Stamp: Stempel waktu ketika aliran terjadi, dalam format epoch UNIX.
          • Source IP: Alamat IP sumber.
          • Destination IP: Alamat IP tujuan.
          • Source port: Port sumber.
          • Destination port: Port tujuan.
          • Protocol: Protokol alur lapisan 4, dinyatakan dalam nilai yang ditetapkan IANA.
          • Flow direction: Arah arus lalu lintas. Nilai yang valid adalah I untuk masuk dan O untuk keluar.
          • Flow state: Status alur. Status yang mungkin adalah:
            • B: Mulailah, saat alur dibuat. Tidak ada statistik yang disediakan.
            • C: Melanjutkan alur yang sedang berlangsung. Statistik disediakan pada interval lima menit.
            • E: Berakhir, saat alur dihentikan. Statistik disediakan.
            • D: Tolak, ketika alur ditolak.
          • Flow encryption: Status enkripsi alur. Tabel setelah daftar ini menjelaskan kemungkinan nilai.
          • Packets sent: Jumlah total paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir.
          • Bytes sent: Jumlah total byte paket yang dikirim dari sumber ke tujuan sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.
          • Packets received: Jumlah total paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir.
          • Bytes received: Jumlah total byte paket yang dikirim dari tujuan ke sumber sejak pembaruan terakhir. Byte paket termasuk header paket dan payload.

Flow encryption memiliki kemungkinan status enkripsi berikut:

Status enkripsi Deskripsi
X Koneksi dienkripsi. Enkripsi dikonfigurasi, dan platform mengenkripsi koneksi.
NX Koneksi tidak terenkripsi. Kejadian ini dicatat dalam dua skenario:
- Ketika enkripsi tidak dikonfigurasi.
- Ketika komputer virtual terenkripsi berkomunikasi dengan titik akhir yang tidak memiliki enkripsi (seperti titik akhir internet).
NX_HW_NOT_SUPPORTED Perangkat keras tidak didukung. Enkripsi dikonfigurasi, tetapi komputer virtual berjalan pada host yang tidak mendukung enkripsi. Masalah ini biasanya terjadi karena array gerbang yang dapat diprogram bidang (FPGA) tidak dilampirkan ke host atau rusak. Laporkan masalah ini ke Microsoft untuk penyelidikan.
NX_SW_NOT_READY Perangkat lunak belum siap. Enkripsi dikonfigurasi, tetapi komponen perangkat lunak (GFT) di tumpukan jaringan host belum siap untuk memproses koneksi terenkripsi. Masalah ini dapat terjadi ketika komputer virtual dimulai untuk pertama kalinya, dimulai ulang, atau disebarkan ulang. Ini juga dapat terjadi ketika ada pembaruan pada komponen jaringan pada host tempat komputer virtual berjalan. Dalam semua skenario ini, paket dihilangkan. Masalahnya harus bersifat sementara. Enkripsi harus mulai berfungsi setelah komputer virtual sepenuhnya aktif dan berjalan atau pembaruan perangkat lunak pada host selesai. Jika masalah memiliki durasi yang lebih lama, laporkan ke Microsoft untuk penyelidikan.
NX_NOT_ACCEPTED Hilangkan karena tidak ada enkripsi. Enkripsi dikonfigurasi pada titik akhir sumber dan tujuan, dengan penurunan kebijakan yang tidak terenkripsi. Jika enkripsi lalu lintas gagal, paket akan dihilangkan.
NX_NOT_SUPPORTED Penemuan tidak didukung. Enkripsi dikonfigurasi, tetapi sesi enkripsi tidak dibuat karena tumpukan jaringan host tidak mendukung penemuan. Dalam hal ini, paket dihilangkan. Jika Anda mengalami masalah ini, laporkan ke Microsoft untuk penyelidikan.
NX_LOCAL_DST Tujuan berada di host yang sama. Enkripsi dikonfigurasi, tetapi komputer virtual sumber dan tujuan berjalan pada host Azure yang sama. Dalam hal ini, koneksi tidak dienkripsi berdasarkan desain.
NX_FALLBACK Kembali ke enkripsi. Enkripsi dikonfigurasi dengan kebijakan Izinkan tidak terenkripsi untuk titik akhir sumber dan tujuan. Sistem mencoba enkripsi tetapi memiliki masalah. Dalam hal ini, koneksi diizinkan tetapi tidak dienkripsi. Misalnya, komputer virtual awalnya mendarat di simpul yang mendukung enkripsi, tetapi dukungan ini dihapus nanti.

Lalu lintas di jaringan virtual Anda tidak terenkripsi (NX) secara default. Untuk lalu lintas terenkripsi, lihat Enkripsi jaringan virtual.

Contoh rekaman log

Dalam contoh log alur jaringan virtual berikut, beberapa rekaman mengikuti daftar properti yang dijelaskan sebelumnya.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Perhitungan tuple dan bandwidth log

Tabel yang memperlihatkan format log alur jaringan virtual.

Berikut adalah contoh perhitungan bandwidth untuk tuple alur dari percakapan TCP antara 203.0.113.105:35370 dan 10.0.0.5:23:

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Untuk status alur kelanjutan (C) dan akhir (E), jumlah byte dan paket adalah jumlah agregat dari waktu rekaman tuple alur sebelumnya. Dalam contoh percakapan, jumlah total paket yang ditransfer adalah 1.021 + 52 + 8.005 + 47 = 9.125. Jumlah total byte yang ditransfer adalah 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Pertimbangan untuk log alur jaringan virtual

Akun Penyimpanan

  • Lokasi: Akun penyimpanan harus berada di wilayah yang sama dengan jaringan virtual.
  • Langganan: Akun penyimpanan harus berada dalam langganan jaringan virtual yang sama atau dalam langganan yang terkait dengan penyewa Microsoft Entra yang sama dari langganan jaringan virtual.
  • Tingkat performa: Akun penyimpanan harus standar. Akun penyimpanan premium tidak didukung.
  • Rotasi kunci yang dikelola sendiri: Jika Anda mengubah atau memutar kunci akses ke akun penyimpanan Anda, log alur jaringan virtual berhenti berfungsi. Untuk memperbaiki masalah ini, Anda harus menonaktifkan lalu mengaktifkan kembali log alur jaringan virtual.

Lalu lintas titik akhir privat

Lalu lintas tidak dapat direkam di titik akhir privat itu sendiri. Anda dapat menangkap lalu lintas ke titik akhir privat di VM sumber. Lalu lintas dicatat dengan alamat IP sumber VM dan alamat IP tujuan titik akhir privat. Anda dapat menggunakan PrivateEndpointResourceId bidang untuk mengidentifikasi lalu lintas yang mengalir ke titik akhir privat. Untuk informasi selengkapnya, lihat Skema analitik lalu lintas.

Layanan yang tidak kompatibel

Saat ini, layanan Azure ini tidak mendukung log alur jaringan virtual:

Catatan

Layanan aplikasi yang disebarkan di bawah paket Azure App Service tidak mendukung log alur jaringan virtual. Untuk mempelajari lebih lanjut, lihat Cara kerja integrasi jaringan virtual.

Harga

  • Log alur jaringan virtual dikenakan biaya per gigabyte log alur Jaringan yang dikumpulkan dan dilengkapi dengan tingkat gratis 5 GB/bulan per langganan.

  • Jika analitik lalu lintas diaktifkan dengan log alur jaringan virtual, harga analitik lalu lintas berlaku pada tingkat pemrosesan per gigabyte. Analitik lalu lintas tidak ditawarkan dengan tingkat harga gratis. Untuk informasi selengkapnya, lihat Harga Network Watcher.

  • Penyimpanan log dibebankan secara terpisah. Untuk informasi selengkapnya, lihat Harga Azure Blob Storage.

Skenario yang didukung

Tabel berikut menguraikan cakupan dukungan log alur.

Cakupan Log alur kelompok keamanan jaringan Log alur jaringan virtual
Byte dan paket dalam alur stateless Tidak didukung Didukung
Identifikasi enkripsi jaringan virtual Tidak didukung Didukung
Manajemen Azure API Tidak didukung Didukung
Azure Application Gateway Tidak didukung Didukung
Azure Virtual Network Manager Tidak didukung Didukung
Gateway ExpressRoute Tidak didukung Didukung
Kumpulan skala komputer virtual Didukung Didukung
Gateway VPN Tidak didukung Didukung

Ketersediaan

Log alur jaringan virtual umumnya tersedia di semua wilayah publik Azure dan saat ini dalam pratinjau di Azure Government.

Konten terkait