Visualisieren von NSG-Flussprotokollen mit Power BI
Wichtig
Am 30. September 2027 werden NSG-Datenflussprotokolle (Netzwerksicherheitsgruppe) eingestellt. Aufgrund dieser Einstellung können Sie ab dem 30. Juni 2025 keine neuen NSG-Datenflussprotokolle mehr erstellen. Es wird empfohlen, zu Datenflussprotokollen für virtuelle Netzwerke zu migrieren, bei denen die Einschränkungen von NSG-Datenflussprotokollen nicht gelten. Nach dem Einstellungsdatum wird die Aktivierung der Datenverkehrsanalyse mit NSG-Datenflussprotokollen nicht mehr unterstützt, und vorhandene Ressourcen für NSG-Datenflussprotokolle in Ihren Abonnements werden gelöscht. NSG-Datenflussprotokolle werden jedoch nicht gelöscht, und es gelten weiterhin die jeweiligen Aufbewahrungsrichtlinien. Weitere Informationen finden Sie in der offiziellen Ankündigung.
Mit Datenflussprotokollen von Netzwerksicherheitsgruppen können Sie Informationen zu eingehendem und ausgehendem IP-Datenverkehr für Netzwerksicherheitsgruppen anzeigen. In diesen Datenflussprotokollen werden ausgehende und eingehende Datenflüsse pro Regel, die NIC, auf die sich der Datenfluss bezieht, 5-Tupel-Informationen zum Datenfluss (Quell-/Ziel-IP, Quell-/Zielport, Protokoll) und Informationen zu zugelassenem oder abgelehntem Datenverkehr angezeigt.
Es kann schwierig sein, Erkenntnisse zu Datenflussprotokoll-Daten zu gewinnen, indem die Protokolldateien manuell durchsucht werden. In diesem Artikel stellen wir eine Lösung vor, mit der Sie Ihre aktuellen Datenflussprotokolle visualisieren und sich über den Datenverkehr in Ihrem Netzwerk informieren können.
Warnung
In den folgenden Schritten werden Flowprotokolle der Version 1 verwendet. Ausführliche Informationen finden Sie unter Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen. Die folgenden Anweisungen funktionieren ohne Änderungen nicht mit Version 2 der Protokolldateien.
Szenario
Im folgenden Szenario verbinden wir Power BI Desktop mit dem Speicherkonto, das wir als Senke für unsere Daten der NSG-Datenflussprotokollierung konfiguriert haben. Nachdem wir eine Verbindung mit unserem Speicherkonto hergestellt haben, lädt Power BI die Protokolle herunter und analysiert sie, um eine visuelle Darstellung des Datenverkehrs zu erzeugen, der von den Netzwerksicherheitsgruppen protokolliert wird.
Anhand der visuellen Elemente der Vorlage können Sie Folgendes untersuchen:
- „Top Talkers“
- Zeitreihen-Datenflussdaten nach Richtung und Regelentscheidung
- Datenflüsse nach MAC-Adresse der Netzwerkschnittstelle
- Datenflüsse nach NSG und Regel
- Datenflüsse nach Zielport
Die bereitgestellte Vorlage kann bearbeitet werden. Sie können sie also ändern, um neue Daten oder visuelle Elemente hinzuzufügen oder Abfragen an Ihre Anforderungen anzupassen.
Einrichten
Bevor Sie beginnen, müssen Sie die NSG-Datenflussprotokollierung für mindestens eine Netzwerksicherheitsgruppe Ihres Kontos aktiviert haben. Eine Anleitung zum Aktivieren von NSG-Datenflussprotokollen finden Sie im Artikel Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen.
Außerdem muss der Power BI Desktop-Client auf Ihrem Computer installiert sein, und auf dem Computer muss ausreichend freier Speicherplatz vorhanden sein, um die Protokolldaten, die in Ihrem Speicherkonto vorhanden sind, herunterzuladen und zu laden.
Schritte
Laden Sie die folgende Power BI-Vorlage in der Power BI Desktop-Anwendung herunter, und öffnen Sie sie: Network Watcher – Vorlage für Power BI-Datenflussprotokolle
Geben Sie die erforderlichen Abfrageparameter ein.
StorageAccountName: Gibt den Namen des Speicherkontos mit den NSG-Datenflussprotokollen an, die geladen und visualisiert werden sollen.
NumberOfLogFiles: Gibt die Anzahl von Protokolldateien an, die heruntergeladen und in Power BI visualisiert werden sollen. Wenn beispielsweise der Wert 50 angegeben ist, sind dies die letzten 50 Protokolldateien. Wenn zwei NSGs aktiviert und für das Senden von NSG-Datenflussprotokollen an dieses Konto konfiguriert sind, können die letzten 25 Stunden des Protokollverlaufs angezeigt werden.
Geben Sie den Zugriffsschlüssel für Ihr Speicherkonto ein. Sie finden gültige Zugriffsschlüssel, indem Sie im Azure-Portal zu Ihrem Speicherkonto wechseln und unter Sicherheit und Netzwerk die Option Zugriffsschlüssel auswählen. Wählen Sie Verbinden aus, und wenden Sie anschließend die Änderungen an.
Ihre Protokolle werden heruntergeladen und analysiert, und Sie können die vorab erstellten visuellen Elemente nutzen.
Grundlegendes zu den visuellen Elementen
In der Vorlage ist eine Gruppe von visuellen Elementen angegeben, die dazu dienen, die Daten der NSG-Flowprotokollierung verständlich zu machen. Die folgenden Abbildungen zeigen ein Beispiel dafür, wie das Dashboard aussieht, wenn es mit Daten gefüllt wird. Im Folgenden wird jedes visuelle Element ausführlicher beschrieben.
Mit dem visuellen Element „Top Talkers“ werden die IP-Adressen dargestellt, die im angegebenen Zeitraum die meisten Verbindungen initiiert haben. Die Größe der Felder entspricht der relativen Anzahl von Verbindungen.
In den folgenden Zeitseriengraphen ist die Anzahl von Datenflüssen für den Zeitraum dargestellt. Der obere Graph ist nach der Datenflussrichtung segmentiert, und der untere Graph ist nach der getroffenen Entscheidung (Zulassen oder Ablehnen) segmentiert. Mit diesem visuellen Element können Sie Ihre Datenverkehrstrends in Abhängigkeit der Zeit untersuchen und ungewöhnliche Spitzen oder Rückgänge des Datenverkehrs bzw. der Datenverkehrssegmentierung erkennen.
Die folgenden Graphen zeigen die Datenflüsse pro Netzwerkschnittstelle, wobei der obere nach der Flussrichtung und der untere nach der getroffenen Entscheidung segmentiert ist. Mit diesen Informationen können Sie ermitteln, welche VM im Vergleich mit den anderen VMs am meisten kommuniziert hat und ob der Datenverkehr zu einer bestimmten VM zulässig oder nicht zulässig ist.
Im folgenden Ringdiagramm sind die Datenflüsse nach Zielport unterteilt angegeben. Mit diesen Informationen können Sie die am häufigsten verwendeten Zielports anzeigen, die im angegebenen Zeitraum verwendet wurden.
Im folgenden Balkendiagramm ist der Datenfluss nach NSG und Regel dargestellt. Mit diesen Informationen können Sie verfolgen, welche NSGs für den meisten Datenverkehr verantwortlich sind und wie sich der Datenverkehr auf einer NSG nach der Regel verteilt.
In den folgenden Informationsdiagrammen werden Informationen zu den NSGs in den Protokollen, zur Anzahl von erfassten Datenflüssen im Zeitraum und das Datum des ältesten erfassten Protokolls angezeigt. Anhand dieser Informationen wissen Sie, welche NSGs protokolliert werden und in welchem Datumsbereich sich die Datenflüsse bewegen.
Diese Vorlage enthält die folgenden Slicer, damit Sie bei Bedarf nur die Daten anzeigen können, die für Sie am interessantesten sind. Sie können nach Ressourcengruppen, NSGs und Regeln filtern. Außerdem können Sie nach 5-Tupel-Informationen, der Entscheidung und dem Zeitpunkt der Protokollerstellung filtern.
Zusammenfassung
In diesem Szenario wurde veranschaulicht, dass es durch die Verwendung von Datenflussprotokollen von Netzwerksicherheitsgruppen, die per Network Watcher und Power BI bereitgestellt werden, möglich ist, den Datenverkehr zu visualisieren und zu verstehen. Mithilfe der bereitgestellten Vorlage lädt Power BI die Protokolle direkt aus dem Speicher herunter und verarbeitet sie lokal. Die Zeit, die zum Laden der Vorlage benötigt wird, variiert je nach Anzahl angeforderter Dateien und Gesamtgröße der heruntergeladenen Dateien.
Sie können diese Vorlage an Ihre Anforderungen anpassen. Es gibt viele verschiedene Möglichkeiten, wie Sie Power BI mit Datenflussprotokollen für Netzwerksicherheitsgruppen verwenden können.
Notizen
Protokolle werden standardmäßig unter
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/
gespeichert.- Falls noch andere Daten in einem anderen Verzeichnis vorhanden sind, müssen die Abfragen zum Abrufen und Verarbeiten der Daten geändert werden.
Es ist nicht zu empfehlen, die bereitgestellte Vorlage mit mehr als 1 GB an Protokollen zu verwenden.
Wenn Sie über eine größere Menge von Protokollen verfügen, raten wir Ihnen, die Verwendung einer Lösung mit einem anderen Datenspeicher wie Data Lake oder SQL Server zu prüfen.
Nächste Schritte
Informieren Sie sich unter Visualisieren von Azure Network Watcher-NSG-Datenflussprotokollen mit Open-Source-Tools darüber, wie Sie Ihre NSG-Datenflussprotokolle per Elastic Stack visualisieren.