Freigeben über

Migrieren von NSG-Datenflussprotokollen (Netzwerksicherheitsgruppe) zu VNet-Datenflussprotokollen

  • Artikel

Wichtig

Am 30. September 2027 werden NSG-Datenflussprotokolle (Netzwerksicherheitsgruppe) eingestellt. Aufgrund dieser Einstellung können Sie ab dem 30. Juni 2025 keine neuen NSG-Datenflussprotokolle mehr erstellen. Es wird empfohlen, zu Datenflussprotokollen für virtuelle Netzwerke zu migrieren, bei denen die Einschränkungen von NSG-Datenflussprotokollen nicht gelten. Nach dem Einstellungsdatum wird die Aktivierung der Datenverkehrsanalyse mit NSG-Datenflussprotokollen nicht mehr unterstützt, und vorhandene Ressourcen für NSG-Datenflussprotokolle in Ihren Abonnements werden gelöscht. NSG-Datenflussprotokolle werden jedoch nicht gelöscht, und es gelten weiterhin die jeweiligen Aufbewahrungsrichtlinien. Weitere Informationen finden Sie in der offiziellen Ankündigung.

In diesem Artikel erfahren Sie, wie Sie Ihre vorhandenen NSG-Datenflussprotokolle (Netzwerksicherheitsgruppe) mithilfe eines Migrationsskripts zu VNet-Datenflussprotokollen migrieren. Bei VNet-Datenflussprotokollen gelten einige der Einschränkungen von NSG-Datenflussprotokollen nicht. Weitere Informationen finden Sie unter Datenflussprotokolle von virtuellen Netzwerken.

Hinweis

Verwenden Sie das Migrationsskript:

  • wenn die Datenflussprotokollierung nicht für alle Netzwerkschnittstellen oder Subnetze in einem virtuellen Netzwerk aktiviert ist und Sie die VNet-Datenflussprotokollierung nicht für alle aktivieren möchten, oder
  • wenn die Datenflussprotokolle Ihrer Netzwerksicherheitsgruppen in einem virtuellen Netzwerk unterschiedliche Konfigurationen aufweisen und Sie VNet-Datenflussprotokolle mit diesen verschiedenen Konfigurationen als Datenflussprotokolle der Netzwerksicherheitsgruppen erstellen möchten.

Verwenden Sie Azure Policy:

  • wenn Sie dieselbe Netzwerksicherheitsgruppe auf alle Netzwerkschnittstellen oder Subnetze in einem virtuellen Netzwerk angewandt haben,
  • wenn Sie über identische Konfigurationen für die Datenflussprotokolle der Netzwerksicherheitsgruppen für alle Netzwerkschnittstellen oder Subnetze in einem virtuellen Netzwerk verfügen, oder
  • wenn Sie die Datenflussprotokollierung im virtuellen Netzwerk auf der Ebene des virtuellen Netzwerks aktivieren möchten.

Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren von VNet-Datenflussprotokollen mithilfe einer integrierten Richtlinie.

Voraussetzungen

Generieren eines Migrationsskripts

In diesem Abschnitt erfahren Sie, wie Sie die Migrationsdateien für die NSG-Datenflussprotokolle, die Sie migrieren möchten, generieren und herunterladen.

  1. Geben Sie im Suchfeld oben im Portal Network Watcher ein. Wählen Sie Network Watcher aus den Suchergebnissen aus.

    Screenshot, der zeigt, wie Sie im Azure-Portal nach Network Watcher suchen.

  2. Wählen Sie unter Protokolle die Option Datenflussprotokolle migrieren aus.

    Screenshot: Seite für die Migration von NSG-Datenflussprotokollen im Azure-Portal

  3. Wählen Sie die Abonnements aus, die die NSG-Datenflussprotokolle enthalten, die Sie migrieren möchten.

  4. Wählen Sie für jedes Abonnement die Regionen mit den zu migrierenden Datenflussprotokollen aus. NSG-Datenflussprotokolle insgesamt enthält die Gesamtanzahl der Datenflussprotokolle, die sich in den ausgewählten Abonnements befinden. Unter Ausgewählte NSG-Datenflussprotokolle wird die Anzahl der Datenflussprotokolle in den ausgewählten Regionen angezeigt.

  5. Nachdem Sie die Abonnements und Regionen ausgewählt haben, wählen Sie Skript und JSON-Datei herunterladen aus, um die Migrationsdateien als ZIP-Datei herunterzuladen.

    Screenshot: Generieren eines Migrationsskripts im Azure-Portal

  6. Extrahieren Sie die Datei MigrateFlowLogs.zip auf dem lokalen Computer. Die ZIP-Datei enthält die beiden folgenden Dateien:

    • Eine Skriptdatei: MigrationFromNsgToAzureFlowLogging.ps1
    • Eine JSON-Datei: RegionSubscriptionConfig.json

Ausführen des Migrationsskripts

In diesem Abschnitt erfahren Sie, wie Sie die im vorherigen Abschnitt heruntergeladene Skriptdatei verwenden, um Ihre NSG-Datenflussprotokolle zu migrieren.

Wichtig

Nachdem Sie die Ausführung des Skripts gestartet haben, sollten Sie keine Änderungen an der Topologie in den Regionen und Abonnements der zu migrierenden Datenflussprotokolle vornehmen.

  1. Führen Sie die Skriptdatei MigrationFromNsgToAzureFlowLogging.ps1 aus.

  2. Geben Sie 1 für die Option Analyse ausführen ein.

    .\MigrationFromNsgToAzureFlowLogging.ps1

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit

  3. Geben Sie den JSON-Dateinamen ein.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json

  4. Geben Sie die Anzahl der Threads ein, oder lassen Sie dieses Feld leer, um den Standardwert 16 zu verwenden.

    Please enter the number of threads you would like to use, press enter for using default value of 16:

    Nach Abschluss der Analyse wird der Analysebericht auf dem Bildschirm und in einer HTML-Datei im selben Verzeichnis wie die Migrationsdateien angezeigt. Der Bericht enthält die Anzahl von NSG-Datenflussprotokollen, die deaktiviert werden, und die Anzahl von VNet-Datenflussprotokollen, die erstellt werden, um die deaktivierten Datenflussprotokolle zu ersetzen. Die Anzahl erstellter VNet-Datenflussprotokolle hängt vom ausgewählten Migrationstyp ab. Wenn beispielsweise die Netzwerksicherheitsgruppe, deren Datenflussprotokolle Sie migrieren, drei Netzwerkschnittstellen im gleichen virtuellen Netzwerk zugeordnet ist, können Sie Migration mit Aggregation auswählen, um eine einzelne VNet-Datenflussprotokollressource auf das virtuelle Netzwerk anzuwenden. Sie können auch Migration ohne Aggregation auswählen, um drei VNet-Datenflussprotokolle zu erhalten (jeweils eine VNet-Datenflussprotokollressource pro Netzwerkschnittstelle).

    Hinweis

    Eine vollständige Übersicht über die von Ihnen ausgeführte Analyse finden Sie in der Datei AnalysisReport-<subscriptionId>-<region>-<time>.html. Die Datei befindet sich im selben Verzeichnis wie das Skript.

  5. Geben Sie 2 oder 3 ein, um den gewünschten Migrationstyp auszuwählen.

    Select one of the following options for flowlog migration:
1. Re-Run analysis
2. Proceed with migration with aggregation
3. Proceed with migration without aggregation
4. Quit

  6. Nachdem die Zusammenfassung der Migration auf dem Bildschirm angezeigt wurde, können Sie die Migration abbrechen und Änderungen zurücksetzen. Wenn Sie die Migration übernehmen und fortsetzen möchten, geben Sie n ein, andernfalls geben Sie y ein. Nachdem Sie die Änderungen akzeptiert haben, können Sie sie nicht mehr rückgängig machen.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

    Hinweis

    Bewahren Sie die Skript- und Analyseberichtsdateien als Referenz für den Fall auf, dass Sie Probleme mit der Migration haben.

  7. Vergewissern Sie sich im Azure-Portal, dass sich der Status der NSG-Datenflussprotokolle, die Sie migriert haben, in „Deaktiviert“ geändert hat. Überprüfen Sie auch die VNet-Datenflussprotokolle, die infolge des Migrationsprozesses neu erstellt wurden.

    Screenshot: Neu erstelltes VNet-Datenflussprotokoll aufgrund der Migration vom NSG-Datenflussprotokoll

  8. Fügen Sie einen Filter hinzu, um nur NSG-Datenflussprotokolle aus den von Ihnen ausgewählten Abonnements und Regionen aufzulisten. Sie können diesen Schritt überspringen, wenn Sie nur einige wenige NSG-Datenflussprotokolle migriert haben.

    Screenshot: Verwenden eines Filters, um nur NSG-Datenflussprotokolle anzuzeigen

  9. Wählen Sie die zu löschenden Datenflussprotokolle und anschließend Löschen aus.

    Screenshot: Auswählen und Löschen der migrierten NSG-Datenflussprotokolle

  10. Geben Sie löschen ein, und wählen Sie anschließend Löschen aus, um den Löschvorgang zu bestätigen.

    Screenshot: Bestätigen der Löschung migrierter Datenflussprotokolle

Überlegungen

  • Skalierungsgruppe mit Lastenausgleich: Das Migrationsskript ermöglicht die Datenflussprotokollierung im virtuellen Netzwerk in dem Subnetz mit den VMs der Skalierungsgruppe.

    Hinweis

    Wenn die Datenflussprotokollierung der Netzwerksicherheitsgruppe nicht für alle Netzwerkschnittstellen der Skalierungsgruppe aktiviert ist oder die Netzwerkschnittstellen nicht dasselbe Datenflussprotokoll für Netzwerksicherheitsgruppen verwenden, wird im Subnetz ein VNet-Datenflussprotokoll mit den gleichen Konfigurationen wie eine der Netzwerkschnittstellen der Skalierungsgruppe erstellt.

  • PaaS: Das Migrationsskript unterstützt keine Umgebungen mit PaaS-Lösungen, die über Datenflussprotokolle für Netzwerksicherheitsgruppen in einem Benutzerabonnement verfügen, wenn sich die Zielressourcen in verschiedenen Abonnements befinden. Für solche Umgebungen sollten Sie die VNet-Datenflussprotokollierung im virtuellen Netzwerk oder Subnetz der PaaS-Lösung manuell aktivieren.

Zugehöriger Inhalt