Eseguire la migrazione dai log dei flussi del gruppo di sicurezza di rete ai log dei flussi di rete virtuale

Questo articolo illustra come eseguire la migrazione dei log dei flussi dei gruppi di sicurezza di rete esistenti ai log dei flussi di rete virtuale usando uno script di migrazione. I log dei flussi di rete virtuale superano alcune delle limitazioni dei Log dei flussi dei gruppi di sicurezza di rete. Per altre informazioni, vedere Log dei flussi della rete virtuale.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• PowerShell installato nel computer. Per altre informazioni, vedere Installare PowerShell in Windows, Linux e macOS. In questo articolo si presuppone che il modulo Azure PowerShell sia disponibile. Per altre informazioni, vedere Installare Azure PowerShell. Per trovare la versione installata, eseguire Get-Module -ListAvailable Az.

• Autorizzazioni di controllo degli accessi in base al ruolo necessarie per le sottoscrizioni dei log di flusso e delle aree di lavoro Log Analytics (se l'analisi del traffico è abilitata per uno dei log dei flussi del gruppo di sicurezza di rete). Per altre informazioni, vedere autorizzazioni di Network Watcher.

• Log del flusso del gruppo di sicurezza di rete in un'area o più. Per altre informazioni, vedere Creare log dei flussi del gruppo di sicurezza di rete.

Generare uno script di migrazione

In questa sezione viene illustrato come generare e scaricare i file di migrazione per i log dei flussi del gruppo di sicurezza di rete di cui si vuole eseguire la migrazione.

1. Nella casella di ricerca nella parte superiore del portale immettere network watcher. Nei risultati della ricerca selezionare Network Watcher.

   

2. In Log selezionare Eseguire la migrazione dei log dei flussi.

   

3. Selezionare le sottoscrizioni che contengono i log dei flussi del gruppo di sicurezza di rete di cui si vuole eseguire la migrazione.

4. Per ogni sottoscrizione, selezionare le aree che contengono i log dei flussi di cui si vuole eseguire la migrazione. I log dei flussi del gruppo di sicurezza di rete totali mostrano il numero totale di log dei flussi presenti nelle sottoscrizioni selezionate. I log dei flussi del gruppo di sicurezza di rete selezionati mostrano il numero di log dei flussi nelle aree selezionate.

5. Dopo aver scelto le sottoscrizioni e le aree, selezionare Scarica script e file JSON per scaricare i file di migrazione come file ZIP.

   

6. Estrarre il file MigrateFlowLogs.zip nel computer locale. Il file ZIP contiene questi due file:

   • un file di script: MigrationFromNsgToAzureFlowLogging.ps1
   • un file JSON: RegionSubscriptionConfig.json.

Eseguire lo script di migrazione

In questa sezione viene illustrato come usare il file di script scaricato nella sezione precedente per eseguire la migrazione dei log dei flussi del gruppo di sicurezza di rete.

1. Eseguire il file di script MigrationFromNsgToAzureFlowLogging.ps1.

2. Immettere 1 per l'opzione Esegui analisi.

   .\MigrationFromNsgToAzureFlowLogging.ps1
   
   Select one of the following options for flowlog migration:
   1. Run analysis
   2. Delete NSG flowlogs
   3. Quit
   

3. Immettere il nome del file JSON.

   Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json
   

4. Immettere il numero di thread o lasciare vuoto per usare il valore predefinito 16.

   Please enter the number of threads you would like to use, press enter for using default value of 16:    
   

   Al termine dell'analisi, verrà visualizzato il report di analisi sullo schermo e in un file HTML nella stessa directory dei file di migrazione. Il report elenca il numero di log dei flussi del gruppo di sicurezza di rete che verranno disabilitati e il numero di log dei flussi di rete virtuale creati per sostituirli. Il numero di log del flusso di rete virtuale creati dipende dal tipo di migrazione scelto. Ad esempio, se il gruppo di sicurezza di rete di cui si esegue la migrazione è associato a tre interfacce di rete nella stessa rete virtuale, è possibile scegliere la migrazione con aggregazione per avere una singola risorsa di log del flusso di rete virtuale applicata alla rete virtuale. È anche possibile scegliere la migrazione senza aggregazione per avere tre log del flusso di rete virtuale (una risorsa log del flusso di rete virtuale per ogni interfaccia di rete).

   Nota

   Vedere il file AnalysisReport-<subscriptionId>-<region>-<time>.html per un report completo dell'analisi eseguita. Il file è disponibile nella stessa directory dello script.

5. Immettere 2 o 3 per scegliere il tipo di migrazione da eseguire.

   Select one of the following options for flowlog migration:
   1. Re-Run analysis
   2. Proceed with migration with aggregation
   3. Proceed with migration without aggregation
   4. Quit
   

6. Dopo aver visualizzato il riepilogo della migrazione sullo schermo, è possibile annullare la migrazione e ripristinare le modifiche. Per accettare e procedere con la migrazione immettere n, in caso contrario immettere y. Dopo aver accettato le modifiche, non è possibile ripristinarle.

   Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n
   

   Nota

   Mantenere i file di report di script e analisi per riferimento nel caso in cui si siano riscontrati problemi con la migrazione.

7. Controllare il portale di Azure per verificare che lo stato dei log dei flussi del gruppo di sicurezza di rete di cui è stata eseguita la migrazione sia diventato disabilitato. Controllare anche i log dei flussi di rete virtuale appena creati in seguito al processo di migrazione.

   

8. Aggiungere un filtro per elencare solo i log dei flussi dei gruppi di sicurezza di rete dalle sottoscrizioni e dalle aree scelte. È possibile ignorare questo passaggio se è stata eseguita la migrazione di pochi log dei flussi del gruppo di sicurezza di rete.

   

9. Selezionare i log dei flussi da eliminare e quindi selezionare Elimina

   

10. Immettere elimina e quindi selezionare Elimina per confermare l'eliminazione.

    

Considerazioni

• Set di scalabilità con un servizio di bilanciamento del carico: lo script di migrazione abilita la registrazione del flusso di rete virtuale nella subnet con le macchine virtuali del set di scalabilità.

  Nota

  Se la registrazione del flusso del gruppo di sicurezza di rete non è abilitata in tutte le interfacce di rete del set di scalabilità o le interfacce di rete non condividono lo stesso log del flusso del gruppo di sicurezza di rete, viene creato un log del flusso di rete virtuale nella subnet con le stesse configurazioni di una delle interfacce di rete del set di scalabilità.

• PaaS: lo script di migrazione non supporta gli ambienti con soluzioni PaaS con log del flusso del gruppo di sicurezza di rete nella sottoscrizione di un utente, ma le risorse di destinazione si trovano in sottoscrizioni diverse. Per questi ambienti, è necessario abilitare manualmente la registrazione del flusso di rete virtuale nella rete virtuale o nella subnet della soluzione PaaS.

Contenuto correlato

• Log dei flussi del gruppo di sicurezza di rete
• Log dei flussi della rete virtuale
• Gestire i log dei flussi di rete virtuale con Criteri di Azure