Compartilhar via

Migrar dos logs de fluxo do grupo de segurança de rede para os logs de fluxo de rede virtual

  • Artigo

Importante

Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte dessa aposentadoria, você não poderá mais criar novos registros de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para registros de fluxo de rede virtual, que superam as limitações dos registros de fluxo do NSG. Após a data de aposentadoria, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada, e os recursos de logs de fluxo NSG existentes em suas assinaturas serão excluídos. No entanto, os registros de fluxo do NSG não serão excluídos e continuarão seguindo suas respectivas políticas de retenção. Para saber mais, confira o anúncio oficial.

Neste artigo, você aprenderá a migrar os logs de fluxo do grupo de segurança de rede existentes para logs de fluxo de rede virtual usando um script de migração. Os logs de fluxo de rede virtual superam algumas das limitações dos logs de fluxo do grupo de segurança de rede. Para obter mais informações, confira Logs de fluxo de rede virtual.

Observação

Use o script de migração:

  • quando você não tiver o registro em log de fluxo habilitado em todos os adaptadores de rede ou sub-redes em uma rede virtual e não quiser ativar o log de fluxo de rede virtual em todas elas, ou
  • quando os logs de fluxo do grupo de segurança de rede em uma rede virtual tiverem configurações diferentes e você quiser criar logs de fluxo de rede virtual com essas configurações diferentes como os logs de fluxo do grupo de segurança de rede.

Use a Política do Azure:

  • quando você tem o mesmo grupo de segurança de rede aplicado a todos os adaptadores de rede ou sub-redes em uma rede virtual,
  • quando você tiver as mesmas configurações de log de fluxo do grupo de segurança de rede para todos os adaptadores de rede ou sub-redes em uma rede virtual, ou
  • quando você quiser habilitar o registro em log do fluxo de rede virtual no nível da rede virtual.

Para obter mais informações, consulte Implantar e configurar logs de fluxo de rede virtual usando uma política interna.

Pré-requisitos

Gerar script de migração

Nesta seção, você aprenderá a gerar e baixar os arquivos de migração para os logs de fluxo do grupo de segurança de rede que quer migrar.

  1. Na caixa de pesquisa na parte superior do portal, insira Observador de Rede. Selecione Observador de Rede nos resultados da pesquisa.

    Captura de tela que mostra como pesquisar pelo Observador de Rede no portal do Azure.

  2. Em Logs, selecione Migrar logs de fluxo.

    Captura de tela mostrando a página de migração dos logs de fluxo do grupo de segurança de rede no portal do Azure.

  3. Selecione as assinaturas que contiverem os logs de fluxo do grupo de segurança de rede que você quer migrar.

  4. Para cada assinatura, selecione as regiões que contêm os logs de fluxo que você deseja migrar. O total de logs de fluxo NSG mostra o número total de logs de fluxo que estão nas assinaturas selecionadas. Os logs de fluxo NSG selecionados mostram o número de logs de fluxo nas regiões selecionadas.

  5. Depois de escolher as assinaturas e as regiões, selecione Baixar script e arquivo JSON para baixar os arquivos de migração como um arquivo zip.

    Captura de tela que mostra como gerar um script de migração no portal do Azure.

  6. Extraia o arquivo MigrateFlowLogs.zip em seu computador local. O arquivo zip contém estes dois arquivos:

    • um arquivo de script: MigrationFromNsgToAzureFlowLogging.ps1
    • um arquivo JSON: RegionSubscriptionConfig.json.

Executar script de migração

Nesta seção, você aprenderá a usar o arquivo de script baixado na seção anterior para migrar os logs de fluxo do grupo de segurança de rede.

Importante

Depois de começar a executar o script, você não deverá fazer nenhuma alteração na topologia nas regiões e assinaturas dos logs de fluxo que você está migrando.

  1. Execute o arquivo de script MigrationFromNsgToAzureFlowLogging.ps1.

  2. Insira 1 para a opção Executar análise.

    .\MigrationFromNsgToAzureFlowLogging.ps1

Select one of the following options for flowlog migration:
1. Run analysis
2. Delete NSG flowlogs
3. Quit

  3. Insira o nome do arquivo JSON.

    Please enter the path to scope selecting config file: .\RegionSubscriptionConfig.json

  4. Insira o número de threads ou deixe em branco para usar o valor padrão de 16.

    Please enter the number of threads you would like to use, press enter for using default value of 16:

    Após a conclusão da análise, você verá o relatório de análise na tela e em um arquivo HTML no mesmo diretório dos arquivos de migração. O relatório lista o número de logs de fluxo do grupo de segurança de rede que serão desabilitados e o número de logs de fluxo de rede virtual criados para substituí-los. O número de logs de fluxo de rede virtual que são criados depende do tipo de migração que você escolher. Por exemplo, se o grupo de segurança de rede para o qual você está migrando o log de fluxo estiver associado a três interfaces de rede na mesma rede virtual, você poderá escolher a migração com agregação para ter um único recurso de log de fluxo de rede virtual aplicado à rede virtual. Você também pode escolher migração sem agregação para ter três logs de fluxo de rede virtual (um recurso de log de fluxo de rede virtual por interface de rede).

    Observação

    Confira o arquivo AnalysisReport-<subscriptionId>-<region>-<time>.html para obter um relatório completo da análise que você executou. O arquivo está disponível no mesmo diretório do script.

  5. Insira 2 ou 3 para escolher o tipo de migração que você deseja executar.

    Select one of the following options for flowlog migration:
1. Re-Run analysis
2. Proceed with migration with aggregation
3. Proceed with migration without aggregation
4. Quit

  6. Depois de ver o resumo da migração na tela, você poderá cancelar a migração e reverter as alterações. Para aceitar e continuar com a migração, insira n, caso contrário, insira y. Depois de aceitar as alterações, você não poderá revertê-las.

    Do you want to rollback? You won't get the option to revert the actions done now again (y/n): n

    Observação

    Mantenha os arquivos de script e relatório de análise para referência no caso de encontrar algum problema com a migração.

  7. Verifique o portal do Azure para confirmar se o status dos logs de fluxo do grupo de segurança de rede que você migrou foi desabilitado. Verifique também os logs de fluxo de rede virtual recém-criados como um resultado do processo de migração.

    Captura de tela mostrando o log de fluxo de rede virtual recém-criado como resultado da migração do log de fluxo do grupo de segurança de rede.

  8. Adicione um filtro para listar apenas os logs de fluxo do grupo de segurança de rede das assinaturas e regiões escolhidas. Ignore essa etapa se tiver migrado apenas alguns logs de fluxo de grupo de segurança de rede.

    Captura de tela que mostra como usar um filtro para listar apenas os logs de fluxo do grupo de segurança de rede.

  9. Selecione os logs de fluxo que quer excluir e selecione Excluir

    Captura de tela que mostra como selecionar e excluir os logs de fluxo do grupo de segurança de rede migrado.

  10. Insira excluir e selecione Excluir para confirmar a exclusão.

    Captura de tela que mostra como confirmar a exclusão de logs de fluxo migrados.

Considerações

  • Conjunto de dimensionamento com um balanceador de carga: O script de migração habilita o registro em log do fluxo de rede virtual na sub-rede que tem as máquinas virtuais do conjunto de dimensionamento.

    Observação

    Se o registro em log do fluxo do grupo de segurança de rede não estiver habilitado em todos os adaptadores de rede do conjunto de dimensionamento ou se os adaptadores de rede não compartilharem o mesmo log de fluxo do grupo de segurança de rede, um log do fluxo de rede virtual será criado na sub-rede com as mesmas configurações de um dos adaptadores de rede do conjunto de dimensionamento.

  • PaaS: O script de migração não dá suporte a ambientes com soluções PaaS que têm logs de fluxo de grupo de segurança de rede na assinatura de um usuário, mas os recursos de destino estão em assinaturas diferentes. Para esses ambientes, você deve habilitar manualmente o registro em log do fluxo de rede virtual na rede ou sub-rede virtual da solução PaaS.

Conteúdo relacionado