Мне удалось настроить журналы потоков NSG в Azure для одной из моих NSG, используя документацию MS: https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-overview
Я могу загрузить файлы JSON из учетной записи хранения и проверить их. Я также могу использовать панель мониторинга PowerBI и просматривать информацию, сгенерированную из журналов потоков. Я использовал модифицированную панель управления PowerBI от Sameeraman:
https://sameeraman.wordpress.com/2018/11/15/azure-network-troubleshooting-using-nsg-flow-logs-and-powerbi-part-2/
Теперь я хочу изменить панель мониторинга PowerBI таким образом, чтобы я мог просматривать количество байтов, отправленных и полученных с хостов или на них. Я могу это сделать, однако при настройке я заметил, что не весь трафик регистрируется.
Я использовал 2 метода для создания трафика с моей локальной машины на виртуальную машину Azure через Интернет в качестве теста. Я скопировал несколько больших файлов через RDP и создал связанный сервер на своем локальном экземпляре SQL Server с экземпляром SQL Server на виртуальной машине Azure и вставил набор данных в таблицы в тестовой базе данных. Теперь я не вижу трафика в журналах NSG, как ожидалось. Я ожидаю, что было много записей или по крайней мере 1 запись, в которой говорится, что было передано много байтов, но ничего из этого. Я вижу только одну запись в журнале NSG, но без отправленных байтов.
Например: "1641291993,x.x.x.x,10.0.2.4,54955,1433,T,I,A,B,,,,"
Вышеупомянутое состояние потока «Начало», и в любом журнале, следующем за этим, нет «C» для «Продолжить» или «E» для «Конца». Поэтому я подумал, что сеанс все еще может быть открыт, а затем он, вероятно, снова зарегистрирует одну запись с состоянием потока «Конец», указав общее количество байтов, отправленных для этого сеанса (поскольку отправленные байты накапливаются, обратитесь к документам ), например, когда я закрывал свою SQL Server Management Studio. Это не сработало.Последующих записей в журнале с определенного исходного IP-адреса не было. Вообще ничего.
Подводя итог, я создал журнал потоков NSG для конкретной NSG, который применяется к подсети конкретной виртуальной машины. Затем я сгенерировал сетевой трафик, скопировав большие файлы на виртуальную машину и вставив данные через SQL Server в таблицу базы данных на этой виртуальной машине с моей локальной рабочей станции. Затем я просмотрел записи журнала потоков NSG, но нашел только 1 запись для каждого действия (например, вставки sql), даже когда я закрыл свой сеанс (например, SSMS) для виртуальной машины.
Чтобы быть уверенным, я также создал отдельное правило в NSG для входящего и исходящего трафика, чтобы разрешить входящий и исходящий трафик этой виртуальной машины Azure через этот конкретный порт. Таким образом, пакеты, которые я отправляю с моей локальной машины, должны сопоставляться и регистрироваться в соответствии с этим правилом.
Итак, мне интересно, делаю ли я что-то не так или ведение журнала работает не так, как я ожидал?
Изменить 20220107: тем временем я также настраиваю анализ трафика в Azure. У меня точно так же показывает. Объем трафика не соответствует трафику, который я отправил или извлек с компьютера Azure на свой локальный компьютер.
Кроме того, кажется, что измеряемый трафик только между виртуальной машиной Azure и парой общедоступных IP-адресов Azure, так что это немного странно. По какой-то причине трафик между виртуальной машиной и моим домашним компьютером не отображается и не измеряется.
