Am reușit să configurez Jurnalele de flux NSG în Azure pentru unul dintre NSG-urile mele folosind documentația MS: https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-overview
Pot descărca fișierele JSON din contul de stocare și le pot inspecta. De asemenea, pot folosi tabloul de bord PowerBI și pot vedea informațiile generate din jurnalele de flux. Am folosit tabloul de bord PowerBI modificat de la Sameeraman:
https://sameeraman.wordpress.com/2018/11/15/azure-network-troubleshooting-using-nsg-flow-logs-and-powerbi-part-2/
Acum vreau să modific tabloul de bord PowerBI în așa fel încât să pot vedea cantitatea de octeți trimiși și primiți de la sau către gazde. Sunt capabil să fac acest lucru, totuși, când îl configurez, am observat că nu tot traficul pare să fie înregistrat.
Am folosit 2 metode pentru a genera trafic de la mașina mea locală către VM-ul azure prin internet ca test. Am copiat mai multe fișiere mari prin RDP și am creat un server conectat pe instanța mea locală SQL Server la instanța SQL Server pe VM-ul Azure și am inserat o grămadă de date în tabele dintr-o bază de date de testare acolo. Acum, nu văd traficul în jurnalele NSG așa cum m-aș aștepta. M-aș aștepta să existe o mulțime de intrări sau cel puțin o intrare care afirmă că au fost transferați o mulțime de octeți, dar nimic din toate acestea. Văd doar o singură intrare în jurnalul NSG, dar fără octeți trimiși.
De exemplu: „1641291993,x.x.x.x,10.0.2.4,54955,1433,T,I,A,B,,,,”
Cel de mai sus este starea fluxului „Început” și nu există „C” pentru „Continuare” sau „E” pentru „Sfârșit” în niciun jurnal care urmează acestuia. Așa că mă gândeam că sesiunea ar putea fi încă deschisă și apoi probabil că va înregistra din nou o intrare cu starea fluxului „Sfârșit”, menționând cantitatea totală de octeți trimiși pentru acea sesiune (deoarece octeții trimiși sunt cumulativi, consultați documentele). ), când mi-am închis SQL Server Management Studio, de exemplu. Acest lucru nu părea să funcționeze.Nu au existat intrări ulterioare de jurnal de la IP-ul sursă special. Nimic.
Așadar, pentru a rezuma, am creat un Jurnal de flux NSG pentru un anumit NSG care este aplicat subrețelei unei anumite VM. Apoi am generat trafic de rețea prin copierea fișierelor mari pe VM și am inserat date prin SQL Server într-un tabel dintr-o bază de date pe acel VM de la stația mea de lucru locală. Apoi m-am uitat la intrările din jurnalul de flux NSG, dar am găsit doar o intrare pentru fiecare acțiune (de exemplu, inserările sql), chiar și atunci când mi-am închis sesiunea (de exemplu, SSMS) la VM.
Pentru a fi sigur, am creat și o regulă separată în NSG pentru intrare și ieșire pentru a permite traficul către și dinspre această VM Azure pe acel port anume. În acest fel, pachetele pe care le trimit de la mașina mea locală ar trebui să fie asociate și înregistrate în conformitate cu această regulă.
Deci mă întreb dacă fac ceva greșit aici sau dacă înregistrarea funcționează diferit de așteptările mele?
Edit 20220107: Între timp am configurat și Analiza traficului în Azure. Imi arata exact la fel. Cantitatea de trafic nu corespunde cu traficul pe care l-am trimis sau extras din mașina Azure către computerul meu local.
De asemenea, se pare că traficul măsurat este doar între VM-ul Azure și câteva IP-uri publice Azure, așa că este cam ciudat. Din anumite motive, se pare că traficul dintre VM și computerul meu de acasă nu este afișat sau măsurat.
