我正在为 azure NSG 设置日志记录和监视,但有 2 个地方正在生成 NSG 日志,不确定两者之间的区别以及哪些日志提供了更有用的见解,我可以将其存储在存储帐户中以供以后分析
- 使用 Azure 网络观察程序设置 NSG 流日志以在存储帐户中存储 NetworkSecurityGroupFlowEvent 类别的日志
- 使用 NSG 资源中的诊断设置并启用所有日志类别:NetworkSecurityGroupEvents、NetworkSecurityGroupCounters?
问题是,如果 3 t(即 NSG 流日志、NSG 事件、NSG 规则计数器)之间存在差异,哪一个存储用于仪表板和安全警报目的会怎样?
引用:
最佳答案
#1
“网络安全组 (NSG) 流日志是 Azure 网络观察程序的一项功能,允许您记录有关流经 NSG 的 IP 流量的信息。流数据将发送到 Azure 存储帐户,您可以从其中访问它以及将其导出到您选择的任何可视化工具、SIEM 或 IDS。”
https://learn.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-overview#introduction
“流日志是云环境中所有网络事件的真实来源。”
“流日志在第 4 层运行,记录进出 NSG 的所有 IP 流。”
每个日志记录包含5元组信息流量决策和吞吐量信息,例如源IP、源端口、目的IP、目的端口等
“日志每隔1分钟收集一次”。
#2
“当您为 NSG 启用日志记录时,您可以收集以下类型的资源日志信息:
事件 - NetworkSecurityGroupEvents:根据 MAC 地址记录将 NSG 规则应用于虚拟机的条目。事件日志包含有关基于 MAC 地址将哪些 NSG 规则应用于虚拟机的信息。每个事件都会记录以下数据。规则计数器 - NetworkSecurityGroupCounters:包含应用每个 NSG 规则拒绝或允许流量的次数的条目。这些规则的状态每 300 秒收集一次。规则计数器日志包含有关应用于资源的每条规则的信息。”
https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-nsg-manage-log
现在您了解了 3 个日志之间的区别,然后您可以自己决定使用哪些日志。没有正确的答案,这实际上取决于您想要查看和处理日志的内容。
为您想要为其收集诊断数据的每个 NSG 单独启用资源日志记录。
如果您对流经 NSG 的 IP 流量感兴趣,请使用 Azure 网络观察器 NSG 流日志。
未记录通信的源 IP 地址。不过,您可以为 NSG 启用 NSG 流日志记录,这会记录所有规则计数器信息以及发起通信的源 IP 地址。 NSG 流日志数据写入 Azure 存储帐户。
关于azure - Azure NetworkSecurityGroupEvents 和 NetworkSecurityGroupFlowEvents 之间的区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75213897/