Dela via

Självstudie: Logga nätverkstrafik till och från ett virtuellt nätverk med hjälp av Azure-portalen

Flödesloggning för virtuella nätverk är en funktion i Azure Network Watcher som gör att du kan logga information om IP-trafik som flödar via ett virtuellt Azure-nätverk. Mer information om flödesloggning för virtuella nätverk finns i Flödesloggar för virtuella nätverk.

Den här självstudien hjälper dig att använda VNet-flödesloggar för att logga en virtuell dators nätverkstrafik som flödar genom det virtuella nätverket.

Diagrammet visar de resurser som skapades under självstudien.

I den här tutorialen lär du dig följande:

  • Skapa ett virtuellt nätverk
  • Skapa en virtuell dator
  • Registrera Microsoft.insights-provider
  • Aktivera flödesloggning för ett virtuellt nätverk med hjälp av Network Watcher-flödesloggar
  • Ladda ned loggdata
  • Visa loggad data

Förutsättningar

Skapa ett virtuellt nätverk

I det här avsnittet skapar du ett virtuellt myVNet-nätverk med ett undernät för den virtuella datorn.

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du virtuella nätverk. Välj Virtuella nätverk i sökresultaten.

    Skärmbild som visar hur du söker efter virtuella nätverk i Azure Portal.

  3. Välj + Skapa. I Skapa virtuellt nätverk anger eller väljer du följande värden på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj Skapa ny.
    Ange myResourceGroup i Namn.
    Välj OK.
    Instansinformation
    Namn Ange myVNet.
    Region Välj (USA) USA, östra.

  4. Välj Förhandsgranska + skapa.

  5. Granska inställningarna och välj sedan Skapa.

Skapa en virtuell dator

I det här avsnittet skapar du den virtuella datorn myVM .

  1. I sökrutan överst i portalen anger du virtuella datorer. Välj Virtuella datorer i sökresultaten.

  2. Välj + Skapa och välj sedan Virtuell dator.

  3. I Skapa en virtuell dator anger eller väljer du följande värden på fliken Grundläggande :

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Namn på virtuell maskin Ange myVM.
    Region Välj (USA) USA, östra.
    Tillgänglighetsalternativ Välj Ingen infrastrukturredundans krävs.
    Säkerhetstyp Välj Standard.
    Bild Välj den bild som du föredrar. I den här självstudien används Windows Server 2022 Datacenter: Azure Edition – x64 Gen2.
    Storlek Välj en VM-storlek eller lämna standardinställningen.
    Administratörskonto
    Användarnamn Ange ett användarnamn.
    Lösenord Ange ett lösenord.
    Bekräfta lösenord Ange lösenordet igen.

  4. Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.

  5. På fliken Nätverk väljer du följande värden:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVNet.
    Subnät Välj mySubnet.
    Offentlig IP-adress Välj (ny) myVM-ip.
    NIC-nätverkssäkerhetsgrupp Välj Grundläggande.
    Offentliga inkommande portar Välj Tillåt valda portar.
    Välj inkommande portar Välj RDP (3389).

    Försiktighet

    Att lämna RDP-porten öppen för Internet rekommenderas endast för testning. För produktionsmiljöer rekommenderar vi att du begränsar åtkomsten till RDP-porten till en specifik IP-adress eller ett visst IP-adressintervall. Du kan också blockera Internetåtkomst till RDP-porten och använda Azure Bastion för att ansluta på ett säkert sätt till den virtuella datorn från Azure Portal.

  6. Välj Förhandsgranska + skapa.

  7. Granska inställningarna och välj sedan Skapa.

  8. När distributionen är klar väljer du Gå till resurs för att gå till översiktssidan för myVM.

  9. Välj Anslut och välj sedan RDP.

  10. Välj Ladda ned RDP-fil och öppna den nedladdade filen.

  11. Välj Anslut och ange sedan det användarnamn och lösenord som du skapade i föregående steg. Acceptera certifikatet om du uppmanas att göra det.

Registrera Insights-providern

Flödesloggning kräver Microsoft.Insights-providern . Följ dessa steg för att kontrollera dess status:

  1. I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultaten.

  2. Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.

  3. Under Inställningar väljer du Resursprovidrar.

  4. Ange insikt i filterrutan.

  5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.

    Skärmbild som visar hur du registrerar Microsoft Insights-providern i Azure-portalen.

Skapa ett lagringskonto

I det här avsnittet skapar du ett lagringskonto för att använda det för att lagra flödesloggarna.

  1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultaten.

  2. Välj + Skapa. I Skapa ett lagringskonto anger eller väljer du följande värden på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Lagringskontonamn Ange ett unikt namn. I den här självstudien används nwteststorageaccount.
    Region Välj (USA) USA, östra. Lagringskontot måste finnas i samma region som den virtuella datorn och dess nätverkssäkerhetsgrupp.
    Primär tjänst Välj Azure Blob Storage eller Azure Data Lake Storage Gen 2.
    Prestanda Välj Standard. Flödesloggar stöder endast lagringskonton på standardnivå.
    Redundans Välj den redundans du föredrar. I den här självstudien används lokalt redundant lagring (LRS).

  3. Välj fliken Granska eller välj knappen Granska längst ned.

  4. Granska inställningarna och välj sedan Skapa.

Skapa en flödeslogg

I det här avsnittet skapar du en flödeslogg för virtuellt nätverk som sparas i lagringskontot som skapades tidigare i självstudien.

  1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

  2. Under Loggar väljer du Flödesloggar.

  3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

    Skärmbild av Network Watcher-flödesloggar i Azure Portal.

  4. Ange eller välj följande värden i Skapa en flödeslogg:

    Inställning Värde
    Projektinformation
    Prenumeration Välj den Azure-prenumeration för din nätverkssäkerhetsgrupp som du vill logga.
    Typ av flödeslogg Välj virtuellt nätverk.
    Virtuellt nätverk Välj + Välj målresurs.
    I Välj virtuellt nätverk väljer du myVNet. Sedan, välj Bekräfta markering.
    Namn på flödeslogg Lämna standardvärdet myVNet-myresourcegroup-flowlog.
    Instansinformation
    Prenumeration Välj Azure-prenumerationen för ditt lagringskonto.
    Lagringskonton Välj det lagringskonto som du skapade i föregående steg.
    Retentionstid (dagar) Ange 10 för att behålla flödesloggdata i lagringskontot i 10 dagar. Om du vill behålla flödesloggdata på lagringskontot för alltid (tills du tar bort dem) anger du 0. Information om lagringspriser finns i Priser för Azure Storage.

    Skärmbild av skapa en flödesloggsida i Azure-portalen.

    Anmärkning

    Azure-portalen skapar flödesloggar för virtuella nätverk i resursgruppen NetworkWatcherRG .

  5. Välj Förhandsgranska + skapa.

  6. Granska inställningarna och välj sedan Skapa.

  7. När distributionen är klar väljer du Gå till resurs för att bekräfta flödesloggen som skapats och listats på sidan Flödesloggar .

    Skärmbild av sidan Flödesloggar i Azure Portal som visar den nyligen skapade flödesloggen.

  8. Gå tillbaka till RDP-sessionen med den virtuella datorn myVM.

  9. Öppna Microsoft Edge och gå till www.bing.com.

Ladda ned flödesloggen

I det här avsnittet går du till lagringskontot som du valde tidigare och laddar ned flödesloggen som skapades i föregående avsnitt.

  1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultaten.

  2. Välj nwteststorageaccount eller det lagringskonto som du skapade tidigare och valt för att lagra loggarna.

  3. Under Datalagring väljer du Containrar.

  4. Välj containern insights-logs-flowlogflowevent .

  5. I containern navigerar du i mapphierarkin tills du kommer till den PT1H.json fil som du vill ladda ned. Flödesloggfiler för virtuella nätverk följer följande sökväg::

    https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

  6. Välj ellipsen ... till höger om PT1H.json-filen och välj sedan Ladda ned.

    Skärmbild som visar hur du laddar ned flödesloggdata för virtuella nätverk från lagringskontot i Azure-portalen.

Anmärkning

Du kan använda Azure Storage Explorer för att komma åt och ladda ned flödesloggar från ditt lagringskonto. Mer information finns i Kom igång med Storage Explorer.

Visa flödesloggen

Öppna den nedladdade PT1H.json filen med valfri textredigerare. Följande exempel är ett avsnitt som hämtats från den nedladdade PT1H.json filen, som visar ett flöde som bearbetas av regeln DefaultRule_AllowInternetOutBound.

{
    "time": "2025-08-06T20:39:33.3186341Z",
    "flowLogGUID": "00000000-0000-0000-0000-000000000000",
    "macAddress": "6045BDD6DD48",
    "category": "FlowLogFlowEvent",
    "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e//RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS/FLOWLOGS/MYVNET-MYRESOURCEGROUP-FLOWLOG",
	"flowLogVersion": 4,
    "operationName": "FlowLogFlowEvent",
    "flowRecords": {
        "flows": [
            {
				"aclID": "00000000-0000-0000-0000-000000000000",
				"flowGroups": [
					{
                        "rule": "DefaultRule_AllowInternetOutBound",
                        "flowTuples": [
                            "1754512773,10.0.0.4,13.107.21.200,49982,443,6,O,C,NX,7,1158,12,8143"                            
                        ]
                    }
                ]
            }
        ]
    }
}

Kommaavgränsad information för flowTuples är följande:

Exempeldata Vad data representerar Förklaring
1754512773 Tidstämpel Tidsstämpeln för när flödet inträffade i UNIX EPOCH-format. I föregående exempel konverteras datumet till 06 augusti 2025 08:39:33 UTC/GMT.
10.0.0.4 Källans IP-adress Käll-IP-adressen som flödet kom från. 10.0.0.4 är den privata IP-adressen för den virtuella dator som du skapade tidigare.
13.107.21.200 Mål-IP-adress Mål-IP-adressen som flödet var avsett för. 13.107.21.200 är IP-adressen av www.bing.com. Eftersom trafiken är avsedd utanför Azure, bearbetades flödet av säkerhetsregeln DefaultRule_AllowInternetOutBound.
49982 Ursprungsport Källporten som flödet utgick ifrån.
443 Målport Målporten som flödet skickades till.
6 Protokoll Layer 4-protokollet för flödet i tilldelade IANA-värden: 6: TCP.
O Riktning Flödets riktning. O: Utgående.
C Flödestillstånd Flödets tillstånd. C: Fortsätter (Continuing) för en pågående flöde.
NX Flödeskryptering Anslutningen är okrypterad.
7 Skickade paket Det totala antalet TCP-paket som skickats till målet sedan den senaste uppdateringen.
1158 Byte skickade Det totala antalet TCP-paketbyte som skickats från källa till mål sedan den senaste uppdateringen. Paketbytesen inkluderar paketets huvud och nyttolast.
12 Mottagna paket Det totala antalet TCP-paket som tagits emot från målet sedan den senaste uppdateringen.
8143 Mottagna bytes Det totala antalet TCP-paketbyte som tagits emot från målet sedan den senaste uppdateringen. Paketbytesen omfattar paketets huvud och nyttolast.

Rensa resurser

Ta bort resursgruppen myResourceGroup och alla resurser som den innehåller när den inte längre behövs:

  1. I sökrutan högst upp i portalen skriver du myResourceGroup. Välj myResourceGroup från sökresultaten.

  2. Välj Ta bort resursgrupp.

  3. I Ta bort en resursgrupp, skriv in myResourceGroup, och välj sedan Ta bort.

  4. Välj Ta bort för att bekräfta borttagningen av resursgruppen och alla dess resurser.

Anmärkning

Resursen NetworkWatcher_eastus/myVNet-myresourcegroup-flowlog finns i resursgruppen NetworkWatcherRG , men den tas bort när du har tagit bort det virtuella nätverket myVNet (genom att ta bort resursgruppen myResourceGroup ).

Relaterat innehåll