Skapa, ändra, aktivera, inaktivera eller ta bort virtuella nätverksflödesloggar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.

• Insiktsleverantör. Mer information finns i Register Insights-providern.

• Ett virtuellt nätverk. Om du behöver skapa ett virtuellt nätverk kan du läsa Skapa ett virtuellt nätverk med hjälp av Azure-portalen.

• Ett Azure-lagringskonto. Om du behöver skapa ett lagringskonto kan du läsa Skapa ett lagringskonto med hjälp av Azure-portalen.

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.

• Insiktsleverantör. Mer information finns i Register Insights-providern.

• Ett virtuellt nätverk. Om du behöver skapa ett virtuellt nätverk kan du läsa Skapa ett virtuellt nätverk med PowerShell.

• Ett Azure-lagringskonto. Om du behöver skapa ett lagringskonto kan du läsa Skapa ett lagringskonto med PowerShell.

• Azure Cloud Shell eller Azure PowerShell.

  Stegen i den här artikeln kör Azure PowerShell-cmdletarna interaktivt i Azure Cloud Shell. Om du vill köra cmdletarna i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra sedan in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure PowerShell lokalt för att köra cmdletarna. Den här artikeln kräver Azure PowerShell version 7.4.0 eller senare. Kör Get-Module -ListAvailable Az för att hitta den installerade versionen. Om du kör PowerShell lokalt loggar du in på Azure med hjälp av cmdleten Connect-AzAccount .

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.

• Insiktsleverantör. Mer information finns i Register Insights-providern.

• Ett virtuellt nätverk. Om du behöver skapa ett virtuellt nätverk kan du läsa Skapa ett virtuellt nätverk med Hjälp av Azure CLI.

• Ett Azure-lagringskonto. Om du behöver skapa ett lagringskonto kan du läsa Skapa ett lagringskonto med hjälp av Azure CLI.

• Azure Cloud Shell eller Azure CLI.

  Stegen i den här artikeln kör Azure CLI-kommandona interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure CLI lokalt för att köra kommandona. Den här artikeln kräver Azure CLI version 2.39.0 eller senare. Kör kommandot az --version för att hitta den installerade versionen. Om du kör Azure CLI lokalt loggar du in på Azure med kommandot az login .

Microsoft.Insights-providern måste vara registrerad för att kunna logga trafik som flödar via ett virtuellt nätverk. Om du inte är säker på om Microsoft.Insights-providern är registrerad kontrollerar du dess status i Azure-portalen genom att följa dessa steg:

1. I sökrutan överst i portalen anger du prenumerationer. Välj Prenumerationer i sökresultaten.

   

2. Välj den Azure-prenumeration som du vill aktivera providern för i Prenumerationer.

3. Under Inställningar väljer du Resursprovidrar.

4. Ange insikt i filterrutan.

5. Bekräfta att statusen för providern som visas är Registrerad. Om statusen är NotRegistered väljer du Microsoft.Insights-providern och väljer sedan Registrera.

   

Microsoft.Insights-providern måste vara registrerad för att kunna logga trafik i ett virtuellt nätverk. Om du inte är säker på om Microsoft.Insights-providern är registrerad använder du Register-AzResourceProvider för att registrera den.

# Register Microsoft.Insights provider.
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Microsoft.Insights-providern måste vara registrerad för att kunna logga trafik i ett virtuellt nätverk. Om du inte är säker på om Microsoft.Insights-providern är registrerad använder du az provider register för att registrera den.

# Register Microsoft.Insights provider.
az provider register --namespace Microsoft.Insights

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar, välj + Knappen Skapa eller Skapa flödeslogg blå.

   

4. På fliken Grundläggande i Skapa en flödeslogg anger du eller väljer följande värden:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj den Azure-prenumeration som innehåller ditt virtuella nätverk.
   Typ av flödeslogg	Välj Virtuellt nätverk och välj sedan + Välj målresurs. Tillgängliga alternativ är: Virtuellt nätverk, undernät och nätverksgränssnitt. Välj de resurser som du vill logga och välj sedan Bekräfta markeringen.
   Flödesloggnamn	Ange ett namn för flödesloggen eller lämna standardnamnet. Azure-portalen använder {ResourceName}-{ResourceGroupName}-flowlog som standardnamn.
   Instansinformation
   Prenumeration	Välj den Azure-prenumeration som innehåller lagringskontot.
   Lagringskonton	Välj det lagringskonto där du vill spara flödesloggarna. Om du vill skapa ett nytt lagringskonto väljer du Skapa ett nytt lagringskonto.
   Retentionstid (dagar)	Ange en kvarhållningsperiod för loggarna i dagar. Det här alternativet är endast tillgängligt med standardlagringskonton för generell användning v2 . Ange 0 för att behålla flödesloggdata på obestämd tid (tills du tar bort dem manuellt). Prisinformation finns i Priser för Azure Storage.

   Viktigt!

   För närvarande har ett lagringskonto stöd för 100 regler, och varje regel kan hantera 10 blobprefix. Mer information finns i Hur många kvarhållningsprincipregler kan ett lagringskonto ha?

   

   Viktigt!

   Om du konfigurerar virtuella nätverksflödesloggar på nätverkskortet, undernätet och det virtuella nätverket följer aktiveringen denna ordning: nätverkskort > undernät > virtuellt nätverk.

   Försiktighet

   Flödesloggar för virtuella nätverk matas in i en blockblob med en minuts intervall genom att lägga till block. När inmatning pågår ska du inte utföra åtgärder som ändrar blobens blockstruktur, till exempel redigering, överskrivning eller borttagning av blobinnehållet. Dessa åtgärder kan göra att alla efterföljande flödesloggskrivningsåtgärder misslyckas för den specifika timmens blob.

5. Om du vill aktivera trafikanalys väljer du knappen Nästa: Analys eller väljer fliken Analys . Ange eller välj följande värden:

   Inställning	Värde
   Aktivera trafikanalys	Markera kryssrutan för att aktivera trafikanalys för flödesloggen.
   Bearbetningsintervall för trafikanalys	Välj det bearbetningsintervall som du föredrar, tillgängliga alternativ är: Var 1 timme och var 10:e minut. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys.
   Prenumeration	Välj Azure-prenumerationen för din Log Analytics-arbetsyta.
   Log Analytics-arbetsyta	Välj din Log Analytics-arbetsyta. Som standard skapar Azure-portalen StandardArbetsyta-{SubscriptionID}-{Region} Log Analytics-arbetsyta i resursgruppen defaultresourcegroup-{Region} .

   

   Anmärkning

   Information om hur du skapar och väljer en annan Log Analytics-arbetsyta än standardarbetsytan finns i Skapa en Log Analytics-arbetsyta

6. Välj Granska och skapa.

7. Granska inställningarna och välj sedan Skapa.

Använd cmdleten New-AzNetworkWatcherFlowLog för att skapa en flödeslogg för virtuellt nätverk.

• Aktivera flödesloggar för virtuella nätverk utan trafikanalys

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2
  

• Aktivera flödesloggar för virtuellt nätverk och trafikanalys

  # Place the virtual network configuration into a variable.
  $vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
  
  # Place the storage account configuration into a variable.
  $storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'
  
  # Create a traffic analytics workspace and place its configuration into a variable.
  $workspace = New-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup' -Location 'EastUS'
  
  # Create a VNet flow log.
  New-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10
  

Använd kommandot az network watcher flow-log create för att skapa en flödeslogg för virtuellt nätverk.

• Aktivera flödesloggar för virtuella nätverk utan trafikanalys

  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account 'myStorageAccount'
  

  # Create a VNet flow log (storage account is in a different resource group from the virtual network).
  az network watcher flow-log create --location 'eastus' --resource-group 'myResourceGroup' --name 'myVNetFlowLog' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount'
  

• Aktivera flödesloggar för virtuellt nätverk och trafikanalys

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log.
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10
  

  # Create a traffic analytics workspace.
  az monitor log-analytics workspace create --name 'myWorkspace' --resource-group 'myResourceGroup' --location 'eastus'
  
  # Create a VNet flow log (storage account and traffic analytics workspace are in different resource groups from the virtual network).
  az network watcher flow-log create --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/StorageRG/providers/Microsoft.Storage/storageAccounts/myStorageAccount' --traffic-analytics true --workspace '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/WorkspaceRG/providers/Microsoft.OperationalInsights/workspaces/myWorkspace' --interval 10
  

Följ dessa steg för att aktivera trafikanalys för en flödeslogg:

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill aktivera trafikanalys för.

4. I Inställningar för Flödesloggar går du till Trafikanalys och markerar kryssrutan Aktivera trafikanalys .

   

5. Ange eller välj följande värden:

   Inställning	Värde
   Prenumeration	Välj Azure-prenumerationen för din Log Analytics-arbetsyta.
   Log Analytics-arbetsyta	Välj din Log Analytics-arbetsyta. Som standard skapar Azure-portalen StandardArbetsyta-{SubscriptionID}-{Region} Log Analytics-arbetsyta i resursgruppen defaultresourcegroup-{Region} .
   Trafikloggningsintervall	Välj det bearbetningsintervall som du föredrar, tillgängliga alternativ är: Var 1 timme och var 10:e minut. Standardbehandlingsintervallet är var en timme. Mer information finns i Trafikanalys.

   

6. Välj Spara för att tillämpa ändringarna.

Om du vill inaktivera trafikanalys för en flödeslogg utför du föregående steg 1–3 och avmarkerar sedan kryssrutan Aktivera trafikanalys och väljer Spara.

Om du vill aktivera trafikanalys på en flödesloggresurs använder du cmdleten Set-AzNetworkWatcherFlowLog .

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Place the workspace configuration into a variable.
$workspace = Get-AzOperationalInsightsWorkspace -Name 'myWorkspace' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2 -EnableTrafficAnalytics -TrafficAnalyticsWorkspaceId $workspace.ResourceId -TrafficAnalyticsInterval 10

Om du vill inaktivera trafikanalys på flödesloggresursen och fortsätta generera och spara virtuella nätverksflödesloggar på lagringskontot använder du cmdleten Set-AzNetworkWatcherFlowLog .

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Update the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $true -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id -FormatVersion 2

Om du vill aktivera trafikanalys på en flödesloggresurs använder du kommandot az network watcher flow-log update .

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics true --workspace 'myWorkspace' --interval 10

Om du vill inaktivera trafikanalys på flödesloggresursen och fortsätta generera och spara flödesloggar för virtuella nätverk till ett lagringskonto använder du kommandot az network watcher flow-log update .

# Update the VNet flow log.
az network watcher flow-log update --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount' --traffic-analytics false

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. Välj Prenumeration är lika med filter för att välja en eller flera av dina prenumerationer. Du kan använda andra filter som Plats är lika med för att lista alla flödesloggar i en region.

   

Använd cmdleten Get-AzNetworkWatcherFlowLog för att visa alla flödesloggresurser i en viss region i din prenumeration.

# Get all flow logs in East US region.
Get-AzNetworkWatcherFlowLog -Location 'eastus' | format-table

Använd kommandot az network watcher flow-log list för att visa alla flödesloggresurser i en viss region i din prenumeration.

# Get all flow logs in East US region.
az network watcher flow-log list --location 'eastus' --out table

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar väljer du den flödeslogg som du vill se.

4. I inställningarna för Flödesloggar kan du visa inställningarna för flödesloggresursen.

   

5. Välj Avbryt för att stänga inställningssidan utan att göra några ändringar.

Använd cmdleten Get-AzNetworkWatcherFlowLog för att se information om en flödesloggresurs.

# Get the flow log details.
Get-AzNetworkWatcherFlowLog -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -Name 'myVNetFlowLog'

Använd az network watcher flow-log show för att se information om en flödesloggresurs.

# Get the flow log details.
az network watcher flow-log show --name 'myVNetFlowLog' --resource-group 'NetworkWatcherRG' --location 'eastus'

1. I sökrutan överst i portalen anger du lagringskonton. Välj Lagringskonton i sökresultaten.

2. Välj det lagringskonto som du använde för att lagra loggarna.

3. Under Datalagring väljer du Containrar.

4. Välj containern insights-logs-flowlogflowevent .

5. I insights-logs-flowlogflowevent navigerar du i mapphierarkin tills du kommer till filen PT1H.json som du vill ladda ned. Flödesloggfiler för virtuella nätverk följer följande sökväg:

   https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/{subscriptionID}_NETWORKWATCHERRG/NETWORKWATCHER_{Region}_{ResourceName}-{ResourceGroupName}-FLOWLOGS/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
   

6. Välj ellipsen ... till höger om PT1H.json filen och välj sedan Ladda ned.

   

Om du vill ladda ned flödesloggar för virtuella nätverk från ditt lagringskonto använder du cmdleten Get-AzStorageBlobContent . Mer information finns i Ladda ned en blob.

Loggfiler för virtuella nätverksflöden sparas på lagringskontot i följande sökväg:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Om du vill ladda ned flödesloggar för virtuella nätverk från ditt lagringskonto använder du kommandot az storage blob download . Mer information finns i Ladda ned en blob.

Loggfiler för virtuella nätverksflöden sparas på lagringskontot i följande sökväg:

https://{storageAccountName}.blob.core.windows.net/insights-logs-flowlogflowevent/flowLogResourceID=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_{Region}/FLOWLOGS/{FlowlogResourceName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill inaktivera.

4. Välj Inaktivera.

   

Använd Cmdleten Set-AzNetworkWatcherFlowLog för att inaktivera en flödeslogg.

# Place the virtual network configuration into a variable.
$vnet = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'

# Place the storage account configuration into a variable.
$storageAccount = Get-AzStorageAccount -Name 'myStorageAccount' -ResourceGroupName 'myResourceGroup'

# Disable the VNet flow log.
Set-AzNetworkWatcherFlowLog -Enabled $false -Name 'myVNetFlowLog' -NetworkWatcherName 'NetworkWatcher_eastus' -ResourceGroupName 'NetworkWatcherRG' -StorageId $storageAccount.Id -TargetResourceId $vnet.Id

Använd kommandot az network watcher flow-log update för att inaktivera en flödeslogg.

# Update the VNet flow log.
az network watcher flow-log update --enabled false --location 'eastus' --name 'myVNetFlowLog' --resource-group 'myResourceGroup' --vnet 'myVNet' --storage-account 'myStorageAccount'

1. I sökrutan överst i portalen anger du network watcher. Välj Network Watcher i sökresultatet.

2. Under Loggar väljer du Flödesloggar.

3. I Network Watcher | Flödesloggar, markera kryssrutan för flödesloggen som du vill ta bort.

4. Välj Ta bort.

   

Om du vill ta bort en virtuell nätverksflödesloggresurs använder du cmdleten Remove-AzNetworkWatcherFlowLog .

# Delete the VNet flow log.
Remove-AzNetworkWatcherFlowLog -Name 'myVNetFlowLog' -Location 'eastus'

Om du vill ta bort en virtuell nätverksflödesloggresurs använder du kommandot az network watcher flow-log delete .

# Delete the VNet flow log.
az network watcher flow-log delete --name 'myVNetFlowLog' --location 'eastus'