Azure NSG Flow log #2 - 활성화
참고 자료
Tutorial: Log network traffic to and from a virtual machine using the Azure portal -
Traffic Analytics -
1. Network Watcher 활성화
대상 지역에 Network Watcher를 활성화합니다. 이미 Network Watcher가 활성화되어 있다면 다음 단계로 넘어갑니다.
2. Microsoft.Insights provider 등록
NSG Flow log는 Microsoft.Insights provider를 필요로 합니다.
대상 구독 - Resource providers - Microsoft.Insights
3. NSG flow log 활성화
NSG Flow log 데이터는 Azure Storage Account에 기록됩니다. Azure Storage Account를 생성합니다.
All Services - Network Watcher - NSG flow log - 대상 NSG 선택
Flow logs settings
Status : On
Flow Logs version : Version 2
Storage account : dhleeflowlog (이전 단계에서 생성한 Storage Account 선택)
Retention (days) : 0~365 중 선택 가능 (0으로 선택할 경우, Log는 자동으로 삭제되지 않는다. - If you want to retain data forever and do not want to apply any retention policy, set retention (days) to 0.)
Traffic Analytics : On
Traffic Analytics processing interfal : Every 1 hour 또는 Every 10 mins 중 선택
Log Analytics workspace : Log Analytics workspace 선택 (없으면 새로 생성)
NSG Flow log 는 Storage Account 로 수집된 후, Traffic Analytics processing interval에서 지정한 간격마다 Log Analytics workspace로 전송됩니다.
*참고 NSG Flow logs do not work with storage accounts that have hierarchical namespace enabled. |
4. Flow log 다운로드
Storage Account에 수집된 Flow log를 다운로드 받아서 확인해 볼 수 있습니다.
Flow log가 저장되는 Storage Account - Blob service - Containers - insights-log-networksecuritygroupflowevent 컨테이너 선택
In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. Log files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
... 클릭 후 Download 선택