Tôi đã quản lý để thiết lập Nhật ký luồng NSG trong Azure cho một trong những NSG của mình bằng tài liệu MS: https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-overview
Tôi có thể tải xuống các tệp JSON từ tài khoản lưu trữ và kiểm tra chúng. Tôi cũng có thể sử dụng bảng điều khiển PowerBI và xem thông tin được tạo từ nhật ký luồng. Tôi đã sử dụng bảng điều khiển PowerBI đã sửa đổi từ Sameeraman:
https://sameeraman.wordpress.com/2018/11/15/azure-network-troubleshooting-using-nsg-flow-logs-and-powerbi-part-2/
Bây giờ tôi muốn sửa đổi bảng điều khiển PowerBI theo cách mà tôi có thể xem lượng byte được gửi và nhận từ hoặc đến máy chủ. Tôi có thể làm điều này, tuy nhiên, khi thiết lập nó, tôi nhận thấy rằng dường như không phải tất cả lưu lượng truy cập đều được ghi lại.
Tôi đã sử dụng 2 phương pháp để tạo lưu lượng truy cập từ máy cục bộ của mình đến máy ảo Azure thông qua internet dưới dạng thử nghiệm. Tôi đã sao chép một số tệp lớn qua RDP và đã tạo một máy chủ được liên kết trên phiên bản SQL Server cục bộ của mình sang phiên bản SQL Server trên Azure VM và chèn một loạt dữ liệu vào các bảng trên cơ sở dữ liệu thử nghiệm ở đó. Bây giờ, tôi không thấy lưu lượng truy cập trong nhật ký NSG như tôi mong đợi. Tôi cho rằng có rất nhiều mục hoặc ít nhất 1 mục cho biết rất nhiều byte đã được chuyển, nhưng không có mục nào trong số đó. Tôi chỉ thấy một mục duy nhất trong nhật ký NSG, nhưng không có bất kỳ byte nào được gửi.
Ví dụ: "1641291993,x.x.x.x,10.0.2.4,54955,1433,T,I,A,B,,,,"
Ở trên là trạng thái luồng 'Bắt đầu' và không có 'C' cho 'Tiếp tục' hoặc 'E' cho 'Kết thúc' được tìm thấy trong bất kỳ nhật ký nào theo sau nhật ký này. Vì vậy, tôi đã nghĩ rằng phiên có thể vẫn đang mở và sau đó nó có thể sẽ ghi lại một mục nhập với trạng thái luồng 'Kết thúc', đề cập đến tổng số byte được gửi cho phiên đó (vì các byte được gửi là tích lũy, hãy tham khảo tài liệu ), chẳng hạn như khi tôi đóng SQL Server Management Studio của mình. Điều này dường như không làm việc.Không có mục nhật ký tiếp theo nào từ IP nguồn cụ thể. Không có gì đâu.
Vì vậy, để tóm tắt, tôi đã tạo Nhật ký luồng NSG cho một NSG cụ thể được áp dụng cho mạng con của một máy ảo cụ thể. Sau đó, tôi đã tạo lưu lượng truy cập mạng bằng cách sao chép các tệp lớn vào máy ảo và chèn dữ liệu qua SQL Server vào một bảng trong cơ sở dữ liệu trên máy ảo đó từ máy trạm cục bộ của tôi. Sau đó, tôi đã xem các mục nhập nhật ký luồng NSG, nhưng chỉ tìm thấy 1 mục nhập cho mọi hành động (ví dụ: phần chèn sql), ngay cả khi tôi đã đóng phiên của mình (ví dụ: SSMS) với VM.
Để chắc chắn, tôi cũng đã tạo một quy tắc riêng trong NSG cho vào và ra để cho phép lưu lượng đến và từ máy ảo Azure này trên cổng cụ thể đó. Bằng cách này, các gói tôi gửi từ máy cục bộ của mình phải được đối sánh và ghi lại theo quy tắc đó.
Vì vậy, tôi tự hỏi liệu tôi có làm sai điều gì ở đây hay việc ghi nhật ký hoạt động khác với mong đợi của tôi không?
Chỉnh sửa 20220107: Đồng thời, tôi cũng thiết lập Phân tích lưu lượng truy cập trong Azure. Nó cho tôi thấy chính xác như vậy. Lượng lưu lượng truy cập không tương ứng với lưu lượng tôi đã gửi hoặc trích xuất từ máy Azure đến máy tính cục bộ của mình.
Ngoài ra, có vẻ như lưu lượng được đo chỉ giữa Azure VM và một vài IP công cộng của Azure, vì vậy điều đó hơi lạ. Vì một số lý do, có vẻ như lưu lượng giữa VM và máy tính ở nhà của tôi không được hiển thị hoặc đo lường.
