Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie mehr über die Diagnoseprotokolle für den Netzwerksicherheitsperimeter und das Aktivieren der Protokollierung. Sie lernen verwendete Zugriffsprotokollkategorien kennen. Anschließend finden Sie die Optionen zum Speichern von Diagnoseprotokollen und zum Aktivieren der Protokollierung über das Azure-Portal.
Wichtig
Der Netzwerksicherheitsperimeter ist jetzt in allen öffentlichen Azure-Cloudregionen allgemein verfügbar. Informationen zu unterstützten Diensten finden Sie unter "Onboarded Private Link Resources " für unterstützte PaaS-Dienste."
Zugriffsprotokollkategorien
Zugriffsprotokollkategorien für einen Netzwerksicherheitsperimeter basieren auf den Ergebnissen der Auswertung von Zugriffsregeln. Die in den Diagnoseeinstellungen ausgewählten Protokollkategorien werden an den vom Kunden ausgewählten Speicherort gesendet. Im Folgenden sind die Beschreibungen für jede der Zugriffsprotokollkategorien aufgeführt, einschließlich der Modi, in denen sie anwendbar sind:
| Protokollkategorie | Beschreibung | Gilt für Modi |
|---|---|---|
| NspPublicInboundPerimeterRulesAllowed | Eingehender Zugriff ist basierend auf Zugriffsregeln für den Netzwerksicherheitsperimeter zulässig. | Übergang/Erzwungen |
| NspPublicInboundPerimeterRulesDenied | Öffentlicher eingehender Zugriff, der vom Netzwerksicherheitsperimeter verweigert wurde. | Erzwungen |
| NspPublicOutboundPerimeterRulesAllowed | Ausgehender Zugriff ist auf der Grundlage von Zugriffsregeln für den Netzwerksicherheitsperimeter zulässig. | Übergang/Erzwungen |
| NspPublicOutboundPerimeterRulesDenied | Öffentlicher ausgehender Zugriff wird vom Netzwerksicherheitsperimeter verweigert. | Erzwungen |
| NspOutboundAttempt | Ausgehender Versuch innerhalb des Netzwerksicherheitsperimeters. | Übergang/Erzwungen |
| NspIntraPerimeterInboundAllowed | Eingehender Zugriff innerhalb des Perimeters ist zulässig. | Übergang/Erzwungen |
| NspPublicInboundResourceRulesAllowed | Wenn Netzwerksicherheitsperimeterregeln verweigert werden, ist der eingehende Zugriff basierend auf PaaS-Ressourcenregeln zulässig. | Übergang |
| NspPublicInboundResourceRulesDenied | Wenn Netzwerksicherheitsperimeterregeln den Zugriff verweigern, wird der eingehende Zugriff durch PaaS-Ressourcenregeln ebenfalls verweigert. | Übergang |
| NspPublicOutboundResourceRulesAllowed | Wenn Netzwerksicherheitsperimeterregeln verweigern, ist ausgehender Zugriff basierend auf PaaS-Ressourcenregeln zulässig. | Übergang |
| NspPublicOutboundResourceRulesDenied | Wenn die Regeln des Netzwerksicherheitsperimeters den Zugriff verweigern, wird der ausgehende Zugriff auch durch die Regeln der PaaS-Ressourcen untersagt. | Übergang |
| NspPrivateInboundAllowed | Privater Endpunktdatenverkehr ist zulässig. | Übergang/Erzwungen |
Hinweis
Die verfügbaren Zugriffsmodi für einen Netzwerksicherheitsperimeter sind Übergang und Erzwungen. Der Übergangsmodus wurde zuvor als Lernmodus bezeichnet. Möglicherweise werden in einigen Fällen weiterhin Verweise auf den Lernmodus angezeigt.
Zugriffsprotokollschema
Jede PaaS-Ressource, die dem Netzwerksicherheitsperimeter zugeordnet ist, generiert Zugriffsprotokolle mit einheitlichem Protokollschema, wenn diese aktiviert sind.
Hinweis
Netzwerksicherheitsperimeterzugriffsprotokolle wurden möglicherweise aggregiert. Wenn die Felder "count" und "timeGeneratedEndTime" fehlen, berücksichtigen Sie die Aggregationsanzahl als 1.
| Wert | Beschreibung |
|---|---|
| Zeit | Der Zeitstempel (UTC) des ersten Ereignisses im Protokollaggregationsfenster. |
| timeGeneratedEndTime | Der Zeitstempel (UTC) des letzten Ereignisses im Protokollaggregationsfenster. |
| anzahl | Anzahl der aggregierten Protokolle. |
| resourceId | Die Ressourcen-ID des Netzwerksicherheitsperimeters. |
| Standort. | Die Region des Netzwerksicherheitsperimeters. |
| operationName | Der Name des paaS-Ressourcenvorgangs, der durch dieses Ereignis dargestellt wird. |
| operationVersion | Die API-Version, die dem Vorgang zugeordnet ist. |
| Kategorie | Für Access-Protokolle definierte Protokollkategorien. |
| Eigenschaften | Spezifische erweiterte Eigenschaften des Netzwerksicherheitsperimeters, die mit dieser Ereigniskategorie zusammenhängen. |
| Ergebnisbeschreibung | Die statische Textbeschreibung dieses Vorgangs für die PaaS-Ressource, z. B. "Speicherdatei abrufen". |
Netzwerksicherheitsperimeterspezifische Eigenschaften
In diesem Abschnitt werden die spezifischen Eigenschaften des Netzwerksicherheitsperimeters im Protokollschema beschrieben.
Hinweis
Die Anwendung der Eigenschaften unterliegt dem Protokollkategorietyp. Verweisen Sie auf die entsprechenden Protokollkategorieschemas für die Anwendbarkeit.
| Wert | Beschreibung |
|---|---|
| serviceResourceId | Ressourcen-ID der PaaS-Ressource, die Netzwerksicherheitsperimeter-Zugriffsprotokolle aussendet. |
| serviceFqdn | Vollqualifizierter Domänenname der PaaS-Ressource, die Netzwerksicherheitsperimeterzugriffsprotokolle aussendet. |
| Profil | Name des Netzwerksicherheitsperimeterprofils, das der Ressource zugeordnet ist. |
| parameters | Liste der optionalen PaaS-Ressourceneigenschaften im JSON-Zeichenfolgenformat. Beispiel: { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| appId | Eindeutige GUID, die die App-ID der Ressource in Azure Active Directory darstellt. |
| matchedRule | JSON-Eigenschaftssammlung mit übereinstimmendem accessRule-Namen, {"accessRule" : "{ruleName}"}. Dabei kann es sich entweder um den Namen der Netzwerksicherheitsperimeter-Zugriffsregel oder um den Namen der Ressourcenregel (nicht um die ArmId) handeln. |
| Quelle | JSON-Eigenschaftenfeld, das die Quelle der eingehenden Verbindung beschreibt. |
| Bestimmungsort | JSON-Eigenschaftensammlung, die das Ziel der ausgehenden Verbindung beschreibt. |
| accessRulesVersion | JSON-Eigenschaftenbehälter mit der Zugriffsregelversion der Ressource. |
Quelleigenschaften
Eigenschaften, die die Quelle der eingehenden Verbindung beschreiben.
| Wert | Beschreibung |
|---|---|
| resourceId | Ressourcen-ID der PaaS-Quellressource für eine eingehende Verbindung. Wird existieren, falls zutreffend. |
| ipAddress | IP-Adresse der Quelle, die eine eingehende Verbindung herstellt. Wird existieren, falls zutreffend. |
| Hafen | Portnummer der eingehenden Verbindung. Möglicherweise nicht für alle Ressourcentypen vorhanden. |
| Protokoll | Anwendungs- und Transportschichtprotokolle für eingehende Verbindungen im Format {AppProtocol}:{TptProtocol}. Z.B. HTTPS:TCP. Möglicherweise nicht für alle Ressourcentypen vorhanden. |
| perimeterGuids | Liste der Umkreis-GUIDs der Quellressource. Sie sollte nur angegeben werden, wenn sie basierend auf der Umkreis-GUID zulässig ist. |
| appId | Eindeutige GUID, die die App-ID der Quelle in Azure Active Directory darstellt. |
| parameters | Liste der optionalen Quelleigenschaften im JSON-Zeichenfolgenformat. Beispiel: { {Param1}: {value1}, {Param2}: {value2}, ...}. |
Zieleigenschaften
Eigenschaften, die das Ziel der ausgehenden Verbindung beschreiben.
| Wert | Beschreibung |
|---|---|
| resourceId | Ressourcen-ID der Ziel-PaaS-Ressource für eine ausgehende Verbindung. Wird existieren, falls zutreffend. |
| vollständig qualifizierter Domainname | Vollqualifizierter Domänenname (Fully Qualified Domain, FQDN) des Ziels. |
| parameters | Liste der optionalen Zieleigenschaften im JSON-Zeichenfolgenformat. Beispiel: { {Param1}: {value1}, {Param2}: {value2}, ...}. |
| Hafen | Portnummer der ausgehenden Verbindung. Möglicherweise nicht für alle Ressourcentypen vorhanden. |
| Protokoll | Anwendungs- und Transportschichtprotokolle für ausgehende Verbindungen im Format {AppProtocol}:{TptProtocol}. Z.B. HTTPS:TCP. Möglicherweise nicht für alle Ressourcentypen vorhanden. |
Beispielprotokolleintrag für eingehende Kategorien
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{inboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"source" : {
"resourceId" : "/subscriptions/{sourceSubscriptionId}/resourceGroups/{sourceResourceGroupName}/providers/{sourceProvider}/{sourceResourceType}/{sourceResourceName}",
"ipAddress": "{sourceIPAddress}",
"perimeterGuids" : ["{sourcePerimeterGuid}"], // Only included if request comes from perimeter
"appId" : "{sourceAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Beispielprotokolleintrag für ausgehende Kategorien
{
"time" : "{timestamp}",
"timeGeneratedEndTime" : "{timestamp}",
"count" : "{countOfAggregatedLogs}",
"resourceId" : "/SUBSCRIPTIONS/{subsId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYPERIMETERS/{perimeterName}",
"operationName" : "{PaaSOperationName}" ,
"operationVersion" : "{api-version}",
"category" : "{outboundCategory}",
"location" : "{networksecurityperimeterRegion}",
"properties" : {
"serviceResourceId" : "/subscriptions/{paasSubsId}/resourceGroups/{paasResourceGroupName}/providers/{provider}/{resourceType}/{resourceName}",
"serviceFqdn": "{PaaSResourceFQDN}",
"accessRulesVersion" : "{accessRulesVersion}",
"profile" : "{networksecurityperimeterProfileName}",
"appId" : "{resourceAppId}",
"parameters" : "{{ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
"matchedRule" : {
"accessRule" : "{matchedRuleName}",
},
"destination" : {
"resourceId" : "/subscriptions/{destSubsId}/resourceGroups/{destResourceGroupName}/providers/{destProvider}/{destResourceType}/{destResourceName}",
"fullyQualifiedDomainName" : "{destFQDN}",
"appId" : "{destAppId}",
"port" : "{Port}",
"protocol" : "{Protocol}",
"parameters" : "{ {ParameterType1}: {value1}, {ParameterType2}: {value2}, ...}", // Parsable JSON
},
},
"resultDescription" : "The static text description of this operation on the PaaS resource. For example, \"Get storage file.\""
}
Protokollierungszieloptionen für Zugriffsprotokolle
Zu den Zielen zum Speichern von Diagnoseprotokollen für einen Netzwerksicherheitsperimeter gehören Dienste wie log Analytic Workspace (Tabellenname: NSPAccessLogs), Azure Storage-Konto und Azure Event Hubs. Die vollständige Liste und Details der unterstützten Ziele finden Sie unter Unterstützte Ziele für Diagnoseprotokolle.
Ermöglichen der Protokollierung über das Azure-Portal
Sie können die Diagnoseprotokollierung für einen Netzwerksicherheitsperimeter aktivieren, indem Sie das Azure-Portal unter „Diagnoseeinstellungen“ verwenden. Beim Hinzufügen einer Diagnoseeinstellung können Sie die Protokollkategorien auswählen, die Sie sammeln möchten, und das Ziel, an dem Sie die Protokolle übermitteln möchten.
Hinweis
Wenn Sie Azure Monitor mit einem Netzwerksicherheitsperimeter verwenden, muss sich der Log Analytics-Arbeitsbereich, der dem Netzwerksicherheitsperimeter zugeordnet werden soll, in einer der unterstützten Azure Monitor-Regionen befinden.
Warnung
Die Protokollziele müssen sich innerhalb des gleichen Netzwerksicherheitsperimeters wie die PaaS-Ressource befinden, um den ordnungsgemäßen Fluss der PaaS-Ressourcenprotokolle sicherzustellen. Das Konfigurieren oder bereits konfigurierte Diagnoseeinstellungen für Ressourcen, die nicht in der Liste der eingebundenen privaten Linkressourcen enthalten sind, führt dazu, dass der Protokollfluss für diese Ressourcen eingestellt wird.