Azure NSG Flow log #3 - 로그 검색 (Log Analytics)

Microsoft/Azure

Azure NSG Flow log #3 - 로그 검색 (Log Analytics)

megapain 2020. 9. 26. 23:32

참고 자료

Schema and data aggregation in Traffic Analytics - https://docs.microsoft.com/en-us/azure/network-watcher/traffic-analytics-schema

Kusto query tutorial - https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/tutorial?pivots=azuredataexplorer

Kusto query sample chart - https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/samples

Azure NSG Flow Log를 설정할 때 Traffic Analytics status를 On으로 설정하고 Log Analytics workspace를 지정했다면 Azure Monitor의 Log에서 쿼리를 사용하여 NSG Flow log를 검색할 수 있습니다.

Azure NSG Flow Log는 Log Analytics workspace의 AzureNetworkAnalytics_CL 테이블에 저장되며, 필드 정보는 아래 doc에서 설명하고 있습니다.
https://docs.microsoft.com/en-us/azure/network-watcher/traffic-analytics-schema#fields-used-in-traffic-analytics-schema

NSG Flow log 검색

Log Analytics workspaces - (NSG Flow Log가 저장된) 대상 Log Analytics workspace 선택

Log -> Custom Logs 확장하여 AzureNetworkAnalytics_CL 를 더블클릭하여 쿼리 창에 추가 -> [Run]

Results 창에서 검색 결과 확인

*참고 - NSG Flow Log Query Sample

특정 시간 대에 특정 Source Public IP에서의 접근을 시간 역순으로 정렬

AzureNetworkAnalytics_CL
| extend localTimeStamp = TimeGenerated + 9h
| where localTimeStamp between (datetime("2020-09-08 10:00:00") .. datetime("2020-09-08 16:00"))
| where SrcPublicIPs_s contains "123.141.145"
| sort by localTimeStamp desc

특정 시간 대에 외부에서 내부(Inbound)로 연결 시도 중 거부된 접근을 시간 역순으로 정렬하고, 연결 시도 시간, Source Public IP, Destination IP(내부), Destination port를 표시

AzureNetworkAnalytics_CL
| extend localTimeStamp = TimeGenerated + 9h
| where localTimeStamp between (datetime("2020-09-08 10:00:00") .. datetime("2020-09-08 16:00"))
| where FlowStatus_s == "D" and FlowDirection_s == "I" and FlowType_s == "ExternalPublic"
| sort by localTimeStamp desc
| project localTimeStamp, SrcPublicIPs_s, DestIP_s, DestPort_d

외부에서 내부(Inbound)로 거부된 연결 시도 중, 시도 회수가 가장 많은 10개의 Source Public IP를 Columchart로 표현

AzureNetworkAnalytics_CL
| extend localTimeStamp = TimeGenerated + 9h
| extend sourcePIP = split(SrcPublicIPs_s, '|', 0)[0]
| where FlowStatus_s == "D" and FlowDirection_s == "I" and FlowType_s == "ExternalPublic"
| summarize denycount = count() by tostring(sourcePIP)
| top 10 by denycount desc
| render columnchart

저작자표시 비영리 변경금지

'Microsoft > Azure' 카테고리의 다른 글

Azure Migrate : Hyper-V VM 마이그레이션 #1. Azure Migrate 프로젝트 생성 (0)	2020.11.07
Azure Migrate : Hyper-V VM 마이그레이션 #0. 소개 (0)	2020.11.07
Azure NSG Flow log #2 - 활성화 (0)	2020.09.26
Azure NSG Flow log #1 - Overview (0)	2020.09.26
[PowerShell] Azure NSG 복사 (Rule Export and Import) (0)	2020.09.20

현재글Azure NSG Flow log #3 - 로그 검색 (Log Analytics)

어쩌다보니 애저하고 있네

Active Directory, NSG 흐름로그, Forefront Client Security, Hyper-V Migration, SCCM, Exchange2007, 그룹 정책, Azure Private DNS, ApplicationGateway, group policy, NSG flow log, Windows2003, windows2008, kms, Azure Migrate, SCOM, Application Gateway, Office2007, Azure Firewall, Hyper-V,

Today :
Yesterday :

일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

이런 애저