Azure NSG Flow log #2 - 활성화

megapain 2020. 9. 26. 23:16

참고 자료


1. Network Watcher 활성화

대상 지역에 Network Watcher를 활성화합니다. 이미 Network Watcher가 활성화되어 있다면 다음 단계로 넘어갑니다.


2. Microsoft.Insights provider 등록

NSG Flow log는 Microsoft.Insights provider를 필요로 합니다. 

대상 구독 - Resource providers - Microsoft.Insights


3. NSG flow log 활성화

NSG Flow log 데이터는 Azure Storage Account에 기록됩니다. Azure Storage Account를 생성합니다.


All Services - Network Watcher - NSG flow log - 대상 NSG 선택


Flow logs settings

  • Status : On

  • Flow Logs version : Version 2

  • Storage account : dhleeflowlog (이전 단계에서 생성한 Storage Account 선택)

  • Retention (days) : 0~365 중 선택 가능 (0으로 선택할 경우, Log는 자동으로 삭제되지 않는다. - If you want to retain data forever and do not want to apply any retention policy, set retention (days) to 0.)

  • Traffic Analytics : On

  • Traffic Analytics processing interfal : Every 1 hour 또는 Every 10 mins 중 선택

  • Log Analytics workspace : Log Analytics workspace 선택 (없으면 새로 생성)

NSG Flow log 는 Storage Account 로 수집된 후, Traffic Analytics processing interval에서 지정한 간격마다 Log Analytics workspace로 전송됩니다.


NSG Flow logs do not work with storage accounts that have hierarchical namespace enabled.
Azure Data Lake Storage Gen2 hierarchical namespace -


4. Flow log 다운로드

Storage Account에 수집된 Flow log를 다운로드 받아서 확인해 볼 수 있습니다.

Flow log가 저장되는 Storage Account - Blob service - Containers - insights-log-networksecuritygroupflowevent 컨테이너 선택

In the container, navigate the folder hierarchy until you get to a PT1H.json file, as shown in the picture that follows. Log files are written to a folder hierarchy that follows the following naming convention: https://{storageAccountName}{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

... 클릭 후 Download 선택