Microsoft Azure 虚拟网络流日志正式发布

Microsoft 近日宣布，Azure Network Watcher 服务中的虚拟网络流日志（Virtual Network Flow Logs）功能正式上线（GA）。该功能曾在去年进入公开预览，现已成为正式服务。

Network Watcher 服务概述

Azure Network Watcher 提供网络监控和故障排除功能，旨在提高网络的可观测性和提供可操作的洞察。其主要功能包括：

• 开箱即用的健康指标
• 拓扑可视化
• 连接性监控
• 流量监控
• 诊断套件

虚拟网络流日志的核心功能

虚拟网络流日志允许用户收集通过其虚拟网络的 IP 流量数据，主要用途包括：

• 监控和优化网络使用
• 排查连接问题
• 确保合规性
• 分析网络安全

主要特点：

1. 易于部署：可为特定网络、子网或接口启用。
2. 性能无影响：捕获第 4 层 IP 流量数据，不影响网络性能。
3. 数据存储：捕获的流量以 JSON 格式存储，便于分析。
4. 元数据增强：可通过 Traffic Analytics 增强日志，提供用户行为和安全威胁的洞察。

技术细节与集成

• 访问方式：日志可直接从存储账户访问，或与 Power BI 等可视化工具集成。
• 第三方集成：支持与 Cisco XDR、Darktrace、IBM QRadar 和 Splunk 等第三方应用集成，用于网络和安全分析。
• 查询语言：支持使用 KQL（Kusto Query Language）进行数据查询。

应用场景

虚拟网络流日志具有广泛的实际应用，包括：

• 监控流量行为，识别未知或不必要流量。
• 通过 IP 和端口过滤分析应用行为。
• 使用 GeoIP 数据分析跨区域流量并进行容量预测。
• 确保符合企业访问规则。
• 辅助网络取证和安全分析，例如分析受感染 IP 的流量或将日志导出到 IDS/SIEM 工具进行进一步调查。

启用方式

用户可以通过以下方式启用虚拟网络流日志：

• Azure Portal
• PowerShell
• AzCLI

注意：启用流日志时，无需将网络安全组（NSG）附加到虚拟网络。

与其他云服务的对比

AWS 和 Google Cloud 也提供类似功能：

• AWS：通过 VPC 流日志捕获 VPC 内的 IP 流量，支持将日志发布到 Amazon CloudWatch Logs、S3 或 Data Firehose。
• Google Cloud：提供 VPC 流日志，支持虚拟机实例和 Google Kubernetes Engine 节点的网络监控、安全分析和费用优化。

计费方式

虚拟网络流日志的计费基于生成的日志数量，具体详情可参考 Network Watcher 定价页面。