VNet-Datenflussprotokolle

Virtuelle Netzwerkflussprotokolle sind ein Feature von Azure Network Watcher. Sie können sie verwenden, um Informationen zum IP-Datenverkehr zu protokollieren, der über ein virtuelles Netzwerk fließt.

Flussdaten aus virtuellen Netzwerkflussprotokollen werden an Azure Storage gesendet. Von dort aus können Sie auf die Daten zugreifen und sie in jedes Visualisierungstool, eine SIEM-Lösung (Security Information and Event Management) oder ein Intrusion Detection System (IDS, Angriffserkennungssystem) exportieren. Virtuelle Netzwerkflussprotokolle überwinden einige der Einschränkungen von Ablaufprotokollen für Netzwerksicherheitsgruppen und sind kosteneffizienter.

Gründe für die Verwendung von Datenflussprotokollen

Es ist wichtig, dass Sie Ihr Netzwerk überwachen, verwalten und kennen, damit Sie es schützen und optimieren können. Sie müssen möglicherweise den aktuellen Status des Netzwerks kennen, wer eine Verbindung herstellt und von wo aus Benutzer eine Verbindung herstellen. Außerdem müssen Sie möglicherweise wissen, welche Ports für das Internet geöffnet sind, welches Netzwerkverhalten erwartet wird, welches Netzwerkverhalten irregulär ist und wann plötzlich ein Anstieg des Datenverkehrs eintritt.

Datenflussprotokolle sind die Quelle der Wahrheit für alle Netzwerkaktivitäten in ihrer Cloudumgebung. Unabhängig davon, ob Sie zu einem Startup-Unternehmen gehören, das versucht, Ressourcen zu optimieren, oder zu einem großen Unternehmen, das Eindringlinge erkennen möchte, Datenflussprotokolle können hilfreich sein. Sie können sie zur Optimierung des Netzwerkdatenflusses, zur Überwachung des Durchsatzes, zur Überprüfung der Compliance, zur Erkennung von Eindringversuchen und für vieles mehr verwenden.

Gängige Anwendungsfälle

Netzwerküberwachung

Erkennen Sie unbekannten oder unerwünschten Datenverkehr.
Überwachen Sie die Datenverkehrsebenen und die Bandbreitennutzung.
Filtern Sie Datenflussprotokolle nach IP-Adresse und Port, um das Anwendungsverhalten zu verstehen.
Exportieren Sie Datenflussprotokolle in Analyse- und Visualisierungstools Ihrer Wahl, um Überwachungsdashboards einzurichten.

Nutzungsüberwachung und -optimierung

Identifizieren Sie die wichtigsten Datenflüsse („Top Talkers“) in Ihrem Netzwerk.
Kombinieren Sie Datenflüsse mit GeoIP-Daten, um regionsübergreifenden Datenverkehr zu identifizieren.
Verstehen Sie das Wachstum des Datenverkehrs, um Kapazitätsprognosen abgeben zu können.
Verwenden Sie Daten, um übermäßig restriktive Datenverkehrsregeln zu entfernen.

Compliance

Verwenden Sie Datenflussdaten zum Überprüfen der Netzwerkisolation und -compliance mit Unternehmenszugriffsregeln.

Netzwerkforensik und Sicherheitsanalyse

Analysieren Sie Netzwerkdatenflüsse von kompromittierten IP-Adressen und Netzwerkschnittstellen.
Exportieren Sie Datenflussprotokolle in ein beliebiges SIEM- oder IDS-Tool Ihrer Wahl.

Gegenüberstellung von VNet- und NSG-Datenflussprotokollen

Sowohl VNet-Datenflussprotokolle als auch NSG-Datenflussprotokolle zeichnen IP-Datenverkehr auf. Sie unterscheiden sich allerdings beim Verhalten und Funktionsumfang.

VNet-Datenflussprotokolle vereinfachen die Datenverkehrsüberwachung, da Sie die Protokollierung in virtuellen Netzwerken aktivieren können. Der Datenverkehr über alle unterstützten Workloads in einem virtuellen Netzwerk wird aufgezeichnet.

Bei VNet-Datenflussprotokollen ist es außerdem nicht nötig, die Datenflussprotokollierung mit mehreren Ebenen zu aktivieren, wie dies etwa bei NSG-Datenflussprotokollen der Fall ist. In NSG-Datenflussprotokollen werden Netzwerksicherheitsgruppen sowohl im Subnetz als auch an der Netzwerkschnittstelle (NIC) konfiguriert.

Zusätzlich zur vorhandenen Unterstützung zur Identifizierung von Datenverkehr, den Netzwerksicherheitsgruppenregeln zulassen oder verweigern, unterstützen Flussprotokolle für virtuelle Netzwerke die Identifizierung des Datenverkehrs, den Azure Virtual Network Manager Sicherheitsverwaltungsregeln zulassen oder verweigern. VNet-Datenflussprotokolle unterstützen auch die Auswertung des Verschlüsselungsstatus Ihres Netzwerkdatenverkehrs in Szenarien, in denen Sie Verschlüsselung virtueller Netzwerke verwenden.

Important

Es wird empfohlen, NSG-Datenflussprotokolle zu deaktivieren, bevor Sie VNet-Datenflussprotokolle für die gleichen zugrunde liegenden Workloads aktivieren, um doppelte Datenverkehrsaufzeichnungen und zusätzliche Kosten zu vermeiden.

Wenn Sie NSG-Datenflussprotokolle für die Netzwerksicherheitsgruppe eines Subnetzes aktivieren und dann VNet-Datenflussprotokolle für das gleiche Subnetz oder übergeordnete virtuellen Netzwerk aktivieren, kann es zu einer doppelten Protokollierung kommen, oder es kann passieren, dass nur VNet-Datenflussprotokolle generiert werden.

Plattformregeln

Was ist eine Plattformregel in Ablaufprotokollen?

In Flussprotokollen stellt eine Plattformregel den Netzwerkdatenverkehr dar, der von der Azure Plattform selbst verarbeitet wird, anstatt durch vom Benutzer konfigurierte Regeln, z. B. Netzwerksicherheitsgruppen (NSGs) oder Azure Virtual Network Manager Regeln. Dieser Datenverkehr wird automatisch von der Plattform verarbeitet und ist nicht das Ergebnis einer expliziten Zulassungs- oder Ablehnungsregel, die in einer Bereitstellung definiert ist. Plattformregeleinträge bieten Einblicke in vom System verwalteten oder infrastrukturbasierten Datenverkehr. Wenn sich die Analyse nur auf den Datenverkehr konzentriert, der durch explizit konfigurierte Regeln ausgewertet wird, können diese Einträge während der Protokollanalyse herausgefiltert werden.

In einigen Szenarien kann der datenverkehr, der Mit Ihrer Anwendung oder Ihrer Workload verknüpft ist, unter einer Plattformregel angezeigt werden. Dies kann in einer begrenzten Anzahl gut verstandener Fälle auftreten, z. B. wenn Lastenausgleichsverbindungen als Teil normaler Plattformvorgänge neu erstellt werden, oder wenn Rückgabedatenverkehr keine Regelauswertung für den Antwortpfad erfordert. In diesen Fällen wird der Datenverkehr erwartungsgemäß verarbeitet, aber das Flussprotokoll kann sie einer Plattformregel anstelle einer benutzerdefinierten Regel zuordnen.

Wirkt sich das Vorhandensein von Plattformregeln auf den Datenverkehr aus?

Nein. Plattformregeln ändern ihr Datenverkehrsverhalten, Ihre Konnektivität, den Sicherheitsstatus oder die Leistung nicht. Sie wirken sich nur darauf aus, wie bestimmte Netzwerkflüsse in Flussprotokollen dargestellt werden. Plattformregeleinträge werden zu Informationszwecken bereitgestellt. Das Ausschließen dieser aus der Analyse wirkt sich nicht auf die Behandlung des Datenverkehrs aus. Wenn Datenverkehr unter einer Plattformregel angezeigt wird und nicht mit den oben beschriebenen Szenarien übereinstimmt, kann das Verhalten weiter untersucht werden. In solchen Fällen wird empfohlen, Azure support Kanäle zu erreichen, damit die Ablaufprotokolle detailliert überprüft werden können.

Funktionsweise der Protokollierung

Zu den wichtigsten Eigenschaften von VNet-Datenflussprotokollen zählen unter anderem folgende:

Datenflussprotokolle arbeiten auf Layer 4 des OSI-Modells (Open Systems Interconnection) und zeichnen alle IP-Datenflüsse auf, die ein virtuelles Netzwerk passieren.
Protokolle werden in Intervallen von 1 Minuten über die Azure Plattform gesammelt. Sie wirken sich nicht auf Ihre Azure Ressourcen oder netzwerkdatenverkehr aus.
Protokolle werden im JSON-Format (JavaScript Object Notation) geschrieben.
Jeder Protokolleintrag enthält die Netzwerkschnittstelle, für die der Datenfluss gilt sowie 5-Tupel-Informationen, Datenverkehrsrichtung, Datenflussstatus, Verschlüsselungsstatus und Durchsatzinformationen.
Alle Datenverkehrsflüsse in Ihrem Netzwerk werden über die geltenden network-Sicherheitsgruppenregeln oder Azure Virtual Network Manager Sicherheitsadministratorregeln ausgewertet.
Virtual Network-Flussprotokolle funktionieren auf Virtual Network-Ebene und erfassen daher standardmäßig den Datenverkehr für Ressourcen wie Gateways. Daher ist der Datenverkehr, der diese Gateways durchläuft, enthalten, was zu einer höheren Anzahl von Protokolldaten führen kann.

Protokollformat

VNet-Datenflussprotokolle haben folgende Eigenschaften:

time: Zeitpunkt (UTC), zu dem das Ereignis ausgelöst wurde
flowLogVersion: Version des Datenflussprotokolls.
flowLogGUID: Ressourcen-GUID der FlowLog-Ressource.
macAddress: MAC-Adresse der Netzwerkschnittstelle, an der das Ereignis erfasst wurde.
category: Kategorie des Ereignisses. Die Kategorie ist immer FlowLogFlowEvent.
flowLogResourceID: Ressourcen-ID der FlowLog-Ressource.
targetResourceID: Ressourcen-ID der Zielressource, die der FlowLog-Ressource zugeordnet ist.
operationName: Immer FlowLogFlowEvent.
flowRecords: Sammlung von Datenflussdatensätzen.
- flows: Sammlung von Datenflüssen. Diese Eigenschaft verfügt über mehrere Einträge für Zugriffssteuerungslisten (ACLs):
  - aclID: Bezeichner der Ressource, die den Datenverkehr auswertet, entweder eine Netzwerksicherheitsgruppe oder Virtual Network Manager. Für Datenverkehr, der aufgrund der Verschlüsselung verweigert wird, lautet dieser Wert unspecified.
  - flowGroups: Sammlung von Datenflussdatensätzen auf Regelebene:
    - rule: Name der Regel, die den Datenverkehr zugelassen oder abgelehnt hat. Für Datenverkehr, der aufgrund der Verschlüsselung verweigert wird, lautet dieser Wert unspecified.
    - flowTuples: Zeichenfolge, die mehrere Eigenschaften für das Datenflusstupel in einem Format mit Trennzeichen enthält:
      - Time Stamp: Zeitstempel für den Zeitpunkt, zu dem der Datenfluss auftrat, im UNIX Epoch-Format
      - Source IP: Quell-IP-Adresse
      - Destination IP: Ziel-IP-Adresse
      - Source port: Quellport
      - Destination port: Zielport
      - Protocol: Layer-4-Protokoll des Datenflusses, ausgedrückt in durch die IANA zugewiesenen Werten.
      - Flow direction: Richtung des Datenverkehrflusses Gültige Werte sind I für eingehende (inbound) und O für ausgehende (outbound) Nachrichten.
      - Flow state: Zustand des Datenflusses Mögliche Statusangaben:
        
        B: Beginn; Erstellung eines Datenflusses Es werden keine Statistiken bereitgestellt.
        
        C: Fortsetzung für einen laufenden Datenfluss Statistiken werden in Intervallen von fünf Minuten bereitgestellt.
        
        E: Ende; Beendigung eines Datenflusses Statistiken werden bereitgestellt.
        
        D: Ablehnen, wenn ein Datenfluss abgelehnt wird.
      - Flow encryption: Verschlüsselungsstatus des Datenflusses. In der Tabelle nach dieser Liste werden die möglichen Werte beschrieben.
      - Packets sent: Gesamtanzahl von Paketen, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden.
      - Bytes sent: Gesamtanzahl von Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden. Paketbytes enthalten den Paketheader und die Nutzlast.
      - Packets received: Gesamtanzahl von Paketen, die seit der letzten Aktualisierung vom Ziel an die Quelle gesendet wurden.
      - Bytes received: Gesamtanzahl von Paketbytes, die seit dem letzten Update von der Quelle zum Ziel gesendet wurden. Paketbytes enthalten den Paketheader und die Nutzlast.

Flow encryption kann die folgenden möglichen Verschlüsselungsstatus annehmen:

Verschlüsselungsstatus	Description
`X`	Verbindung ist verschlüsselt. Die Verschlüsselung ist konfiguriert, und die Plattform hat die Verbindung verschlüsselt.
`NX`	Die Verbindung ist nicht verschlüsselt. Dieses Ereignis wird in zwei Szenarien protokolliert: – Wenn die Verschlüsselung nicht konfiguriert ist. – Wenn ein verschlüsselter virtueller Computer mit einem Endpunkt ohne Verschlüsselung (z. B. einem Internetendpunkt) kommuniziert.
`NX_HW_NOT_SUPPORTED`	Die Hardware wird nicht unterstützt. Die Verschlüsselung ist konfiguriert, aber der virtuelle Computer wird auf einem Host ausgeführt, der die Verschlüsselung nicht unterstützt. Dieses Problem tritt in der Regel auf, wenn das Field Programmable Gate Array (FPGA) nicht an den Host angefügt oder fehlerhaft ist. Melden Sie dieses Problem zur Untersuchung an Microsoft.
`NX_SW_NOT_READY`	Die Software ist nicht bereit. Die Verschlüsselung ist konfiguriert, aber die Softwarekomponente (GFT) im Hostnetzwerkstapel ist nicht für die Verarbeitung verschlüsselter Verbindungen bereit. Dieses Problem kann auftreten, wenn der virtuelle Computer zum ersten Mal gestartet wird, neu gestartet oder erneut bereitgestellt wird. Es kann auch auftreten, wenn auf dem Host, auf dem der virtuelle Computer ausgeführt wird, ein Update für die Netzwerkkomponenten vorhanden ist. In all diesen Szenarien wird das Paket verworfen. Das Problem sollte vorübergehend sein. Die Verschlüsselung sollte gestartet werden, nachdem der virtuelle Computer vollständig ausgeführt wurde oder das Softwareupdate auf dem Host abgeschlossen ist. Wenn das Problem länger dauert, melden Sie es zur Untersuchung an Microsoft.
`NX_NOT_ACCEPTED`	Aufgrund nicht vorhandener Verschlüsselung verworfen. Die Verschlüsselung wird sowohl für Quell- als auch für Zielendpunkte mit den Richtlinien „Verwerfen, wenn nicht verschlüsselt“ konfiguriert. Wenn die Datenverkehrsverschlüsselung fehlschlägt, wird das Paket gelöscht.
`NX_NOT_SUPPORTED`	Die Ermittlung wird nicht unterstützt. Die Verschlüsselung ist konfiguriert, aber die Verschlüsselungssitzung wurde nicht eingerichtet, da der Hostnetzwerkstapel die Ermittlung nicht unterstützt. In diesem Fall wird das Paket verworfen. Wenn dieses Problem auftritt, melden Sie es zur Untersuchung an Microsoft.
`NX_LOCAL_DST`	Das Ziel befindet sich auf demselben Host. Die Verschlüsselung ist konfiguriert, aber die virtuellen Quell- und Zielcomputer werden auf demselben Azure Host ausgeführt. In diesem Fall ist die Verbindung per Design nicht verschlüsselt.
`NX_FALLBACK`	Fallback zu „Keine Verschlüsselung“. Die Verschlüsselung ist mit der Richtlinie Unverschlüsselten Datenverkehr zulassen sowohl für Quell- als auch für Zielendpunke konfiguriert. Das System hat versucht Verschlüsselung zu verwenden, hatte aber ein Problem. In diesem Fall wird die Verbindung zugelassen, sie ist aber nicht verschlüsselt. Zum Beispiel kann ein virtueller Computer zunächst auf einem Knoten landen, der die Verschlüsselung unterstützt, aber diese Unterstützung wurde später entfernt.

Der Datenverkehr in virtuellen Netzwerken ist standardmäßig unverschlüsselt (NX). Informationen zu verschlüsseltem Datenverkehr finden Sie unter Verschlüsselung virtueller Netzwerke.

Beispiel für Protokolldatensatz

Im folgenden Beispiel für VNet-Datenflussprotokolle folgen mehrere Datensätze der oben beschriebenen Eigenschaftenliste.

{
    "records": [
        {
            "time": "2022-09-14T09:00:52.5625085Z",
            "flowLogVersion": 4,
            "flowLogGUID": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee",
            "macAddress": "112233445566",
            "category": "FlowLogFlowEvent",
            "flowLogResourceID": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/NETWORKWATCHERRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKWATCHERS/NETWORKWATCHER_EASTUS2EUAP/FLOWLOGS/VNETFLOWLOG",
            "targetResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "operationName": "FlowLogFlowEvent",
            "flowRecords": {
                "flows": [
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "DefaultRule_AllowInternetOutBound",
                                "flowTuples": [
                                    "1663146003599,10.0.0.6,192.0.2.180,23956,443,6,O,B,NX,0,0,0,0",
                                    "1663146003606,10.0.0.6,192.0.2.180,23956,443,6,O,E,NX,3,767,2,1580",
                                    "1663146003637,10.0.0.6,203.0.113.17,22730,443,6,O,B,NX,0,0,0,0",
                                    "1663146003640,10.0.0.6,203.0.113.17,22730,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,B,NX,0,0,0,0",
                                    "1663146004251,10.0.0.6,203.0.113.17,22732,443,6,O,E,NX,3,705,4,4569",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,B,NX,0,0,0,0",
                                    "1663146004622,10.0.0.6,203.0.113.17,22734,443,6,O,E,NX,2,134,1,108",
                                    "1663146017343,10.0.0.6,198.51.100.84,36776,443,6,O,B,NX,0,0,0,0",
                                    "1663146022793,10.0.0.6,198.51.100.84,36776,443,6,O,E,NX,22,2217,33,32466"
                                ]
                            }
                        ]
                    },
                    {
                        "aclID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                        "flowGroups": [
                            {
                                "rule": "BlockHighRiskTCPPortsFromInternet",
                                "flowTuples": [
                                    "1663145998065,101.33.218.153,10.0.0.6,55188,22,6,I,D,NX,0,0,0,0",
                                    "1663146005503,192.241.200.164,10.0.0.6,35276,119,6,I,D,NX,0,0,0,0"
                                ]
                            },
                            {
                                "rule": "Internet",
                                "flowTuples": [
                                    "1663145989563,192.0.2.10,10.0.0.6,50557,44357,6,I,D,NX,0,0,0,0",
                                    "1663145989679,203.0.113.81,10.0.0.6,62797,35945,6,I,D,NX,0,0,0,0",
                                    "1663145989709,203.0.113.5,10.0.0.6,51961,65515,6,I,D,NX,0,0,0,0",
                                    "1663145990049,198.51.100.51,10.0.0.6,40497,40129,6,I,D,NX,0,0,0,0",
                                    "1663145990145,203.0.113.81,10.0.0.6,62797,30472,6,I,D,NX,0,0,0,0",
                                    "1663145990175,203.0.113.5,10.0.0.6,51961,28184,6,I,D,NX,0,0,0,0",
                                    "1663146015545,192.0.2.10,10.0.0.6,50557,31244,6,I,D,NX,0,0,0,0"
                                ]
                            }
                        ]
                    }
                ]
            }
        }
    ]
}

Protokolltupel und Bandbreitenberechnung

Hier sehen Sie eine Beispielbandbreitenberechnung für Datenflusstupel aus einer TCP-Konversation zwischen 203.0.113.105:35370 und 10.0.0.5:23:

1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,B,NX,,,, 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,C,NX,1021,588096,8005,4610880 1708978215,203.0.113.105,10.0.0.5,35370,23,6,I,E,NX,52,29952,47,27072

Für die Datenflusszustände C (Fortsetzung) und E (Beendigung) wird die Anzahl von Bytes und Paketen ab dem Zeitpunkt des vorherigen Datenfluss-Tupeldatensatzes aggregiert. In der Beispielkonversation ist die Gesamtanzahl der übertragenen Pakete 1.021 + 52 + 8.005 + 47 = 9.125. Die Gesamtanzahl der übertragenen Bytes ist 588.096 + 29.952 + 4.610.880 + 27.072 = 5.256.000.

Überlegungen zu Datenflussprotokollen für virtuelle Netzwerke

Speicherkonto

Speicherort: Das Speicherkonto muss sich in derselben Region wie das virtuelle Netzwerk befinden.
Subscription: Das Speicherkonto muss sich im selben Abonnement des virtuellen Netzwerks oder in einem Abonnement befinden, das demselben Microsoft Entra Mandanten des Abonnements des virtuellen Netzwerks zugeordnet ist.
Leistungsstufe: Die Leistungsstufe des Speicherkontos muss „Standard“ sein. Premium-Speicherkonten werden nicht unterstützt.
Selbstverwaltete Schlüsselrotation: Wenn Sie die vom Kunden verwalteten Verschlüsselungsschlüssel in Ihrem Speicherkonto ändern oder rotieren, funktionieren die Protokolle des virtuellen Netzwerkflusses nicht mehr. Um dieses Problem zu beheben, müssen Sie die VNet-Datenflussprotokolle deaktivieren und anschließend wieder aktivieren.
Aufbewahrungsrichtlinienregeln: Derzeit unterstützt ein Speicherkonto 100 Regeln, und jede Regel kann 10 Blobpräfixe enthalten. Weitere Informationen finden Sie unter Wie viele Aufbewahrungsrichtlinienregeln kann ein Speicherkonto aufweisen?
Blob-Vorgänge: Protokolle des virtuellen Netzwerkflusses werden in einem Block-Blob in Minutenintervallen aufgenommen, indem Blöcke angefügt werden. Während die Aufnahme ausgeführt wird, führen Sie keine Vorgänge aus, die die Blockstruktur des Blobs ändern, z. B. Bearbeiten, Überschreiben oder Löschen des BLOB-Inhalts. Diese Vorgänge können dazu führen, dass alle nachfolgenden Flussprotokoll-Schreibvorgänge für das Blob dieser bestimmten Stunde fehlschlagen.

ExpressRoute-Gatewaydatenverkehr

Ausgehende Datenströme von VMs zum ExpressRoute-Kreis werden nicht aufgezeichnet, wenn die Datenstromprotokollierung im ExpressRoute-Gateway-Subnetz aktiviert ist. Solche Flows müssen im Subnetz oder in der NIC der VM aufgezeichnet werden. Datenverkehr umgeht auch das ExpressRoute-Gateway, wenn FastPath aktiviert ist und nicht aufgezeichnet wird, wenn die Ablaufprotokollierung im ExpressRoute-Gateway-Subnetz aktiviert ist.

Privater Endpunktdatenverkehr

Der Datenverkehr kann nicht am privaten Endpunkt selbst aufgezeichnet werden. Sie können den Datenverkehr zu einem privaten Endpunkt an der Quell-VM erfassen. Der Datenverkehr wird mit der Quell-IP-Adresse der VM und der Ziel-IP-Adresse des privaten Endpunkts aufgezeichnet. Sie können das Feld PrivateEndpointResourceId verwenden, um Datenverkehr zu identifizieren, der zu einem privaten Endpunkt fließt. Weitere Informationen finden Sie unter Schema für die Datenverkehrsanalyse.

Inkompatible Dienste

Derzeit unterstützen diese Azure-Dienste keine Protokolle für den virtuellen Netzwerkfluss:

Note

App-Dienste, die unter einem Azure App Service Plan bereitgestellt werden, unterstützen keine Protokolle des virtuellen Netzwerkflusses. Weitere Informationen finden Sie unter Funktionsweise der virtuellen Netzwerkintegration.

Pricing

VNet-Datenflussprotokolle werden pro GB der erfassten Netzwerkdatenflussprotokolle abgerechnet und bieten einen Free-Tarif mit 5 GB pro Monat und Abonnement.
Wenn die Datenverkehrsanalyse mit VNet-Datenflussprotokollen aktiviert ist, gelten die Preise für die Datenverkehrsanalyse zu Verarbeitungsraten pro Gigabyte. Die Datenverkehrsanalyse wird beim Free-Tarif nicht angeboten. Weitere Informationen finden Sie unter Network Watcher pricing.
Die Speicherung von Protokollen wird separat in Rechnung gestellt. Weitere Informationen finden Sie unter Azure Blob Storage Pricing.
Virtual Network Ablaufprotokolle erweitern die Protokollierungsabdeckung über Netzwerksicherheitsgrenzen hinaus, um Plattform- und Anwendungsdatenverkehrsszenarien einzuschließen. Dieser breitere Bereich unterstützt zusätzliche Anwendungsfälle und Datenverkehrsmuster, was zu höheren Protokollvolumes im Vergleich zu schmaleren Flussprotokollierungskonfigurationen führen kann.

Unterstützte Szenarien

In der folgenden Tabelle wird der Unterstützungsbereich von Datenflussprotokollen beschrieben.

Scope	Datenflussprotokolle für Netzwerksicherheitsgruppen	VNet-Datenflussprotokolle
Bytes und Pakete in zustandslosen Flüssen	Nicht unterstützt	Supported
Identifizierung der VNet-Verschlüsselung	Nicht unterstützt	Supported
Azure-API-Verwaltung	Nicht unterstützt	Supported
Azure Application Gateway	Nicht unterstützt	Supported
Azure Virtual Network Manager	Nicht unterstützt	Supported
ExpressRoute-Gateway	Nicht unterstützt	Supported
VM-Skalierungsgruppen	Supported	Supported
VPN-Gateway	Nicht unterstützt	Supported

Availability

In den folgenden Tabellen sind die unterstützten Regionen aufgeführt, in denen Sie Protokolle für den virtuellen Netzwerkfluss aktivieren können.

Region	VNet-Datenflussprotokolle	Datenverkehrsanalyse	Log Analytics Arbeitsbereich
Brazil South	✓	✓	✓
Brazil Southeast	✓	✓	✓
Canada Central	✓	✓	✓
Canada East	✓	✓	✓
Central US	✓	✓	✓
Chile Zentral	✓	✓	✓
East US	✓	✓	✓
Ost-USA 2	✓	✓	✓
Mexico Central	✓	✓
Nord-Mittel-USA	✓	✓	✓
Süd-Mittel-USA	✓	✓	✓
Zentraler Westen der USA	✓	✓	✓
West US	✓	✓	✓
Westliches USA 2	✓	✓	✓
Westliches USA 3	✓	✓	✓

Region	VNet-Datenflussprotokolle	Datenverkehrsanalyse	Log Analytics Arbeitsbereich
Österreich Ost	✓	✓
Belgien Zentral	✓	✓
Dänemark, Osten	✓	✓
France Central	✓	✓	✓
France South	✓
Germany North	✓	✓	✓
Deutschland West Central	✓	✓	✓
Italy North	✓	✓	✓
North Europe	✓	✓	✓
Norway East	✓	✓	✓
Norway West	✓		✓
Poland Central	✓	✓	✓
Spain Central	✓	✓
Sweden Central	✓	✓	✓
Switzerland North	✓	✓	✓
Switzerland West	✓	✓	✓
UK South	✓	✓	✓
UK West	✓	✓	✓
West Europe	✓	✓	✓

Region	VNet-Datenflussprotokolle	Datenverkehrsanalyse	Log Analytics Arbeitsbereich
Australia Central	✓	✓	✓
Australien Central 2	✓		✓
Australia East	✓	✓	✓
Australia Southeast	✓	✓	✓
Central India	✓	✓	✓
China East	✓
China, Osten 2	✓	✓	✓
China, Osten 3	✓	✓
China North	✓	✓	✓
China, Norden 2	✓	✓	✓
China, Norden 3	✓	✓
East Asia	✓	✓	✓
Indonesien Zentral	✓	✓	✓
Japan East	✓	✓	✓
Japan West	✓	✓	✓
Jio Indien Mitte			✓
Jio India West	✓	✓	✓
Korea Central	✓	✓	✓
Korea South	✓	✓	✓
Malaysia, Westen	✓	✓	✓
Neuseeland, Norden	✓	✓	✓
South India	✓	✓	✓
Southeast Asia	✓	✓	✓
Taiwan North	✓	✓
Taiwan Nordwest	✓
West India	✓

Region	VNet-Datenflussprotokolle	Datenverkehrsanalyse	Log Analytics Arbeitsbereich
Israel Central	✓	✓	✓
Israel, Nordwesten	✓	✓
Qatar Central	✓	✓	✓
Südafrika Nord	✓	✓	✓
Südafrika, Westen	✓		✓
UAE Central	✓	✓	✓
UAE North	✓	✓	✓

Region	VNet-Datenflussprotokolle	Datenverkehrsanalyse	Log Analytics Arbeitsbereich
US DoD Zentrale	✓
US DoD, Osten	✓
US-Regierung Arizona	✓	✓	✓
US-Regierung Iowa	✓
US-Regierung Texas	✓	✓	✓
US-Regierung Virginia	✓	✓	✓
US Nat East	✓	✓	✓
US Nat West	✓	✓	✓
US Sec East	✓	✓	✓
US Sec West	✓	✓	✓
USA Sec West Central	✓

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-11