Azure Storage — przywrócenie przechowywania dzienników przepływów sieciowych grup zabezpieczeń

Funkcja Przechowywanie dzienników przepływów sieciowych grup zabezpieczeń została niedawno wyłączona, ale została przywrócona dla kont ogólnego przeznaczenia w wersji 2 (GPv2) i kont usługi Blob Storage.  Nie zostanie ona przywrócona dla kont magazynu ogólnego przeznaczenia w wersji 1 (GPv1).

Co zostało przywrócone?

Przechowywanie dzienników przepływów sieciowych grup zabezpieczeń jest teraz dostępne dla użytkowników z kontami GPv2 i kontami usługi Blob Storage — dane dzienników przepływów będą usuwane zgodnie z wcześniej skonfigurowanymi zasadami przechowywania. W przyszłości skonfigurowanie okresu przechowywania spowoduje utworzenie zasad zarządzania cyklem życia danych na koncie magazynu.

Przechowywanie nie zostanie przywrócone dla użytkowników z kontami GPv1, ale dzienniki przepływów będą nadal działać tak jak obecnie. Użytkownikom mającym konta magazynu w wersji 1 zaleca się uaktualnienie tych kont do wersji 2 w celu włączenia przechowywania. Uaktualnienie do wersji 2 jest bezpłatne, a konta w wersji 2 zapewniają więcej funkcji.

Ograniczenia magazynu dla kont GPv2

W przypadku kont GPv2 bieżący mechanizm może obsługiwać maksymalnie 1000 sieciowych grup zabezpieczeń. Jeśli zostanie zarejestrowanych ponad 1000 sieciowych grup zabezpieczeń, klienci będą musieli zacząć korzystać z wielu kont magazynu. Dlaczego? Konta magazynu umożliwiają utworzenie maksymalnie 100 reguł. W połączeniu z 10 prefiksami dopasowania dla każdej reguły oznacza to, że obecnie możemy obsłużyć maksymalnie 1000 sieciowych grup zabezpieczeń na konto magazynu.

Co muszę zrobić?

• Użytkownicy korzystający z kont GPv2 i kont usługi Blob Storage w dziennikach przepływów sieciowych grup zabezpieczeń — aby przywrócić przechowywanie, użytkownicy muszą wyłączyć, a następnie włączyć dzienniki przepływów w każdej sieciowej grupie zabezpieczeń.
  • Portal: W przypadku każdej sieciowej grupy zabezpieczeń — przejdź do ustawień dzienników przepływów i przełącz stan na Wyłączone. Kliknij pozycję Zapisz. Przełącz stan na Włączone. Kliknij pozycję Zapisz
  • PowerShell: Użyj modułu Set-AzureRmNetworkWatcherConfigFlowLog. W przypadku każdej sieciowej grupy zabezpieczeń przełącz opcję -EnableFlowLog na wartość false. Następnie przełącz ją z powrotem na wartość true. Przykładowe polecenia można znaleźć w dokumentacji.
  • Interfejs wiersza polecenia platformy Azure: Użyj modułu az network watcher flow-log. W przypadku każdej sieciowej grupy zabezpieczeń przełącz opcję --enabled na wartość false. Następnie przełącz ją z powrotem na wartość true. Przykładowe polecenia można znaleźć w dokumentacji.

Spowoduje to ponowne skonfigurowanie dzienników przepływu i przywrócenie przechowywania. Jeśli te czynności nie zostaną wykonane, przechowywanie zostanie przywrócone dla użytkowników dzienników przepływów sieciowych grup zabezpieczeń korzystających z kont magazynu w wersji 2 w procesie ręcznej migracji po 60 dniach.

• Użytkownicy korzystający z kont magazynu GPv1 w dziennikach przepływów sieciowych grup zabezpieczeń — jeśli zamierzasz trwale przechowywać dane, nie jest wymagana żadna akcja. Dane istniejące na koncie magazynu w wersji 1 pozostaną bez zmian, a dzienniki przepływów sieciowych grup zabezpieczeń będą nadal działać, ale dane nie będą usuwane przez usługę przechowywania. Postępuj zgodnie z tymi instrukcjami, aby uaktualnić konto do wersji 2 w celu włączenia przechowywania. Jeśli nie chcesz uaktualniać konta magazynu, możesz użyć podanego wcześniej skryptu usuwania.

Jak mogę uaktualnić moje konto?

Aby uaktualnić do wersji 2, postępuj zgodnie z tymi instrukcjami.