(6/1 업데이트)

네트워크 지갑 개요

· Azure 서비스는 전통적인 단일 네트워크 자원을 감시할 수 있을 뿐만 아니라 여러 자원 조합의 방안 단계에서 네트워크 감시를 할 수 있다.
・ 다음과 같은 기능을 제공합니다.
- 토폴로지
- IP 스트림 확인
- 다음 홉
- 보안 그룹 보기
- 패킷 캡처
-VPN 진단
- 연결 확인(미리보기)
-NSG 흐름 로그
- 진단 로그
- 네트워크 가입 제한 사항
・ 2017/5/4 일본 지역(물건)에서도 사용 가능.

네트워크 지갑 기능

네트워크 지갑 사용

Azure 포털에서 네트워크 Watcher를 선택하여 요약 페이지를 엽니다.
사용할 가입 드롭다운 메뉴를 누르고 네트워크 지갑을 사용할 영역을 오른쪽 단추로 누르십시오.
※ Network Watcher는 지역적인 서비스를 위해 모든 지역에서 유효해야 합니다.
활성화되면 네트워크 지갑은 이 지역의 네트워크 자원 상태를 얻을 수 있습니다.

토폴로지

네트워크 자원 간의 연결 관계 등은 아래 그림과 같이 도형적으로 볼 수 있다.
각 네트워크 리소스 간에도 연관성을 확인할 수 있습니다(다음 그림에서 NSG는 서브넷과 NIC 등에 각각 적용됨).

IP 스트림 확인

로컬 및 원격 IP 포트, 프로토콜을 지정하여 패킷이 허용되는지 확인할 수 있습니다.
다음 그림은 내 환경(이 PC 환경의 IP 설정만 허용)과 무관한 IP가 통신을 시작하는 것을 확인합니다.
허용 및 거부된 보안 규칙도 표시됩니다.

다음 홉

입력한 연결부로 갈 때 다음 점프가 어디인지 확인할 수 있습니다.
다음 그림은 NAT 인스턴스 구성에서 외부 통신의 다음 홉을 보여 줍니다.
루트 테이블에서 0.0.0.0/0이 NAT 인스턴스를 가리키므로 다음 홉에는 NAT 인스턴스의 로컬 IP가 표시됩니다.

보안 그룹 보기

VM에 적용되는 유효한 보안 규칙을 표시합니다.
서브넷에 적용되는 규칙, NIC에 적용되는 규칙 및 기본 규칙만 표시할 수도 있습니다.

패킷 캡처

지정한 로컬 및 원격 IP 포트, 프로토콜 필터링 가능한 패키지 캡처 기능.
캡처된 데이터는 cap 파일에서 BLOB로 출력됩니다.
사용하려면 가상 시스템에 네트워크 지갑 에이전트 확장을 설치해야 합니다.
# 현재 포털에서 설치하는 동안 오류가 발생할 수 있으므로 Powershell 및 CLI 를 사용하는 것이 좋습니다.
Powershell의 프록시 설치 방법은 다음과 같습니다(Linux).

Set-AzureRmVMExtension -ResourceGroupName "yourResourceGroupName" -Location "yourLocation" -VMName "yourVMName" -Name "networkWatcherAgent" -Publisher "Microsoft.Azure.NetworkWatcher" -ExtensionType "NetworkWatcherAgentLinux" -TypeHandlerVersion "1.4"

다음 그림은 패킷 캡처 설정 화면입니다.

출력된 cap 파일을 다운로드하여 WireShark 등으로 열면 패키지 정보를 다음과 같이 확인할 수 있습니다.

NSG 프로세스 로그

NSG 보안 규칙에서 허용하고 거부된 트래픽과 관련된 로그를 가져올 수 있습니다.
로그는 JSON 형식으로 지정된 BLOB로 출력됩니다.
다음 그림은 출력 로그의 일부입니다.
시스템 ID 및 리소스 ID가 숨겨집니다.

NSG 스트림 로그 정보

이번에 특히 주목하고 싶은 것은 로그의 속성 내의 정보다.
여기에는 NSG의 규칙과 해당 규칙에 맞는 통신 내용이 나와 있습니다.
flowTuples 아래에 쉼표로 구분하여 이 정보를 기록합니다.
기재 정보는 아래와 같다.

タイムスタンプ、ソースIP、リモートIP、ソースポート、リモートポート、プロトコル(TCP or UDP)、トラフィックフロー(Inbound or Outbound)、アクション内容(Allow or Deny)

현재 위의 JSON 형식으로만 출력되므로 양식으로 출력할 수 없지만 검색에서 IP 등으로 확인합니다."T, I, D"로 검색하고 Deny 로그 등을 확인합니다.

총결산

실제 운용시 감시에 활용되는 기능이 다소 부족하다는 점은 부인할 수 없지만 환경을 구축할 때 네트워크의 최종 확인과 고장 시 상황 확인 등 전체를 내려다볼 때 사용하기 쉬운 서비스다.
로그 감시 주변은 향후 업데이트를 기대합니다.

추가 기록 (6/1)

PowerBI는 NSG의 프로세스 로그를 보여줍니다.
IP, 동작, 프로토콜 등의 필터링을 통해 표시할 수도 있어 보기 좋습니다!
자세한 단계는 아래 링크에 적혀 있습니다. 참조하십시오.
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-power-bi

참조 링크

개요

Azure 네트워크 모니터링 개요
https://docs.microsoft.com/ja-jp/azure/network-watcher/network-watcher-monitoring-overview
Announcing Azure Network Watcher – Network Performance Monitoring and Diagnostics Service for Azure
https://azure.microsoft.com/ja-jp/blog/announcing-azure-network-watcher-network-performance-monitoring-and-diagnostics-service-for-azure/