Azure VM 과 같이 NSG를 사용하는 환경에서 NSG 를 통과하는 패킷 분석이 필요할 때, NSG flow logs 를 사용할 수 있습니다.
Azure SQL Managed Instance 의 경우에도 NSG 를 가지고 있고 클라이언트에서 요청되는 연결에 대한 패킷에 대한 분석이 필요할 때, NSG flow logs 를 설정할 수 있습니다. 기본적으로 Storage account 에 JSON 포맷으로 로그가 기록됩니다.
NSG flow logs 를 생성하고 Traffice Analytics 기능을 활성화 하면 Log Analytics workspace 에 분석 로그가 사용자 정의 interval (10분 or 1시간)로 프로세싱 되고 Kusto 쿼리를 통해 조회 가능합니다.
다음은 1433 포트를 대상으로 접근하는 클라이언트를 확인하기 위한 샘플 Kusto 쿼리입니다. AzurePublic and ExternalPublic flow 에 대해서는 SrcIP_s 컬럼에값이 나타나지 않을 수 있으며 SrcPublicIPs_s 컬럼을 통해 확인 가능합니다.
AzureNetworkAnalytics_CL
| where TimeGenerated >= Ago(10d)
| where DestPort_d == '1433'
| project SrcPublicIPs_s, NSGRules_s, NSGRule_s, TimeGenerated, FlowStartTime_t, SrcIP_s, DestIP_s, DestPort_d, FlowDirection_s, FlowStatus_s, FlowType_s
| order by FlowStartTime_t desc
[참고자료]
Schema and data aggregation in Traffic Analytics
https://docs.microsoft.com/en-us/azure/network-watcher/traffic-analytics-schema
Introduction to flow logging for network security groups
https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-nsg-flow-logging-overview
작성자: Lai Go / 작성일자: 2021.10.05
