问题描述
在使用Service Bus中,遇见了莫名奇妙,不知来源的访问,但是又不敢直接修改Access Key(担心影响正常业务), 所以想通过访问服务的客户端IP地址来分析,到底是那里的客户端在访问Service Bus服务?
问题解答
经过调查,可以通过开启Azure Service Bus的诊断日志来实现此目的。
日志字段说明:
- IPAddress : 连接到服务总线服务的客户端的 IP 地址
- AddressIP : 连接到服务总线的客户端的 IP地址
- TimeGenerated [UTC] : 执行操作的时间 (UTC)
- Action : 服务总线服务在评估连接请求时执行的操作。 支持的操作为“接受连接”和“拒绝连接” 。
- Reason : 提供执行操作的原因
(Source:监视 Azure 服务总线数据参考 - Azure Service Bus | Azure Docs)
那么,接下来,就让我们一步一步的来实现验证它是否可行?
第一步:启用Azure Service Bus诊断日志(Diagnostic Setting)
Service Bus Portal --> Diagnostic Setting --> 选择“VNet / IP Fitering connection Logs”/“也可以全部选择”。 本次实验中:我们把日志收集在Log Analytics Workspace中。
第二步:[必须]设置Service Bus的 IP Filter
因为启用虚拟网络只能在Service Bus的高级版,所以这里只能使用IP Filter。
但是又遇见了另外一个问题,在Azure Service Bus的门户上,无法选择Networks,并进行IP Filter的设置。参考文档:配置 Azure 服务总线的 IP 防火墙规则 - Azure Service Bus | Azure Docs
所以只能通过Azure CLI命令:
## 设置中国区环境 并登录 az cloud set --name AzureChinaCloud az login az account set --subscription "your subscription id" ## 设置 ip filter 0.0.0.0/0 表示所有IP地址段都放行 az servicebus namespace network-rule-set ip-rule add --resource-group <resource group name> --namespace-name <name> --ip-rule ip-address=0.0.0.0/0 action=Allow
执行结果如下:
第三步:验证
- 在本地通过Azure Service Bus Explorer发送/接受消息
- 在Service Bus的Logs页面中检查日志
预期结果是可以查看到如下的内容:
但是,在测试等待30分钟左右,依旧没有发现又IP Address 或 Address IP的日志。
所以,在2024/03/26日,测试失败!
参考资料
配置 Azure 服务总线的 IP 防火墙规则 :https://docs.azure.cn/zh-cn/service-bus-messaging/service-bus-ip-filtering#use-azure-cli
az servicebus namespace network-rule-set ip-rule add : https://learn.microsoft.com/zh-cn/cli/azure/servicebus/namespace/network-rule-set/ip-rule?view=azure-cli-latest#az-servicebus-namespace-network-rule-set-ip-rule-add
