问题描述

在使用Service Bus中，遇见了莫名奇妙，不知来源的访问，但是又不敢直接修改Access Key(担心影响正常业务), 所以想通过访问服务的客户端IP地址来分析，到底是那里的客户端在访问Service Bus服务？

问题解答

经过调查，可以通过开启Azure Service Bus的诊断日志来实现此目的。

日志字段说明：

• IPAddress : 连接到服务总线服务的客户端的 IP 地址

• AddressIP : 连接到服务总线的客户端的 IP地址

• TimeGenerated [UTC] : 执行操作的时间 (UTC)

• Action : 服务总线服务在评估连接请求时执行的操作。 支持的操作为“接受连接”和“拒绝连接” 。

• Reason : 提供执行操作的缘由

• （Source：监视 Azure 服务总线数据参考 - Azure Service Bus | Azure Docs）*

那么，接下来，就让我们一步一步的来实现验证它是否可行？

第一步：启用Azure Service Bus诊断日志(Diagnostic Setting)

Service Bus Portal --> Diagnostic Setting --> 选择“VNet / IP Fitering connection Logs”/“也可以全部选择”。 本次实验中：我们把日志收集在Log Analytics Workspace中。

第二步：[必须]设置Service Bus的 IP Filter

由于启用虚拟网络只能在Service Bus的高级版，所以这里只能使用IP Filter。

但是又遇见了另外一个问题，在Azure Service Bus的门户上，无法选择Networks，并进行IP Filter的设置。参考文档：配置 Azure 服务总线的 IP 防火墙规则 - Azure Service Bus | Azure Docs

所以只能通过Azure CLI命令：

## 设置中国区环境 并登录
az cloud set --name AzureChinaCloud
az login
az account set --subscription "your subscription id" 

## 设置 ip filter 0.0.0.0/0 表明所有IP地址段都放行

az servicebus namespace network-rule-set ip-rule add --resource-group <resource group name> --namespace-name <name> --ip-rule ip-address=0.0.0.0/0 action=Allow

执行结果如下：

第三步：验证

• 在本地通过Azure Service Bus Explorer发送/接受消息

• 在Service Bus的Logs页面中检查日志

预期结果是可以查看到如下的内容：

但是，在测试等待30分钟左右，依旧没有发现又IP Address 或 Address IP的日志。

所以，在2024/03/26日，测试失败！

参考资料

服务总线IP地址：https://docs.azure.cn/zh-cn/service-bus-messaging/monitor-service-bus-reference#virtual-network-and-ip-filtering-logs

配置 Azure 服务总线的 IP 防火墙规则 ：https://docs.azure.cn/zh-cn/service-bus-messaging/service-bus-ip-filtering#use-azure-cli

az servicebus namespace network-rule-set ip-rule add : https://learn.microsoft.com/zh-cn/cli/azure/servicebus/namespace/network-rule-set/ip-rule?view=azure-cli-latest#az-servicebus-namespace-network-rule-set-ip-rule-add

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!