Přehled analýzy provozu
Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací ve vašich cloudových sítích. Analýzy provozu konkrétně analyzují protokoly toku služby Azure Network Watcher, aby poskytovaly přehled o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:
Vizualizujte síťovou aktivitu napříč předplatnými Azure.
Identifikace horkých míst
Zabezpečení sítě pomocí informací o následujících komponentách k identifikaci hrozeb:
- Otevřené porty
- Aplikace, které se pokoušejí o přístup k internetu
- Virtuální počítače, které se připojují k neautorným sítím
Optimalizujte nasazení sítě pro výkon a kapacitu tím, že rozumíte vzorům toku provozu napříč oblastmi Azure a internetem.
Připnutí chybných konfigurací sítě, které můžou vést k selhání připojení ve vaší síti.
Proč analýza provozu?
Je důležité monitorovat, spravovat a znát vlastní síť pro nekompromisní zabezpečení, dodržování předpisů a výkon. Znalost vlastního prostředí je pro ochranu a optimalizaci velmi důležitá. Často potřebujete znát aktuální stav sítě, včetně následujících informací:
- Kdo se připojuje k síti?
- Odkud se připojují?
- Které porty jsou otevřené na internetu?
- Jaké je očekávané chování sítě?
- Existuje nějaké nepravidelné chování sítě?
- Došlo k náhlému nárůstu provozu?
Cloudové sítě se liší od místních podnikových sítí. V místních sítích podporují směrovače a přepínače NetFlow a další ekvivalentní protokoly. Tato zařízení můžete použít ke shromažďování dat o síťovém provozu PROTOKOLU IP při jejich vstupu nebo ukončení síťového rozhraní. Analýzou dat toku provozu můžete vytvořit analýzu toku a objemu síťového provozu.
S virtuálními sítěmi Azure shromáždí protokoly toku data o síti. Tyto protokoly poskytují informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě nebo virtuální síť. Analýza provozu analyzuje nezpracované protokoly toku a kombinuje data protokolů s inteligentními informacemi o zabezpečení, topologii a geografické oblasti. Analýza provozu pak poskytuje přehled o toku provozu ve vašem prostředí.
Analýza provozu poskytuje následující informace:
- Většina komunikujících hostitelů
- Většina komunikačních aplikačních protokolů
- Většina párů hostitelů konversující
- Povolený a blokovaný provoz
- Příchozí a odchozí provoz
- Otevření internetových portů
- Většina blokujících pravidel
- Distribuce provozu na datacentrum Azure, virtuální síť, podsítě nebo podvodná síť
Klíčové komponenty
Pokud chcete použít analýzu provozu, potřebujete následující komponenty:
Network Watcher: Regionální služba, kterou můžete použít k monitorování a diagnostice podmínek na úrovni scénáře sítě v Azure. Pomocí služby Network Watcher můžete zapnout a vypnout protokoly toku ve vašem předplatném. Další informace najdete v tématu Co je Azure Network Watcher? a Povolení nebo zakázání služby Azure Network Watcher.
Log Analytics: Nástroj na webu Azure Portal, který používáte pro práci s daty protokolů služby Azure Monitor. Protokoly Azure Monitoru jsou služba Azure, která shromažďuje data monitorování a ukládá je v centrálním úložišti. Tato data můžou zahrnovat události, údaje o výkonu nebo vlastní data, která jsou poskytována prostřednictvím rozhraní Azure API. Po shromáždění těchto dat jsou k dispozici pro upozorňování, analýzu a export. Monitorování aplikací, jako je monitorování výkonu sítě a analýza provozu, používají protokoly Azure Monitoru jako základ. Další informace najdete v protokolech služby Azure Monitor. Log Analytics nabízí způsob, jak upravovat a spouštět dotazy na protokoly. Tento nástroj můžete také použít k analýze výsledků dotazu. Další informace najdete v tématu Přehled služby Log Analytics ve službě Azure Monitor.
Pracovní prostor Služby Log Analytics: Prostředí, ve které jsou uložená data protokolu služby Azure Monitor, která se týkají účtu Azure. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Přehled pracovního prostoru služby Log Analytics a vytvoření pracovního prostoru služby Log Analytics.
Kromě toho potřebujete pro protokolování toku povolenou skupinu zabezpečení sítě, pokud k analýze protokolů toku skupiny zabezpečení sítě používáte analýzy provozu nebo virtuální síť s povoleným protokolováním toku, pokud k analýze protokolů toku virtuální sítě používáte analýzy provozu:
Skupina zabezpečení sítě (NSG): Prostředek, který obsahuje seznam pravidel zabezpečení, která povolují nebo zakazují síťový provoz do nebo z prostředků připojených k virtuální síti Azure. Skupiny zabezpečení sítě můžou být přidružené k podsítím, síťovým rozhraním (NIC), které jsou připojené k virtuálním počítačům (Resource Manager) nebo k jednotlivým virtuálním počítačům (classic). Další informace najdete v tématu Přehled skupiny zabezpečení sítě.
Protokoly toku skupiny zabezpečení sítě: Zaznamenané informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě. Protokoly toku skupin zabezpečení sítě se zapisují ve formátu JSON a zahrnují:
- Odchozí a příchozí toky na základě pravidel.
- Síťová karta, na kterou se tok vztahuje.
- Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
- Stav provozu, například povolený nebo odepřený
Další informace najdete v tématu Přehled protokolů toku skupiny zabezpečení sítě a Vytvoření protokolu toku skupiny zabezpečení sítě.
Virtuální síť: Prostředek, který umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Další informace najdete v tématu Přehled virtuální sítě.
Protokoly toku virtuální sítě: Zaznamenané informace o příchozím a výchozím provozu IP přes virtuální síť. Protokoly toku virtuální sítě se zapisují ve formátu JSON a zahrnují:
- Odchozí a příchozí toky.
- Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
- Stav provozu, například povolený nebo odepřený
Další informace najdete v tématu Přehled protokolů toku virtuální sítě a Vytvoření protokolu toku virtuální sítě. Informace o rozdílech mezi protokoly toků skupin zabezpečení sítě a protokoly toků virtuální sítě najdete v tématu Protokoly toku virtuální sítě v porovnání s protokoly toků skupin zabezpečení sítě.
Poznámka:
Pokud chcete použít analýzu provozu, musíte k účtu přiřadit jednu z následujících předdefinovaných rolí Azure:
| Model nasazení | Role |
|---|---|
| Správce zdrojů | Vlastník |
| Přispěvatel | |
| Přispěvatel sítě 1 a Přispěvatel monitorování |
1 Přispěvatel sítě nepokrývá Microsoft.OperationalInsights/workspaces/* akce.
Pokud k vašemu účtu nejsou přiřazeny žádné z předchozích předdefinovaných rolí, přiřaďte vlastní roli , která podporuje akce uvedené v protokolech toku a oprávněních analýzy provozu.
Jak funguje analýza provozu
Analýza provozu zkoumá nezpracované protokoly toku. Potom sníží svazek protokolu agregací toků, které mají společnou zdrojovou IP adresu, cílovou IP adresu, cílový port a protokol.
Příkladem může být hostitel 1 na IP adrese 10.10.10.10 a Hostitel 2 na IP adrese 10.10.20.10. Předpokládejme, že tito dva hostitelé komunikují 100krát za jednu hodinu. V tomto případě obsahuje nezpracovaný protokol toku 100 položek. Pokud tito hostitelé pro každou z těchto 100 interakcí používají protokol HTTP na portu 80, má zkrácený protokol jednu položku. Tato položka uvádí, že Hostitel 1 a Hostitel 2 komunikovaly 100krát po dobu jedné hodiny pomocí protokolu HTTP na portu 80.
Omezené protokoly se vylepšují s informacemi o zeměpisné oblasti, zabezpečení a topologii a pak jsou uložené v pracovním prostoru služby Log Analytics. Následující diagram znázorňuje tok dat:
Dostupnost
Následující tabulky obsahují seznam podporovaných oblastí, ve kterých můžete povolit analýzu provozu pro protokoly toku a pracovní prostory služby Log Analytics, které můžete použít.
- Severní Amerika / Jižní Amerika
- Evropa
- Austrálie / Asie / Tichomoří
- Střední východ / Afrika
- Azure Government
| Oblast | Protokoly toků skupin zabezpečení sítě | Protokoly toku virtuální sítě | Analýza provozu | Pracovní prostor služby Log Analytics |
|---|---|---|---|---|
| Brazílie – jih | ✓ | ✓ | ✓ | ✓ |
| Brazílie – jihovýchod | ✓ | ✓ | ✓ | ✓ |
| Střední Kanada | ✓ | ✓ | ✓ | ✓ |
| Kanada – východ | ✓ | ✓ | ✓ | ✓ |
| USA – střed | ✓ | ✓ | ✓ | ✓ |
| USA – východ | ✓ | ✓ | ✓ | ✓ |
| USA – východ 2 | ✓ | ✓ | ✓ | ✓ |
| Mexiko – střed | ✓ | ✓ | ✓ | |
| Severní střed USA | ✓ | ✓ | ✓ | ✓ |
| Středojižní USA | ✓ | ✓ | ✓ | ✓ |
| Středozápad USA | ✓ | ✓ | ✓ | ✓ |
| USA – západ | ✓ | ✓ | ✓ | ✓ |
| Západní USA 2 | ✓ | ✓ | ✓ | ✓ |
| USA – západ 3 | ✓ | ✓ | ✓ | ✓ |
Poznámka:
Pokud se protokoly toku podporují v oblasti, ale pracovní prostor služby Log Analytics není v této oblasti podporovaný pro analýzu provozu, můžete použít pracovní prostor služby Log Analytics z jakékoli jiné podporované oblasti. V takovém případě se nebudou účtovat žádné další poplatky za přenos dat mezi oblastmi za použití pracovního prostoru služby Log Analytics z jiné oblasti.
Ceny
Podrobnosti o cenách najdete v tématu Ceny služby Network Watcher a ceny služby Azure Monitor.
Nejčastější dotazy k analýze provozu
Odpovědi na nejčastější dotazy k analýze provozu najdete v tématu Nejčastější dotazy k analýze provozu.
Související obsah
- Informace o používání analýzy provozu najdete ve scénářích využití.
- Pokud chcete porozumět schématu a zpracování podrobností analýzy provozu, přečtěte si téma Schéma a agregace dat v Analýze provozu.