Upravit

Sdílet prostřednictvím


Nejčastější dotazy k analýze provozu

Tento článek obsahuje odpovědi na nejčastější dotazy týkající se analýzy provozu ve službě Azure Network Watcher.

Jak zjistím, jestli mám požadované role?

Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.

Můžu povolit protokoly toku pro skupiny zabezpečení sítě, které jsou v různých oblastech než v oblasti pracovního prostoru?

Ano, skupiny zabezpečení sítě můžou být v různých oblastech než vaše oblast pracovního prostoru služby Log Analytics.

Je možné v rámci jednoho pracovního prostoru nakonfigurovat více skupin zabezpečení sítě?

Ano.

Podporují se klasické skupiny zabezpečení sítě?

Ne, analýza provozu nepodporuje klasické skupiny zabezpečení sítě.

Proč analýza provozu nezobrazuje data pro skupiny zabezpečení sítě s povolenou analýzou provozu?

V rozevíracím seznamu pro výběr prostředků na řídicím panelu analýzy provozu musí být vybraná skupina prostředků prostředku virtuální sítě , nikoli skupina prostředků virtuálního počítače nebo skupiny zabezpečení sítě.

Můžu použít existující pracovní prostor?

Ano. Pokud vyberete existující pracovní prostor, ujistěte se, že byl migrován do nového dotazovacího jazyka. Pokud nechcete pracovní prostor upgradovat, musíte vytvořit nový. Další informace o dotazovací jazyk Kusto (KQL) najdete v tématu Dotazy protokolu ve službě Azure Monitor.

Může být můj účet úložiště Azure v jednom předplatném a pracovní prostor služby Log Analytics je v jiném předplatném?

Ano, váš účet úložiště Azure může být v jednom předplatném a váš pracovní prostor služby Log Analytics může být v jiném předplatném.

Můžu ukládat nezpracované protokoly v jiném předplatném, než je předplatné používané pro skupiny zabezpečení sítě nebo virtuální sítě?

Ano. Protokoly toku můžete nakonfigurovat tak, aby se odesílaly do účtu úložiště umístěného v jiném předplatném za předpokladu, že máte příslušná oprávnění a že se účet úložiště nachází ve stejné oblasti jako skupina zabezpečení sítě (protokoly toku skupiny zabezpečení sítě) nebo virtuální sítě (protokoly toku virtuální sítě). Cílový účet úložiště musí sdílet stejného tenanta Microsoft Entra skupiny zabezpečení sítě nebo virtuální sítě.

Můžou se prostředky protokolů toku a účty úložiště nacházet v různých tenantech?

Ne. Všechny prostředky musí být ve stejném tenantovi, včetně skupin zabezpečení sítě (protokolů toku skupiny zabezpečení sítě), virtuálních sítí (protokolů toku virtuální sítě), protokolů toků, účtů úložiště a pracovních prostorů služby Log Analytics (pokud je povolená analýza provozu).

Můžu pro účet úložiště nakonfigurovat jiné zásady uchovávání informací než pro pracovní prostor služby Log Analytics?

Ano.

Při odstranění účtu úložiště použitého k protokolování toku ztratím data uložená v pracovním prostoru služby Log Analytics?

Ne. Pokud odstraníte účet úložiště, který se používá pro protokoly toku, nebudou ovlivněna data uložená v pracovním prostoru služby Log Analytics. Historická data můžete stále zobrazit v pracovním prostoru služby Log Analytics (některé metriky budou ovlivněny), ale analýza provozu už nebude zpracovávat žádné nové další protokoly toku, dokud neaktualizujete protokoly toku tak, aby používaly jiný účet úložiště.

Co když nemůžu nakonfigurovat skupinu zabezpečení sítě pro analýzu provozu kvůli chybě Nenalezena?

Vyberte podporovanou oblast. Pokud vyberete nepodporované oblasti, zobrazí se chyba Nenalezena. Další informace najdete v tématu Analýza provozu podporované oblasti.

Co když na stránce s protokoly toku získám stav : Nepodařilo se načíst?

Aby Microsoft.Insights protokolování toku fungovalo správně, musí být zprostředkovatel zaregistrovaný. Pokud si nejste jistí, jestli Microsoft.Insights je poskytovatel zaregistrovaný pro vaše předplatné, přečtěte si pokyny k registraci na webu Azure Portal, PowerShellu nebo Azure CLI .

Nakonfiguroval(a) jsem řešení. Proč se na řídicím panelu nic nezobrazuje?

První zobrazení sestav na řídicím panelu může trvat až 30 minut. Řešení musí nejprve agregovat dostatek dat, aby bylo možné odvodit smysluplné přehledy a pak vygenerovat sestavy.

Co když se zobrazí tato zpráva: "Nepodařilo se nám najít žádná data v tomto pracovním prostoru pro vybraný časový interval. Zkuste změnit časový interval nebo vybrat jiný pracovní prostor??

Vyzkoušejte následující možnosti:

  • Změňte časový interval na horním panelu.
  • Na horním panelu vyberte jiný pracovní prostor služby Log Analytics.
  • Zkuste se po 30 minutách dostat k analýze provozu, pokud byla nedávno povolená.

Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Co když se zobrazí tato zpráva: "První analýza protokolů toku NSG Dokončení tohoto procesu může trvat 20 až 30 minut. Po nějaké době se vraťte zpátky."?

Tato zpráva se může zobrazit z následujících důvodů:

  • Analýza provozu byla nedávno povolená a možná ještě neagregovala dostatek dat, aby mohla odvodit smysluplné přehledy.
  • Používáte bezplatnou verzi pracovního prostoru služby Log Analytics a překročili jste limity kvót. Možná budete muset použít pracovní prostor s větší kapacitou.

Vyzkoušejte navrhovaná řešení pro předchozí otázku. Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Co když se zobrazí tato zpráva: "Vypadá to, že máme data prostředků (topologie) a žádné informace o tocích. Další informace získáte kliknutím sem, abyste zobrazili data o prostředcích a podívali se na nejčastější dotazy.?

Na řídicím panelu se zobrazují informace o prostředcích; Nejsou však přítomny žádné statistiky související s toky. Data nemusí být přítomná kvůli žádným komunikačním tokům mezi prostředky. Počkejte 60 minut a znovu zkontrolujte stav. Pokud problém přetrvává a jste si jistí, že existují komunikační toky mezi prostředky, vzbuďte obavy v Q&A od Microsoftu.

Můžu nakonfigurovat analýzu provozu pomocí PowerShellu?

Analýzy provozu můžete nakonfigurovat pomocí Windows PowerShellu verze 6.2.1 a vyšší. Pokud chcete nakonfigurovat protokolování toku a analýzu provozu pro konkrétní skupinu zabezpečení sítě pomocí PowerShellu, přečtěte si téma Povolení protokolů toků skupin zabezpečení sítě a analýzy provozu.

Můžu nakonfigurovat analýzu provozu pomocí šablony Azure Resource Manageru nebo souboru Bicep?

Ano, ke konfiguraci analýzy provozu můžete použít šablonu Azure Resource Manageru nebo soubor Bicep. Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM) a konfigurace protokolů toku NSG pomocí souboru Bicep.

Jak je analýza provozu cenná?

Analýza provozu se měří. Měření vychází ze zpracování nezpracovaných dat protokolu toku službou. Další informace najdete v tématu Ceny služby Network Watcher.
Rozšířené protokoly ingestované v pracovním prostoru služby Log Analytics se dají uchovávat bez poplatků až za prvních 31 dnů (nebo 90 dní, pokud je v pracovním prostoru povolená služba Microsoft Sentinel). Další informace najdete v tématu o cenách služby Azure Monitor.

Jak často analýza provozu zpracovává data?

Výchozí interval zpracování analýzy provozu je 60 minut, ale můžete vybrat zrychlené zpracování v 10 minutách. Další informace najdete v tématu Agregace dat v analýze provozu.

Jak se analýza provozu rozhodne, že IP adresa je škodlivá?

Analýza provozu spoléhá na interní systémy analýzy hrozeb Microsoftu, aby považovaly IP adresu za škodlivou. Tyto systémy využívají různorodé zdroje telemetrie, jako jsou produkty a služby Microsoftu, jednotka Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) a externí informační kanály a vytvářejí nad ním spoustu inteligentních informací. Některá z těchto dat jsou interní microsoft. Pokud se známá IP adresa označí jako škodlivá, vytvořte lístek podpory, abyste věděli podrobnosti.

Jak můžu nastavit upozornění na data analýzy provozu?

Analýza provozu nemá integrovanou podporu pro výstrahy. Vzhledem k tomu, že jsou data analýzy provozu uložená v Log Analytics, můžete na ně psát vlastní dotazy a nastavit na ně upozornění. Postupujte následovně:

  • V analýze provozu můžete použít odkaz Log Analytics.
  • K zápisu dotazů použijte schéma analýzy provozu.
  • Výběrem nového pravidla upozornění vytvořte výstrahu.
  • Informace o vytvoření upozornění najdete v tématu Vytvoření nového pravidla upozornění.

Návody zkontrolovat, které virtuální počítače přijímají nejvíce místního provozu?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Pro IP adresy použijte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Pro čas použijte formát: rrrr-mm-dd 00:00:00

Návody kontrolovat směrodatnou odchylku provozu přijatého mými virtuálními počítači z místních počítačů?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Pro IP adresy:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Návody zkontrolujte, které porty jsou dostupné (nebo blokované) mezi páry IP adres s pravidly NSG?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Jak se dá navigace pomocí klávesnice v zobrazení geografické mapy?

Stránka geografické mapy obsahuje dva hlavní oddíly:

  • Banner: Banner v horní části geografické mapy poskytuje tlačítka pro výběr filtrů distribuce provozu (například Nasazení, Provoz ze zemí/oblastí a Škodlivý). Když vyberete tlačítko, použije se příslušný filtr na mapě. Pokud například vyberete tlačítko Aktivní, mapa zvýrazní aktivní datacentra ve vašem nasazení.
  • Mapa: Pod bannerem se v části mapy zobrazuje distribuce provozu mezi datacentry Azure a zeměmi/oblastmi.

Navigace pomocí klávesnice na banneru

  • Ve výchozím nastavení je výběr na stránce geografické mapy banneru filtrem Azure DCS.
  • Pokud chcete přejít na jiný filtr, použijte buď Tab klíč, nebo Right arrow klíč. Pokud se chcete posunout dozadu, použijte buď Shift+Tab klíč, nebo Left arrow klíč. Navigace vpřed je zleva doprava a nahoře dolů.
  • Vybraný filtr použijete stisknutím Enter klávesy se Down šipkou. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů v oddílu mapy.
  • Pokud chcete přepínat mezi bannerem a mapou, stiskněte .Ctrl+F6

Navigace pomocí klávesnice na mapě

  • Jakmile vyberete libovolný filtr na banneru a stisknete , fokus se přesune Ctrl+F6na jeden ze zvýrazněných uzlů (datacentrum Azure nebo země/ oblast) v zobrazení mapy.
  • Pokud chcete přejít na jiné zvýrazněné uzly v mapě, použijte k pohybu vpřed buď Tab nebo Right arrow klíč. Použijte Shift+Tab nebo klávesu Left arrow pro pohyb dozadu.
  • Pokud chcete vybrat libovolný zvýrazněný uzel v mapě, použijte klávesu Enter nebo Down arrow klíč.
  • Při výběru těchto uzlů se fokus přesune do informačního pole pro daný uzel. Ve výchozím nastavení se fokus přesune na zavřené tlačítko v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte Right arrow a Left arrow klávesy k pohybu dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
  • Když stisknete Tab fokus na informačním panelu, přesune se fokus na koncové body ve stejném kontinentu jako vybraný uzel. K procházení těchto koncových bodů použijte klíče Right arrow Left arrow a klíče.
  • Pokud chcete přejít na jiné koncové body toku nebo clustery kontinentů, použijte Tab k pohybu vpřed a Shift+Tab k pohybu dozadu.
  • Když je fokus na clusterech kontinentů, zvýrazněte koncové body uvnitř kontinentu pomocí Enter kláves se Down šipkami. Pokud chcete procházet koncové body a tlačítko zavřít v informačním rámečku kontinentu, použijte Right arrow Left arrow k pohybu dopředu a dozadu buď klíč, nebo ho použijte. Na libovolném koncovém bodu můžete přepnout Shift+L na připojovací řádek z vybraného uzlu na koncový bod. Dalším stisknutím Shift+L můžete přejít na vybraný koncový bod.

Navigace pomocí klávesnice v libovolné fázi

  • Klávesa Esc sbalí rozbalený výběr.
  • Klíč Up-arrow provede stejnou akci jako Esc. Klíč Down arrow provede stejnou akci jako Enter.
  • Slouží Shift+Plus k přiblížení a Shift+Minus oddálení.

Jak se dá navigace pomocí klávesnice v zobrazení topologie virtuální sítě?

Stránka topologie virtuálních sítí obsahuje dvě hlavní části:

  • Banner: Banner v horní části topologie virtuálních sítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například připojené virtuální sítě, odpojené virtuální sítě a veřejné IP adresy). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální sítě ve vašem nasazení.
  • Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuálními sítěmi.

Navigace pomocí klávesnice na banneru

  • Ve výchozím nastavení je výběr na stránce topologie virtuálních sítí pro banner filtr Připojené virtuální sítě.
  • Pokud chcete přejít na jiný filtr, použijte Tab klíč k pohybu vpřed. K pohybu dozadu použijte Shift+Tab klíč. Navigace vpřed je zleva doprava a nahoře dolů.
  • Stisknutím Enter použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (virtuální síť) v části topologie.
  • Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu Ctrl+F6.

Navigace pomocí klávesnice v topologii

  • Po výběru jakéhokoli filtru na banneru a stisknutí se Ctrl+F6fokus přesune na jeden ze zvýrazněných uzlů (VNet) v zobrazení topologie.
  • Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte Shift+Right arrow klíč pro pohyb vpřed.
  • Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte klávesy Right arrow a Left arrow pohyb dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
  • Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy Shift+Left arrow . Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesy Shift+Right arrow .

Jak se dá navigace pomocí klávesnice v zobrazení topologie podsítě?

Stránka topologie virtuálních podsítí obsahuje dvě hlavní části:

  • Banner: Banner v horní části topologie virtuálních podsítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například aktivní, střední a podsítě brány). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální podsíť ve vašem nasazení.
  • Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuální podsítěmi.

Navigace pomocí klávesnice na banneru

  • Ve výchozím nastavení je výběr na stránce topologie virtuální podsítě pro banner filtr Podsítě.
  • Pokud chcete přejít na jiný filtr, použijte Tab klíč k pohybu vpřed. K pohybu dozadu použijte Shift+Tab klíč. Navigace vpřed je zleva doprava a nahoře dolů.
  • Stisknutím Enter použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (podsíť) v části topologie.
  • Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu Ctrl+F6.

Navigace pomocí klávesnice v topologii

  • Po výběru jakéhokoli filtru na banneru a stisknutí se Ctrl+F6fokus přesune na jeden ze zvýrazněných uzlů (podsíť) v zobrazení topologie.
  • Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte Shift+Right arrow klíč pro pohyb vpřed.
  • Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte Right arrow a Left arrow klávesy k pohybu dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
  • Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy Shift+Left arrow . Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesy Shift+Right arrow .