Upravit

Sdílet prostřednictvím

Nejčastější dotazy k analýze provozu

  • Časté otázky

Tento článek obsahuje odpovědi na nejčastější dotazy týkající se možností analýzy provozu služby Azure Network Watcher.

Jak zjistím, jestli mám požadované role?

Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.

Můžu povolit protokoly toku pro skupiny zabezpečení sítě, které jsou v různých oblastech než v oblasti pracovního prostoru?

Ano, skupiny zabezpečení sítě můžou být v různých oblastech než vaše oblast pracovního prostoru služby Log Analytics.

Je možné v rámci jednoho pracovního prostoru nakonfigurovat více skupin zabezpečení sítě?

Ano.

Podporují se klasické skupiny zabezpečení sítě?

Ne, analýza provozu nepodporuje klasické skupiny zabezpečení sítě.

Proč analýza provozu nezobrazuje data pro skupiny zabezpečení sítě s povolenou analýzou provozu?

V rozevíracím seznamu pro výběr prostředků na řídicím panelu analýzy provozu musí být vybraná skupina prostředků prostředku virtuální sítě , nikoli skupina prostředků virtuálního počítače nebo skupiny zabezpečení sítě.

Můžu použít existující pracovní prostor?

Ano. Pokud vyberete existující pracovní prostor, ujistěte se, že byl migrován do nového dotazovacího jazyka. Pokud nechcete pracovní prostor upgradovat, musíte vytvořit nový. Další informace o dotazovací jazyk Kusto (KQL) najdete v tématu Dotazy protokolu ve službě Azure Monitor.

Může být můj účet úložiště Azure v jednom předplatném a pracovní prostor služby Log Analytics je v jiném předplatném?

Ano, váš účet úložiště Azure může být v jednom předplatném a váš pracovní prostor služby Log Analytics může být v jiném předplatném.

Můžu ukládat nezpracované protokoly v jiném předplatném, než je předplatné používané pro skupiny zabezpečení sítě nebo virtuální sítě?

Ano. Protokoly toku můžete nakonfigurovat tak, aby se odesílaly do účtu úložiště umístěného v jiném předplatném za předpokladu, že máte příslušná oprávnění a že se účet úložiště nachází ve stejné oblasti jako skupina zabezpečení sítě (protokoly toku skupiny zabezpečení sítě) nebo virtuální sítě (protokoly toku virtuální sítě). Cílový účet úložiště musí sdílet stejného tenanta Microsoft Entra skupiny zabezpečení sítě nebo virtuální sítě.

Můžou se prostředky protokolů toku a účty úložiště nacházet v různých tenantech?

Ne. Všechny prostředky musí být ve stejném tenantovi, včetně skupin zabezpečení sítě (protokolů toku skupiny zabezpečení sítě), virtuálních sítí (protokolů toku virtuální sítě), protokolů toků, účtů úložiště a pracovních prostorů služby Log Analytics (pokud je povolená analýza provozu).

Můžu pro účet úložiště nakonfigurovat jiné zásady uchovávání informací než pro pracovní prostor služby Log Analytics?

Ano.

Při odstranění účtu úložiště použitého k protokolování toku ztratím data uložená v pracovním prostoru služby Log Analytics?

Ne. Pokud odstraníte účet úložiště, který se používá pro protokoly toku, nebudou ovlivněna data uložená v pracovním prostoru služby Log Analytics. Historická data můžete stále zobrazit v pracovním prostoru služby Log Analytics (některé metriky budou ovlivněny), ale analýza provozu už nebude zpracovávat žádné nové další protokoly toku, dokud neaktualizujete protokoly toku tak, aby používaly jiný účet úložiště.

Co když nemůžu nakonfigurovat skupinu zabezpečení sítě pro analýzu provozu kvůli chybě Nenalezena?

Vyberte podporovanou oblast. Pokud vyberete nepodporované oblasti, zobrazí se chyba Nenalezena. Další informace najdete v tématu Analýza provozu podporované oblasti.

Co když na stránce s protokoly toku získám stav : Nepodařilo se načíst?

Aby Microsoft.Insights protokolování toku fungovalo správně, musí být zprostředkovatel zaregistrovaný. Pokud si nejste jistí, jestli Microsoft.Insights je poskytovatel zaregistrovaný pro vaše předplatné, přečtěte si pokyny k registraci na webu Azure Portal, PowerShellu nebo Azure CLI .

Nakonfiguroval(a) jsem řešení. Proč se na řídicím panelu nic nezobrazuje?

První zobrazení sestav na řídicím panelu může trvat až 30 minut. Řešení musí nejprve agregovat dostatek dat, aby bylo možné odvodit smysluplné přehledy a pak vygenerovat sestavy.

Co když se zobrazí tato zpráva: "Nepodařilo se nám najít žádná data v tomto pracovním prostoru pro vybraný časový interval. Zkuste změnit časový interval nebo vybrat jiný pracovní prostor??

Vyzkoušejte následující možnosti:

  • Změňte časový interval na horním panelu.
  • Na horním panelu vyberte jiný pracovní prostor služby Log Analytics.
  • Zkuste se po 30 minutách dostat k analýze provozu, pokud byla nedávno povolená.

Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Co když se zobrazí tato zpráva: "První analýza protokolů toku NSG Dokončení tohoto procesu může trvat 20 až 30 minut. Po nějaké době se vraťte zpátky."?

Tato zpráva se může zobrazit z následujících důvodů:

  • Analýza provozu byla nedávno povolená a možná ještě neagregovala dostatek dat, aby mohla odvodit smysluplné přehledy.
  • Používáte bezplatnou verzi pracovního prostoru služby Log Analytics a překročili jste limity kvót. Možná budete muset použít pracovní prostor s větší kapacitou.

Vyzkoušejte navrhovaná řešení pro předchozí otázku. Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Co když se zobrazí tato zpráva: "Vypadá to, že máme data prostředků (topologie) a žádné informace o tocích. Další informace získáte kliknutím sem, abyste zobrazili data o prostředcích a podívali se na nejčastější dotazy.?

Na řídicím panelu se zobrazují informace o prostředcích; Nejsou však přítomny žádné statistiky související s toky. Data nemusí být přítomná kvůli žádným komunikačním tokům mezi prostředky. Počkejte 60 minut a znovu zkontrolujte stav. Pokud problém přetrvává a jste si jistí, že existují komunikační toky mezi prostředky, vzbuďte obavy v Q&A od Microsoftu.

Můžu nakonfigurovat analýzu provozu pomocí PowerShellu?

Analýzy provozu můžete nakonfigurovat pomocí Windows PowerShellu verze 6.2.1 a vyšší. Pokud chcete nakonfigurovat protokolování toku a analýzu provozu pro konkrétní skupinu zabezpečení sítě pomocí PowerShellu, přečtěte si téma Povolení protokolů toků skupin zabezpečení sítě a analýzy provozu.

Můžu nakonfigurovat analýzu provozu pomocí šablony Azure Resource Manageru nebo souboru Bicep?

Ano, ke konfiguraci analýzy provozu můžete použít šablonu Azure Resource Manageru nebo soubor Bicep. Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM) a konfigurace protokolů toku NSG pomocí souboru Bicep.

Jak je analýza provozu cenná?

Analýza provozu se měří. Měření vychází ze zpracování nezpracovaných dat protokolu toku službou. Další informace najdete v tématu Ceny služby Network Watcher.
Rozšířené protokoly ingestované v pracovním prostoru služby Log Analytics se dají uchovávat bez poplatků až za prvních 31 dnů (nebo 90 dní, pokud je v pracovním prostoru povolená služba Microsoft Sentinel). Další informace najdete v tématu o cenách služby Azure Monitor.

Jak často analýza provozu zpracovává data?

Výchozí interval zpracování analýzy provozu je 60 minut, ale můžete vybrat zrychlené zpracování v 10 minutách. Další informace najdete v tématu Agregace dat v analýze provozu.

Jak se analýza provozu rozhodne, že IP adresa je škodlivá?

Analýza provozu spoléhá na interní systémy analýzy hrozeb Microsoftu, aby považovaly IP adresu za škodlivou. Tyto systémy používají různorodé zdroje telemetrie, jako jsou produkty a služby Microsoftu, jednotka Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) a externí informační kanály a vytvářejí na něm inteligentní informace. Některá z těchto dat jsou interní microsoft. Pokud se známá IP adresa označí jako škodlivá, vytvořte lístek podpory, abyste věděli podrobnosti.

Jak můžu nastavit upozornění na data analýzy provozu?

Analýza provozu nemá integrovanou podporu pro výstrahy. Vzhledem k tomu, že jsou data analýzy provozu uložená v Log Analytics, můžete na ně psát vlastní dotazy a nastavit na ně upozornění. Postupujte následovně:

  • V analýze provozu můžete použít odkaz Log Analytics.
  • K zápisu dotazů použijte schéma analýzy provozu.
  • Výběrem nového pravidla upozornění vytvořte výstrahu.
  • Informace o vytvoření upozornění najdete v tématu Vytvoření nového pravidla upozornění.

Návody zkontrolovat, které virtuální počítače přijímají nejvíce místního provozu?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Pro IP adresy použijte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Pro čas použijte formát: rrrr-mm-dd 00:00:00

Návody kontrolovat směrodatnou odchylku provozu přijatého mými virtuálními počítači z místních počítačů?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Pro IP adresy:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Návody zkontrolujte, které porty jsou dostupné (nebo blokované) mezi páry IP adres s pravidly NSG?

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s