Tento článek obsahuje odpovědi na nejčastější dotazy týkající se analýzy provozu ve službě Azure Network Watcher.
Jak zjistím, jestli mám požadované role?
Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.
Můžu povolit protokoly toku pro skupiny zabezpečení sítě, které jsou v různých oblastech než v oblasti pracovního prostoru?
Ano, skupiny zabezpečení sítě můžou být v různých oblastech než vaše oblast pracovního prostoru služby Log Analytics.
Je možné v rámci jednoho pracovního prostoru nakonfigurovat více skupin zabezpečení sítě?
Ano.
Podporují se klasické skupiny zabezpečení sítě?
Ne, analýza provozu nepodporuje klasické skupiny zabezpečení sítě.
Proč analýza provozu nezobrazuje data pro skupiny zabezpečení sítě s povolenou analýzou provozu?
V rozevíracím seznamu pro výběr prostředků na řídicím panelu analýzy provozu musí být vybraná skupina prostředků prostředku virtuální sítě , nikoli skupina prostředků virtuálního počítače nebo skupiny zabezpečení sítě.
Můžu použít existující pracovní prostor?
Ano. Pokud vyberete existující pracovní prostor, ujistěte se, že byl migrován do nového dotazovacího jazyka. Pokud nechcete pracovní prostor upgradovat, musíte vytvořit nový. Další informace o dotazovací jazyk Kusto (KQL) najdete v tématu Dotazy protokolu ve službě Azure Monitor.
Může být můj účet úložiště Azure v jednom předplatném a pracovní prostor služby Log Analytics je v jiném předplatném?
Ano, váš účet úložiště Azure může být v jednom předplatném a váš pracovní prostor služby Log Analytics může být v jiném předplatném.
Můžu ukládat nezpracované protokoly v jiném předplatném, než je předplatné používané pro skupiny zabezpečení sítě nebo virtuální sítě?
Ano. Protokoly toku můžete nakonfigurovat tak, aby se odesílaly do účtu úložiště umístěného v jiném předplatném za předpokladu, že máte příslušná oprávnění a že se účet úložiště nachází ve stejné oblasti jako skupina zabezpečení sítě (protokoly toku skupiny zabezpečení sítě) nebo virtuální sítě (protokoly toku virtuální sítě). Cílový účet úložiště musí sdílet stejného tenanta Microsoft Entra skupiny zabezpečení sítě nebo virtuální sítě.
Můžou se prostředky protokolů toku a účty úložiště nacházet v různých tenantech?
Ne. Všechny prostředky musí být ve stejném tenantovi, včetně skupin zabezpečení sítě (protokolů toku skupiny zabezpečení sítě), virtuálních sítí (protokolů toku virtuální sítě), protokolů toků, účtů úložiště a pracovních prostorů služby Log Analytics (pokud je povolená analýza provozu).
Můžu pro účet úložiště nakonfigurovat jiné zásady uchovávání informací než pro pracovní prostor služby Log Analytics?
Ano.
Při odstranění účtu úložiště použitého k protokolování toku ztratím data uložená v pracovním prostoru služby Log Analytics?
Ne. Pokud odstraníte účet úložiště, který se používá pro protokoly toku, nebudou ovlivněna data uložená v pracovním prostoru služby Log Analytics. Historická data můžete stále zobrazit v pracovním prostoru služby Log Analytics (některé metriky budou ovlivněny), ale analýza provozu už nebude zpracovávat žádné nové další protokoly toku, dokud neaktualizujete protokoly toku tak, aby používaly jiný účet úložiště.
Co když nemůžu nakonfigurovat skupinu zabezpečení sítě pro analýzu provozu kvůli chybě Nenalezena?
Vyberte podporovanou oblast. Pokud vyberete nepodporované oblasti, zobrazí se chyba Nenalezena. Další informace najdete v tématu Analýza provozu podporované oblasti.
Co když na stránce s protokoly toku získám stav : Nepodařilo se načíst?
Aby Microsoft.Insights
protokolování toku fungovalo správně, musí být zprostředkovatel zaregistrovaný. Pokud si nejste jistí, jestli Microsoft.Insights
je poskytovatel zaregistrovaný pro vaše předplatné, přečtěte si pokyny k registraci na webu Azure Portal, PowerShellu nebo Azure CLI .
Nakonfiguroval(a) jsem řešení. Proč se na řídicím panelu nic nezobrazuje?
První zobrazení sestav na řídicím panelu může trvat až 30 minut. Řešení musí nejprve agregovat dostatek dat, aby bylo možné odvodit smysluplné přehledy a pak vygenerovat sestavy.
Co když se zobrazí tato zpráva: "Nepodařilo se nám najít žádná data v tomto pracovním prostoru pro vybraný časový interval. Zkuste změnit časový interval nebo vybrat jiný pracovní prostor??
Vyzkoušejte následující možnosti:
- Změňte časový interval na horním panelu.
- Na horním panelu vyberte jiný pracovní prostor služby Log Analytics.
- Zkuste se po 30 minutách dostat k analýze provozu, pokud byla nedávno povolená.
Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.
Co když se zobrazí tato zpráva: "První analýza protokolů toku NSG Dokončení tohoto procesu může trvat 20 až 30 minut. Po nějaké době se vraťte zpátky."?
Tato zpráva se může zobrazit z následujících důvodů:
- Analýza provozu byla nedávno povolená a možná ještě neagregovala dostatek dat, aby mohla odvodit smysluplné přehledy.
- Používáte bezplatnou verzi pracovního prostoru služby Log Analytics a překročili jste limity kvót. Možná budete muset použít pracovní prostor s větší kapacitou.
Vyzkoušejte navrhovaná řešení pro předchozí otázku. Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.
Co když se zobrazí tato zpráva: "Vypadá to, že máme data prostředků (topologie) a žádné informace o tocích. Další informace získáte kliknutím sem, abyste zobrazili data o prostředcích a podívali se na nejčastější dotazy.?
Na řídicím panelu se zobrazují informace o prostředcích; Nejsou však přítomny žádné statistiky související s toky. Data nemusí být přítomná kvůli žádným komunikačním tokům mezi prostředky. Počkejte 60 minut a znovu zkontrolujte stav. Pokud problém přetrvává a jste si jistí, že existují komunikační toky mezi prostředky, vzbuďte obavy v Q&A od Microsoftu.
Můžu nakonfigurovat analýzu provozu pomocí PowerShellu?
Analýzy provozu můžete nakonfigurovat pomocí Windows PowerShellu verze 6.2.1 a vyšší. Pokud chcete nakonfigurovat protokolování toku a analýzu provozu pro konkrétní skupinu zabezpečení sítě pomocí PowerShellu, přečtěte si téma Povolení protokolů toků skupin zabezpečení sítě a analýzy provozu.
Můžu nakonfigurovat analýzu provozu pomocí šablony Azure Resource Manageru nebo souboru Bicep?
Ano, ke konfiguraci analýzy provozu můžete použít šablonu Azure Resource Manageru nebo soubor Bicep. Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM) a konfigurace protokolů toku NSG pomocí souboru Bicep.
Jak je analýza provozu cenná?
Analýza provozu se měří. Měření vychází ze zpracování nezpracovaných dat protokolu toku službou. Další informace najdete v tématu Ceny služby Network Watcher.
Rozšířené protokoly ingestované v pracovním prostoru služby Log Analytics se dají uchovávat bez poplatků až za prvních 31 dnů (nebo 90 dní, pokud je v pracovním prostoru povolená služba Microsoft Sentinel). Další informace najdete v tématu o cenách služby Azure Monitor.
Jak často analýza provozu zpracovává data?
Výchozí interval zpracování analýzy provozu je 60 minut, ale můžete vybrat zrychlené zpracování v 10 minutách. Další informace najdete v tématu Agregace dat v analýze provozu.
Jak se analýza provozu rozhodne, že IP adresa je škodlivá?
Analýza provozu spoléhá na interní systémy analýzy hrozeb Microsoftu, aby považovaly IP adresu za škodlivou. Tyto systémy využívají různorodé zdroje telemetrie, jako jsou produkty a služby Microsoftu, jednotka Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) a externí informační kanály a vytvářejí nad ním spoustu inteligentních informací. Některá z těchto dat jsou interní microsoft. Pokud se známá IP adresa označí jako škodlivá, vytvořte lístek podpory, abyste věděli podrobnosti.
Jak můžu nastavit upozornění na data analýzy provozu?
Analýza provozu nemá integrovanou podporu pro výstrahy. Vzhledem k tomu, že jsou data analýzy provozu uložená v Log Analytics, můžete na ně psát vlastní dotazy a nastavit na ně upozornění. Postupujte následovně:
- V analýze provozu můžete použít odkaz Log Analytics.
- K zápisu dotazů použijte schéma analýzy provozu.
- Výběrem nového pravidla upozornění vytvořte výstrahu.
- Informace o vytvoření upozornění najdete v tématu Vytvoření nového pravidla upozornění.
Návody zkontrolovat, které virtuální počítače přijímají nejvíce místního provozu?
Spusťte následující dotaz:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Pro IP adresy použijte následující dotaz:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Pro čas použijte formát: rrrr-mm-dd 00:00:00
Návody kontrolovat směrodatnou odchylku provozu přijatého mými virtuálními počítači z místních počítačů?
Spusťte následující dotaz:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Pro IP adresy:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Návody zkontrolujte, které porty jsou dostupné (nebo blokované) mezi páry IP adres s pravidly NSG?
Spusťte následující dotaz:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
Jak se dá navigace pomocí klávesnice v zobrazení geografické mapy?
Stránka geografické mapy obsahuje dva hlavní oddíly:
- Banner: Banner v horní části geografické mapy poskytuje tlačítka pro výběr filtrů distribuce provozu (například Nasazení, Provoz ze zemí/oblastí a Škodlivý). Když vyberete tlačítko, použije se příslušný filtr na mapě. Pokud například vyberete tlačítko Aktivní, mapa zvýrazní aktivní datacentra ve vašem nasazení.
- Mapa: Pod bannerem se v části mapy zobrazuje distribuce provozu mezi datacentry Azure a zeměmi/oblastmi.
Navigace pomocí klávesnice na banneru
- Ve výchozím nastavení je výběr na stránce geografické mapy banneru filtrem Azure DCS.
- Pokud chcete přejít na jiný filtr, použijte buď
Tab
klíč, neboRight arrow
klíč. Pokud se chcete posunout dozadu, použijte buďShift+Tab
klíč, neboLeft arrow
klíč. Navigace vpřed je zleva doprava a nahoře dolů. - Vybraný filtr použijete stisknutím
Enter
klávesy seDown
šipkou. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů v oddílu mapy. - Pokud chcete přepínat mezi bannerem a mapou, stiskněte .
Ctrl+F6
Navigace pomocí klávesnice na mapě
- Jakmile vyberete libovolný filtr na banneru a stisknete , fokus se přesune
Ctrl+F6
na jeden ze zvýrazněných uzlů (datacentrum Azure nebo země/ oblast) v zobrazení mapy. - Pokud chcete přejít na jiné zvýrazněné uzly v mapě, použijte k pohybu vpřed buď
Tab
neboRight arrow
klíč. PoužijteShift+Tab
nebo klávesuLeft arrow
pro pohyb dozadu. - Pokud chcete vybrat libovolný zvýrazněný uzel v mapě, použijte klávesu
Enter
neboDown arrow
klíč. - Při výběru těchto uzlů se fokus přesune do informačního pole pro daný uzel. Ve výchozím nastavení se fokus přesune na zavřené tlačítko v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte
Right arrow
aLeft arrow
klávesy k pohybu dopředu a dozadu. StisknutíEnter
má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj. - Když stisknete
Tab
fokus na informačním panelu, přesune se fokus na koncové body ve stejném kontinentu jako vybraný uzel. K procházení těchto koncových bodů použijte klíčeRight arrow
Left arrow
a klíče. - Pokud chcete přejít na jiné koncové body toku nebo clustery kontinentů, použijte
Tab
k pohybu vpřed aShift+Tab
k pohybu dozadu. - Když je fokus na clusterech kontinentů, zvýrazněte koncové body uvnitř kontinentu pomocí
Enter
kláves seDown
šipkami. Pokud chcete procházet koncové body a tlačítko zavřít v informačním rámečku kontinentu, použijteRight arrow
Left arrow
k pohybu dopředu a dozadu buď klíč, nebo ho použijte. Na libovolném koncovém bodu můžete přepnoutShift+L
na připojovací řádek z vybraného uzlu na koncový bod. Dalším stisknutímShift+L
můžete přejít na vybraný koncový bod.
Navigace pomocí klávesnice v libovolné fázi
- Klávesa
Esc
sbalí rozbalený výběr. - Klíč
Up-arrow
provede stejnou akci jakoEsc
. KlíčDown arrow
provede stejnou akci jakoEnter
. - Slouží
Shift+Plus
k přiblížení aShift+Minus
oddálení.
Jak se dá navigace pomocí klávesnice v zobrazení topologie virtuální sítě?
Stránka topologie virtuálních sítí obsahuje dvě hlavní části:
- Banner: Banner v horní části topologie virtuálních sítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například připojené virtuální sítě, odpojené virtuální sítě a veřejné IP adresy). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální sítě ve vašem nasazení.
- Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuálními sítěmi.
Navigace pomocí klávesnice na banneru
- Ve výchozím nastavení je výběr na stránce topologie virtuálních sítí pro banner filtr Připojené virtuální sítě.
- Pokud chcete přejít na jiný filtr, použijte
Tab
klíč k pohybu vpřed. K pohybu dozadu použijteShift+Tab
klíč. Navigace vpřed je zleva doprava a nahoře dolů. - Stisknutím
Enter
použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (virtuální síť) v části topologie. - Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu
Ctrl+F6
.
Navigace pomocí klávesnice v topologii
- Po výběru jakéhokoli filtru na banneru a stisknutí se
Ctrl+F6
fokus přesune na jeden ze zvýrazněných uzlů (VNet) v zobrazení topologie. - Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte
Shift+Right arrow
klíč pro pohyb vpřed. - Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte klávesy
Right arrow
aLeft arrow
pohyb dopředu a dozadu. StisknutíEnter
má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj. - Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy
Shift+Left arrow
. Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesyShift+Right arrow
.
Jak se dá navigace pomocí klávesnice v zobrazení topologie podsítě?
Stránka topologie virtuálních podsítí obsahuje dvě hlavní části:
- Banner: Banner v horní části topologie virtuálních podsítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například aktivní, střední a podsítě brány). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální podsíť ve vašem nasazení.
- Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuální podsítěmi.
Navigace pomocí klávesnice na banneru
- Ve výchozím nastavení je výběr na stránce topologie virtuální podsítě pro banner filtr Podsítě.
- Pokud chcete přejít na jiný filtr, použijte
Tab
klíč k pohybu vpřed. K pohybu dozadu použijteShift+Tab
klíč. Navigace vpřed je zleva doprava a nahoře dolů. - Stisknutím
Enter
použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (podsíť) v části topologie. - Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu
Ctrl+F6
.
Navigace pomocí klávesnice v topologii
- Po výběru jakéhokoli filtru na banneru a stisknutí se
Ctrl+F6
fokus přesune na jeden ze zvýrazněných uzlů (podsíť) v zobrazení topologie. - Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte
Shift+Right arrow
klíč pro pohyb vpřed. - Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte
Right arrow
aLeft arrow
klávesy k pohybu dopředu a dozadu. StisknutíEnter
má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj. - Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy
Shift+Left arrow
. Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesyShift+Right arrow
.