Preguntas frecuentes sobre Análisis de tráfico (P+F)

Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente.

Sí, los grupos de seguridad de red pueden estar en regiones diferentes a las del área de trabajo de Log Analytics.

Sí.

No, el análisis de tráfico no admite grupos de seguridad de red clásicos.

En la lista desplegable de selección de recursos del panel Análisis de tráfico, debe seleccionarse el grupo de recursos del recurso Virtual Network, no el grupo de recursos de la máquina virtual o el grupo de seguridad de red.

Sí. Si selecciona un área de trabajo existente, asegúrese de que se ha migrado al nuevo lenguaje de consulta. Si no quiere actualizar el área de trabajo, debe crear una nueva. Para más información sobre Lenguaje de consulta Kusto (KQL), consulte Consultas de registro en Azure Monitor.

Sí, la cuenta de Azure Storage puede estar en una suscripción y el área de trabajo de Log Analytics puede estar en otra suscripción.

Sí. Puede configurar los registros de flujo que se enviarán a una cuenta de almacenamiento ubicada en una suscripción diferente, siempre que tenga los privilegios adecuados y que la cuenta de almacenamiento se encuentre en la misma región que el grupo de seguridad de red (registros de flujo del grupo de seguridad de red) o la red virtual (registros de flujo de red virtual). La cuenta de almacenamiento de destino debe compartir el mismo inquilino de Microsoft Entra del grupo de seguridad de red o la red virtual.

No. Todos los recursos deben estar en el mismo inquilino, incluidos los grupos de seguridad de red (registros de flujo del grupo de seguridad de red), las redes virtuales (registros de flujo de red virtual), los registros de flujo, las cuentas de almacenamiento y las áreas de trabajo de Log Analytics (si el análisis de tráfico está habilitado).

Sí.

No. Si elimina la cuenta de almacenamiento que se usa para los registros de flujo, los datos almacenados en el área de trabajo de Log Analytics no se verán afectados. Todavía puede ver datos históricos en el área de trabajo de Log Analytics (algunas métricas se verán afectadas), pero el análisis de tráfico ya no procesará ningún nuevo registro de flujo adicional hasta que actualice los registros de flujo para usar una cuenta de almacenamiento diferente.

Seleccione una región compatible. Si selecciona una región que no es compatible, se producirá un error de tipo "No se encuentra". Para más información, consulte Análisis de tráfico de las regiones admitidas.

Para que los registros de flujo funcionen correctamente, el proveedor Microsoft.Insights debe estar registrado. Si no está seguro de si el proveedor Microsoft.Insights está registrado para su suscripción, consulte Azure Portal, PowerShell o las instrucciones de la CLI de Azure sobre cómo registrarlo.

La primera vez, el panel puede tardar hasta 30 minutos en mostrar informes. Antes de generar informes, la solución tiene que agregar datos suficientes para poder inferir información detallada relevante.

Pruebe lo siguiente:

• Cambie el intervalo de tiempo en la barra superior.
• Seleccione otra área de trabajo de Log Analytics en la barra superior.
• Intente acceder a Análisis de tráfico después de 30 minutos, si se ha habilitado recientemente.

Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.

Puede que aparezca este mensaje porque:

• Análisis de tráfico se ha habilitado hace poco tiempo y todavía no se han agregado datos suficientes para inferir información detallada relevante.
• Está utilizando la versión gratuita del área de trabajo de Log Analytics, que ha superado los límites de cuota. Puede que necesite usar un área de trabajo con una mayor capacidad.

Pruebe las soluciones sugeridas para la pregunta anterior. Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.

Puede ver información sobre los recursos en el panel; sin embargo, no aparece ninguna estadística relacionada con los flujos. Es posible que estos datos no aparezcan porque no hay flujos de comunicación entre los recursos. Espere 60 minutos y vuelva a comprobar el estado. Si el problema persiste y está seguro de que existen flujos de comunicación entre los recursos, plantea preocupaciones en Microsoft Q&A.

Puede configurar Análisis de tráfico con Windows PowerShell versión 6.2.1 en adelante. Para configurar el registro de flujo y el análisis de tráfico para un grupo de seguridad de red específico mediante PowerShell, consulte Habilitación de los registros de flujo del grupo de seguridad de red y el análisis de tráfico.

Sí, se puede usar una plantilla de Azure Resource Manager o un archivo de Bicep para configurar el análisis de tráfico. Para obtener más información, consulte Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM) y Configuración de registros de flujo de NSG mediante un archivo de Bicep.

El análisis de tráfico se puede medir. La medición se basa en el procesamiento de los datos de registro de flujo sin procesar por el servicio. Para más información, consulte Precios de Network Watcher.
Los registros mejorados ingeridos en el área de trabajo de Log Analytics se pueden conservar sin cargo por un máximo de 31 días (o 90 días si Microsoft Sentinel está habilitado en el área de trabajo). Para obtener más información, consulte Precios de Azure Monitor.

El intervalo de procesamiento predeterminado del análisis de tráfico es de 60 minutos; sin embargo, puede seleccionar el procesamiento acelerado en intervalos de 10 minutos. Para más información, consulte Agregación de datos en análisis de tráfico.

Análisis de tráfico se basa en los sistemas de inteligencia de amenazas internos de Microsoft para considerar una dirección IP como malintencionada. Estos sistemas usan diversos orígenes de telemetría, como los productos y servicios de Microsoft, la Unidad de delitos digitales de Microsoft, el Centro de respuestas de seguridad de Microsoft (MSRC) y fuentes externas, mediante las que generan una gran cantidad de inteligencia. Algunos de estos datos son internos de Microsoft. Si una dirección IP conocida se marca como malintencionada, genere una incidencia de soporte técnico para conocer los detalles.

El análisis de tráfico no tiene compatibilidad integrada con las alertas. Sin embargo, dado que los datos de análisis de tráfico se almacenan en Log Analytics, puede escribir consultas personalizadas y establecer alertas en estas. Siga estos pasos:

• Puede usar el vínculo de Log Analytics en análisis de tráfico.
• Use el esquema de análisis de tráfico para escribir las consultas.
• Seleccione Nueva regla de alertas para crear la alerta.
• Consulte Crear regla de alerta para crear la alerta.

Use la consulta siguiente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Para las IP, puede usar la siguiente consulta:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Para las horas, use el formato: aaaa-mm-dd 00:00:00

Use la consulta siguiente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Para las direcciones IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Use la consulta siguiente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s