Este artículo proporciona respuestas a las preguntas más frecuentes sobre la funcionalidad de análisis de tráfico de Azure Network Watcher.
¿Cómo puedo comprobar si tengo los roles necesarios?
Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente.
¿Puedo habilitar los registros de flujo para los grupos de seguridad de red que se encuentran en regiones diferentes de mi región de área de trabajo?
Sí, los grupos de seguridad de red pueden estar en regiones diferentes a las del área de trabajo de Log Analytics.
¿Puede haber varios grupos de seguridad de red configurados en una única área de trabajo?
Sí.
¿Se admiten los grupos de seguridad de red clásicos?
No, el análisis de tráfico no admite grupos de seguridad de red clásicos.
¿Por qué el análisis de tráfico no muestra los datos de mis grupos de seguridad de red habilitados para el análisis de tráfico?
En la lista desplegable de selección de recursos del panel Análisis de tráfico, debe seleccionarse el grupo de recursos del recurso Virtual Network, no el grupo de recursos de la máquina virtual o el grupo de seguridad de red.
¿Puedo usar un área de trabajo existente?
Sí. Si selecciona un área de trabajo existente, asegúrese de que se ha migrado al nuevo lenguaje de consulta. Si no quiere actualizar el área de trabajo, debe crear una nueva. Para más información sobre Lenguaje de consulta Kusto (KQL), consulte Consultas de registro en Azure Monitor.
¿La cuenta de Azure Storage y el área de trabajo de Log Analytics pueden estar en suscripciones diferentes?
Sí, la cuenta de Azure Storage puede estar en una suscripción y el área de trabajo de Log Analytics puede estar en otra suscripción.
¿Puedo almacenar registros sin procesar en una suscripción diferente a la que se usa para grupos de seguridad de red o redes virtuales?
Sí. Puede configurar los registros de flujo que se enviarán a una cuenta de almacenamiento ubicada en una suscripción diferente, siempre que tenga los privilegios adecuados y que la cuenta de almacenamiento se encuentre en la misma región que el grupo de seguridad de red (registros de flujo del grupo de seguridad de red) o la red virtual (registros de flujo de red virtual). La cuenta de almacenamiento de destino debe compartir el mismo inquilino de Microsoft Entra del grupo de seguridad de red o la red virtual.
¿Pueden mis cuentas de almacenamiento y recursos de registro de flujo estar en distintos inquilinos?
No. Todos los recursos deben estar en el mismo inquilino, incluidos los grupos de seguridad de red (registros de flujo del grupo de seguridad de red), las redes virtuales (registros de flujo de red virtual), los registros de flujo, las cuentas de almacenamiento y las áreas de trabajo de Log Analytics (si el análisis de tráfico está habilitado).
¿Puedo configurar una directiva de retención diferente para la cuenta de almacenamiento que el área de trabajo de Log Analytics?
Sí.
¿Se perderán los datos almacenados en el área de trabajo de Log Analytics si elimino la cuenta de almacenamiento usada para el registro de flujo?
No. Si elimina la cuenta de almacenamiento que se usa para los registros de flujo, los datos almacenados en el área de trabajo de Log Analytics no se verán afectados. Todavía puede ver datos históricos en el área de trabajo de Log Analytics (algunas métricas se verán afectadas), pero el análisis de tráfico ya no procesará ningún nuevo registro de flujo adicional hasta que actualice los registros de flujo para usar una cuenta de almacenamiento diferente.
¿Qué sucede si no puedo configurar un grupo de seguridad de red para Análisis de tráfico debido a un error del tipo "No se encuentra"?
Seleccione una región compatible. Si selecciona una región que no es compatible, se producirá un error de tipo "No se encuentra". Para más información, consulte Análisis de tráfico de las regiones admitidas.
¿Qué ocurre si obtengo el estado: “No se pudo cargar” en la página de registros de flujo?
Para que los registros de flujo funcionen correctamente, el proveedor Microsoft.Insights
debe estar registrado. Si no está seguro de si el proveedor Microsoft.Insights
está registrado para su suscripción, consulte Azure Portal, PowerShell o las instrucciones de la CLI de Azure sobre cómo registrarlo.
He configurado la solución. ¿Por qué no veo nada en el panel?
La primera vez, el panel puede tardar hasta 30 minutos en mostrar informes. Antes de generar informes, la solución tiene que agregar datos suficientes para poder inferir información detallada relevante.
¿Qué sucede si aparece un mensaje similar al siguiente: "No se encontró ningún dato en el área de trabajo para el intervalo de tiempo seleccionado. Intente cambiar el intervalo de tiempo o seleccione otra área de trabajo"?
Pruebe lo siguiente:
- Cambie el intervalo de tiempo en la barra superior.
- Seleccione otra área de trabajo de Log Analytics en la barra superior.
- Intente acceder a Análisis de tráfico después de 30 minutos, si se ha habilitado recientemente.
Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.
¿Qué sucede si aparece este mensaje: "Analizando registros de flujo de grupos de seguridad de red por primera vez. Este proceso puede tardar de 20 a 30 minutos en completarse. Compruébelo de nuevo más tarde."?
Puede que aparezca este mensaje porque:
- Análisis de tráfico se ha habilitado hace poco tiempo y todavía no se han agregado datos suficientes para inferir información detallada relevante.
- Está utilizando la versión gratuita del área de trabajo de Log Analytics, que ha superado los límites de cuota. Puede que necesite usar un área de trabajo con una mayor capacidad.
Pruebe las soluciones sugeridas para la pregunta anterior. Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.
¿Qué sucede si aparece un mensaje similar al siguiente: "Parece que tenemos información sobre los datos del recurso (topología), pero no sobre los flujos. Para más información, pulse aquí para ver los datos de los recursos y consulte las preguntas frecuentes"?
Puede ver información sobre los recursos en el panel; sin embargo, no aparece ninguna estadística relacionada con los flujos. Es posible que estos datos no aparezcan porque no hay flujos de comunicación entre los recursos. Espere 60 minutos y vuelva a comprobar el estado. Si el problema persiste y está seguro de que existen flujos de comunicación entre los recursos, plantea preocupaciones en Microsoft Q&A.
¿Puedo configurar el análisis de tráfico mediante PowerShell?
Puede configurar Análisis de tráfico con Windows PowerShell versión 6.2.1 en adelante. Para configurar el registro de flujo y el análisis de tráfico para un grupo de seguridad de red específico mediante PowerShell, consulte Habilitación de los registros de flujo del grupo de seguridad de red y el análisis de tráfico.
¿Es posible configurar el análisis de tráfico mediante una plantilla de Azure Resource Manager o un archivo de Bicep?
Sí, se puede usar una plantilla de Azure Resource Manager o un archivo de Bicep para configurar el análisis de tráfico. Para obtener más información, consulte Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM) y Configuración de registros de flujo de NSG mediante un archivo de Bicep.
¿Qué precio tiene Análisis de tráfico?
El análisis de tráfico se puede medir. La medición se basa en el procesamiento de los datos de registro de flujo sin procesar por el servicio. Para más información, consulte Precios de Network Watcher.
Los registros mejorados ingeridos en el área de trabajo de Log Analytics se pueden conservar sin cargo por un máximo de 31 días (o 90 días si Microsoft Sentinel está habilitado en el área de trabajo). Para obtener más información, consulte Precios de Azure Monitor.
¿Con qué frecuencia procesa datos de análisis de tráfico?
El intervalo de procesamiento predeterminado del análisis de tráfico es de 60 minutos; sin embargo, puede seleccionar el procesamiento acelerado en intervalos de 10 minutos. Para más información, consulte Agregación de datos en análisis de tráfico.
¿Cómo decide análisis de tráfico si una dirección IP es malintencionada?
Análisis de tráfico se basa en los sistemas de inteligencia de amenazas internos de Microsoft para considerar una dirección IP como malintencionada. Estos sistemas usan diversos orígenes de telemetría, como los productos y servicios de Microsoft, la Unidad de delitos digitales de Microsoft, el Centro de respuestas de seguridad de Microsoft (MSRC) y fuentes externas, mediante las que generan una gran cantidad de inteligencia. Algunos de estos datos son internos de Microsoft. Si una dirección IP conocida se marca como malintencionada, genere una incidencia de soporte técnico para conocer los detalles.
¿Cómo puedo establecer alertas en los datos de análisis de tráfico?
El análisis de tráfico no tiene compatibilidad integrada con las alertas. Sin embargo, dado que los datos de análisis de tráfico se almacenan en Log Analytics, puede escribir consultas personalizadas y establecer alertas en estas. Siga estos pasos:
- Puede usar el vínculo de Log Analytics en análisis de tráfico.
- Use el esquema de análisis de tráfico para escribir las consultas.
- Seleccione Nueva regla de alertas para crear la alerta.
- Consulte Crear regla de alerta para crear la alerta.
¿Cómo puedo comprobar cuáles máquinas virtuales reciben más tráfico local?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Para las IP, puede usar la siguiente consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Para las horas, use el formato: aaaa-mm-dd 00:00:00
¿Cómo puedo comprobar la desviación estándar del tráfico que reciben las máquinas virtuales desde máquinas locales?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Para las direcciones IP:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
¿Cómo puedo comprobar qué puertos son accesibles (o están bloqueados) entre pares de direcciones IP con reglas de NSG?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s