Domande frequenti sull’analisi del traffico

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

Sì, i gruppi di sicurezza di rete possono trovarsi in aree diverse rispetto a dove si trova l'area di lavoro Log Analytics.

Sì.

No, l'analisi del traffico non supporta i gruppi di sicurezza di rete classici.

Nell'elenco a discesa della selezione delle risorse nel dashboard di analisi del traffico è necessario selezionare il gruppo di risorse della risorsa Rete virtuale, non il gruppo di risorse della macchina virtuale o del gruppo di sicurezza di rete.

Sì. Se si seleziona un'area di lavoro esistente, assicurarsi che sia stata eseguita la migrazione al nuovo linguaggio di query. Se non si desidera aggiornare l'area di lavoro, è necessario crearne uno nuovo. Per altre informazioni sul linguaggio di query Kusto (KQL), vedere Query di log in Monitoraggio di Azure.

Sì, è possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics.

Sì. È possibile configurare i log dei flussi da inviare a un account di archiviazione situato in una sottoscrizione diversa, purché: si disponga dei privilegi idonei e l'account di archiviazione si trovi nella stessa area del gruppo di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete) o della rete virtuale (log dei flussi di rete virtuale). L'account di archiviazione di destinazione deve condividere lo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della rete virtuale.

No. Tutte le risorse devono trovarsi nello stesso tenant, inclusi: i gruppi di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete), le reti virtuali (log dei flussi di rete virtuale), i log dei flussi, gli account di archiviazione e le aree di lavoro Log Analytics (se è abilitata l'analisi del traffico).

Sì.

No. Se si elimina l'account di archiviazione usato per i log dei flussi, i dati archiviati nell'area di lavoro Log Analytics non ne saranno interessati. È comunque possibile visualizzare i dati cronologici nell'area di lavoro Log Analytics (alcune metriche saranno interessate), ma l'analisi del traffico non elaborerà più ulteriori nuovi log dei flussi finché non si aggiorneranno i log dei flussi per l’uso di diverso account di archiviazione.

Selezionare un'area supportata. Se si seleziona un'area non supportata, viene visualizzato un errore "Non trovato". Per altre informazioni, vedere Aree supportate da Analisi del traffico.

Per il corretto funzionamento della registrazione dei flussi è necessario che sia registrato il provider Microsoft.Insights. Se non si è certi che il provider Microsoft.Insights sia registrato per la sottoscrizione, vedere il portale di Azure, PowerShell o le istruzioni dell'interfaccia della riga di comando di Azure su come registrarlo.

Per visualizzare i report per la prima volta, il dashboard potrebbe richiedere fino a 30 minuti. La soluzione deve aggregare dati sufficienti per poter ottenere informazioni significative, quindi genera i report.

Provare le opzioni seguenti:

• Modificare l'intervallo di tempo nella barra superiore.
• Selezionare una diversa area di lavoro Log Analytics nella barra superiore.
• Provare ad accedere ad Analisi del traffico dopo 30 minuti, se è stata abilitata di recente.

Se i problemi persistono, generare il problema in Microsoft Q&A.

È possibile che venga visualizzato questo messaggio perché:

• Analisi del traffico è stato abilitato di recente ed è possibile che non abbia già aggregato dati sufficienti per ricavare informazioni dettagliate significative.
• Si sta usando la versione gratuita dell'area di lavoro Log Analytics e ha superato i limiti di quota. Potrebbe essere necessario utilizzare un'area di lavoro con una capacità maggiore.

Per la domanda precedente provare le soluzioni suggerite. Se i problemi persistono, generare il problema in Microsoft Q&A.

Le informazioni sulle risorse sono visualizzate nel dashboard, tuttavia non sono presenti le statistiche relative ai flussi. I dati potrebbero non essere presenti a causa della mancanza di flussi di comunicazione tra le risorse. Attendere 60 minuti e ricontrollare lo stato. Se il problema non viene risolto e si è certi dell'esistenza dei flussi di comunicazione tra le risorse, generare il problema in Microsoft Q&A.

È possibile configurare l'analisi del traffico usando Windows PowerShell versione 6.2.1 e successive. Per configurare la registrazione dei flussi e l'analisi del traffico per uno specifico gruppo di sicurezza di rete tramite PowerShell, vedere Abilitare i log dei flussi dei gruppi di sicurezza di rete e l'analisi del traffico.

Sì, per configurare l'analisi del traffico è possibile usare un modello di Azure Resource Manager o un file Bicep. Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM) e Configurare i log dei flussi NSG usando un file Bicep.

L'analisi del traffico viene misurata. La misurazione si basa sull'elaborazione dei dati di log dei flussi non elaborati dal servizio. Per altre informazioni, vedere Prezzi di Network Watcher.
È possibile conservare gratuitamente i log avanzati inseriti nell'area di lavoro Log Analytics per un massimo di 31 giorni (o 90 giorni, se nell’area di lavoro è abilitato Microsoft Sentinel). Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ma è possibile selezionare l'elaborazione accelerata con intervalli di 10 minuti. Per altre informazioni, vedere Aggregazione dei dati nell'analisi del traffico.

Per identificare un indirizzo IP come dannoso, l’analisi del traffico si basa sui sistemi interni di Microsoft di intelligence sulle minacce. Questi sistemi usano origini di telemetria diverse, ad esempio prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC), feed esterni e creare informazioni su di esso. Alcuni di questi dati sono interni di Microsoft. Se un indirizzo IP noto viene contrassegnato come dannoso, generare un ticket di supporto per conoscere i dettagli.

L'analisi del traffico non dispone del supporto predefinito per gli avvisi. Tuttavia, poiché i dati di analisi del traffico vengono archiviati in Log Analytics, è possibile scrivere query personalizzate e impostarvi avvisi. Seguire questa procedura:

• È possibile usare il collegamento di Log Analytics nell'analisi del traffico.
• Per scrivere le query, usare lo schema di analisi del traffico.
• Selezionare Nuova regola di avviso per creare l'avviso.
• Per creare l’avviso, vedere Creare una nuova regola di avviso.

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Per gli indirizzi IP, usare la seguente query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Per l'ora, usare il formato: aaaa-mm-gg 00:00:00

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Per gli indirizzi IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s