Modifica

Condividi tramite


Domande frequenti sull’analisi del traffico

Questo articolo fornisce risposte alle domande più frequenti sulla funzionalità di analisi del traffico di Azure Network Watcher.

Come è possibile verificare se si dispone dei ruoli necessari?

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

È possibile abilitare i log dei flussi per i gruppi di sicurezza di rete situati in aree diverse dall'area di lavoro?

Sì, i gruppi di sicurezza di rete possono trovarsi in aree diverse rispetto a dove si trova l'area di lavoro Log Analytics.

È possibile configurare più gruppi di sicurezza di rete all'interno di una singola area di lavoro?

Sì.

I gruppi di sicurezza di rete classici sono supportati?

No, l'analisi del traffico non supporta i gruppi di sicurezza di rete classici.

Perché l'analisi del traffico non visualizza i dati per i gruppi di sicurezza di rete abilitati per l'analisi del traffico?

Nell'elenco a discesa della selezione delle risorse nel dashboard di analisi del traffico è necessario selezionare il gruppo di risorse della risorsa Rete virtuale, non il gruppo di risorse della macchina virtuale o del gruppo di sicurezza di rete.

È possibile usare un'area di lavoro esistente?

Sì. Se si seleziona un'area di lavoro esistente, assicurarsi che sia stata eseguita la migrazione al nuovo linguaggio di query. Se non si desidera aggiornare l'area di lavoro, è necessario crearne uno nuovo. Per altre informazioni sul linguaggio di query Kusto (KQL), vedere Query di log in Monitoraggio di Azure.

È possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics?

Sì, è possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics.

È possibile archiviare i log non elaborati in una sottoscrizione diversa rispetto a quella usata per i gruppi di sicurezza di rete o le reti virtuali?

Sì. È possibile configurare i log dei flussi da inviare a un account di archiviazione situato in una sottoscrizione diversa, purché: si disponga dei privilegi idonei e l'account di archiviazione si trovi nella stessa area del gruppo di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete) o della rete virtuale (log dei flussi di rete virtuale). L'account di archiviazione di destinazione deve condividere lo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della rete virtuale.

Le risorse di log dei flussi e gli account di archiviazione possono trovarsi in tenant diversi?

No. Tutte le risorse devono trovarsi nello stesso tenant, inclusi: i gruppi di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete), le reti virtuali (log dei flussi di rete virtuale), i log dei flussi, gli account di archiviazione e le aree di lavoro Log Analytics (se è abilitata l'analisi del traffico).

Per l'account di archiviazione è possibile configurare criteri di conservazione diversi rispetto all'area di lavoro Log Analytics?

Sì.

Se si elimina l'account di archiviazione usato per la registrazione dei flussi, si perderanno i dati archiviati nell'area di lavoro Log Analytics?

No. Se si elimina l'account di archiviazione usato per i log dei flussi, i dati archiviati nell'area di lavoro Log Analytics non ne saranno interessati. È comunque possibile visualizzare i dati cronologici nell'area di lavoro Log Analytics (alcune metriche saranno interessate), ma l'analisi del traffico non elaborerà più ulteriori nuovi log dei flussi finché non si aggiorneranno i log dei flussi per l’uso di diverso account di archiviazione.

Cosa accade se non è possibile configurare un gruppo di sicurezza di rete per l'analisi del traffico a causa dell’errore "Non trovato"?

Selezionare un'area supportata. Se si seleziona un'area non supportata, viene visualizzato un errore "Non trovato". Per altre informazioni, vedere Aree supportate da Analisi del traffico.

Cosa accade se viene visualizzato lo stato "Impossibile caricare" nella pagina dei log dei flussi?

Per il corretto funzionamento della registrazione dei flussi è necessario che sia registrato il provider Microsoft.Insights. Se non si è certi che il provider Microsoft.Insights sia registrato per la sottoscrizione, vedere il portale di Azure, PowerShell o le istruzioni dell'interfaccia della riga di comando di Azure su come registrarlo.

Ho configurato la soluzione. Perché non viene visualizzato nessun elemento nel dashboard?

Per visualizzare i report per la prima volta, il dashboard potrebbe richiedere fino a 30 minuti. La soluzione deve aggregare dati sufficienti per poter ottenere informazioni significative, quindi genera i report.

Cosa succede se viene visualizzato il messaggio seguente: "Non sono stati trovati dati in questa area di lavoro per l'intervallo di tempo selezionato. Provare a modificare l'intervallo di tempo o a selezionare un'altra area di lavoro."?

Provare le opzioni seguenti:

  • Modificare l'intervallo di tempo nella barra superiore.
  • Selezionare una diversa area di lavoro Log Analytics nella barra superiore.
  • Provare ad accedere ad Analisi del traffico dopo 30 minuti, se è stata abilitata di recente.

Se i problemi persistono, generare il problema in Microsoft Q&A.

Cosa succede se viene visualizzato il seguente messaggio: "È in corso l'analisi dei log dei flussi del gruppo di sicurezza di rete per la prima volta. L'operazione potrebbe richiedere circa 20-30 minuti. Verificare più tardi"?

È possibile che venga visualizzato questo messaggio perché:

  • Analisi del traffico è stato abilitato di recente ed è possibile che non abbia già aggregato dati sufficienti per ricavare informazioni dettagliate significative.
  • Si sta usando la versione gratuita dell'area di lavoro Log Analytics e ha superato i limiti di quota. Potrebbe essere necessario utilizzare un'area di lavoro con una capacità maggiore.

Per la domanda precedente provare le soluzioni suggerite. Se i problemi persistono, generare il problema in Microsoft Q&A.

Cosa succede se viene visualizzato il seguente È stato visualizzato il messaggio seguente: "Sono disponibili solo i dati delle risorse (topologia) e nessuna informazione sui flussi. Per altre informazioni, fare clic qui per visualizzare i dati delle risorse e fare riferimento alle domande frequenti."?

Le informazioni sulle risorse sono visualizzate nel dashboard, tuttavia non sono presenti le statistiche relative ai flussi. I dati potrebbero non essere presenti a causa della mancanza di flussi di comunicazione tra le risorse. Attendere 60 minuti e ricontrollare lo stato. Se il problema non viene risolto e si è certi dell'esistenza dei flussi di comunicazione tra le risorse, generare il problema in Microsoft Q&A.

È possibile configurare l'analisi del traffico con PowerShell?

È possibile configurare l'analisi del traffico usando Windows PowerShell versione 6.2.1 e successive. Per configurare la registrazione dei flussi e l'analisi del traffico per uno specifico gruppo di sicurezza di rete tramite PowerShell, vedere Abilitare i log dei flussi dei gruppi di sicurezza di rete e l'analisi del traffico.

È possibile configurare la funzionalità Analisi del traffico tramite un modello di Azure Resource Manager o un file Bicep?

Sì, per configurare l'analisi del traffico è possibile usare un modello di Azure Resource Manager o un file Bicep. Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM) e Configurare i log dei flussi NSG usando un file Bicep.

Come viene determinato il prezzo di Analisi del traffico?

L'analisi del traffico viene misurata. La misurazione si basa sull'elaborazione dei dati di log dei flussi non elaborati dal servizio. Per altre informazioni, vedere Prezzi di Network Watcher.
È possibile conservare gratuitamente i log avanzati inseriti nell'area di lavoro Log Analytics per un massimo di 31 giorni (o 90 giorni, se nell’area di lavoro è abilitato Microsoft Sentinel). Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Con quale frequenza l’analisi del traffico elabora i dati?

L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ma è possibile selezionare l'elaborazione accelerata con intervalli di 10 minuti. Per altre informazioni, vedere Aggregazione dei dati nell'analisi del traffico.

In che modo l’analisi del traffico può stabilire che un indirizzo IP è dannoso?

Per identificare un indirizzo IP come dannoso, l’analisi del traffico si basa sui sistemi interni di Microsoft di intelligence sulle minacce. Questi sistemi usano origini di telemetria diverse, ad esempio prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC), feed esterni e creare informazioni su di esso. Alcuni di questi dati sono interni di Microsoft. Se un indirizzo IP noto viene contrassegnato come dannoso, generare un ticket di supporto per conoscere i dettagli.

Come è possibile impostare avvisi sui dati di analisi del traffico?

L'analisi del traffico non dispone del supporto predefinito per gli avvisi. Tuttavia, poiché i dati di analisi del traffico vengono archiviati in Log Analytics, è possibile scrivere query personalizzate e impostarvi avvisi. Seguire questa procedura:

Come è possibile controllare quali macchine virtuali ricevono la maggior parte del traffico locale?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Per gli indirizzi IP, usare la seguente query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Per l'ora, usare il formato: aaaa-mm-gg 00:00:00

Come controllare la deviazione standard nel traffico che le macchine virtuali hanno ricevuto da computer locali?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Per gli indirizzi IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Come controllare quali porte sono raggiungibili (o bloccate) tra coppie di indirizzi IP con regole dell'NSG?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s