Domande frequenti sull’analisi del traffico

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

Sì, i gruppi di sicurezza di rete possono trovarsi in aree diverse rispetto a dove si trova l'area di lavoro Log Analytics.

Sì.

No, l'analisi del traffico non supporta i gruppi di sicurezza di rete classici.

Nell'elenco a discesa della selezione delle risorse nel dashboard di analisi del traffico è necessario selezionare il gruppo di risorse della risorsa Rete virtuale, non il gruppo di risorse della macchina virtuale o del gruppo di sicurezza di rete.

Sì. Se si seleziona un'area di lavoro esistente, assicurarsi che sia stata eseguita la migrazione al nuovo linguaggio di query. Se non si desidera aggiornare l'area di lavoro, è necessario crearne uno nuovo. Per altre informazioni sul linguaggio di query Kusto (KQL), vedere Query di log in Monitoraggio di Azure.

Sì, è possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics.

Sì. È possibile configurare i log dei flussi da inviare a un account di archiviazione situato in una sottoscrizione diversa, purché: si disponga dei privilegi idonei e l'account di archiviazione si trovi nella stessa area del gruppo di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete) o della rete virtuale (log dei flussi di rete virtuale). L'account di archiviazione di destinazione deve condividere lo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della rete virtuale.

No. Tutte le risorse devono trovarsi nello stesso tenant, inclusi: i gruppi di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete), le reti virtuali (log dei flussi di rete virtuale), i log dei flussi, gli account di archiviazione e le aree di lavoro Log Analytics (se è abilitata l'analisi del traffico).

Sì.

No. Se si elimina l'account di archiviazione usato per i log dei flussi, i dati archiviati nell'area di lavoro Log Analytics non ne saranno interessati. È comunque possibile visualizzare i dati cronologici nell'area di lavoro Log Analytics (alcune metriche saranno interessate), ma l'analisi del traffico non elaborerà più ulteriori nuovi log dei flussi finché non si aggiorneranno i log dei flussi per l’uso di diverso account di archiviazione.

Selezionare un'area supportata. Se si seleziona un'area non supportata, viene visualizzato un errore "Non trovato". Per altre informazioni, vedere Aree supportate da Analisi del traffico.

Per il corretto funzionamento della registrazione dei flussi è necessario che sia registrato il provider Microsoft.Insights. Se non si è certi che il provider Microsoft.Insights sia registrato per la sottoscrizione, vedere il portale di Azure, PowerShell o le istruzioni dell'interfaccia della riga di comando di Azure su come registrarlo.

Per visualizzare i report per la prima volta, il dashboard potrebbe richiedere fino a 30 minuti. La soluzione deve aggregare dati sufficienti per poter ottenere informazioni significative, quindi genera i report.

Provare le opzioni seguenti:

• Modificare l'intervallo di tempo nella barra superiore.
• Selezionare una diversa area di lavoro Log Analytics nella barra superiore.
• Provare ad accedere ad Analisi del traffico dopo 30 minuti, se è stata abilitata di recente.

Se i problemi persistono, generare il problema in Microsoft Q&A.

È possibile che venga visualizzato questo messaggio perché:

• Analisi del traffico è stato abilitato di recente ed è possibile che non abbia già aggregato dati sufficienti per ricavare informazioni dettagliate significative.
• Si sta usando la versione gratuita dell'area di lavoro Log Analytics e ha superato i limiti di quota. Potrebbe essere necessario utilizzare un'area di lavoro con una capacità maggiore.

Per la domanda precedente provare le soluzioni suggerite. Se i problemi persistono, generare il problema in Microsoft Q&A.

Le informazioni sulle risorse sono visualizzate nel dashboard, tuttavia non sono presenti le statistiche relative ai flussi. I dati potrebbero non essere presenti a causa della mancanza di flussi di comunicazione tra le risorse. Attendere 60 minuti e ricontrollare lo stato. Se il problema non viene risolto e si è certi dell'esistenza dei flussi di comunicazione tra le risorse, generare il problema in Microsoft Q&A.

È possibile configurare l'analisi del traffico usando Windows PowerShell versione 6.2.1 e successive. Per configurare la registrazione dei flussi e l'analisi del traffico per uno specifico gruppo di sicurezza di rete tramite PowerShell, vedere Abilitare i log dei flussi dei gruppi di sicurezza di rete e l'analisi del traffico.

Sì, per configurare l'analisi del traffico è possibile usare un modello di Azure Resource Manager o un file Bicep. Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM) e Configurare i log dei flussi NSG usando un file Bicep.

L'analisi del traffico viene misurata. La misurazione si basa sull'elaborazione dei dati di log dei flussi non elaborati dal servizio. Per altre informazioni, vedere Prezzi di Network Watcher.
È possibile conservare gratuitamente i log avanzati inseriti nell'area di lavoro Log Analytics per un massimo di 31 giorni (o 90 giorni, se nell’area di lavoro è abilitato Microsoft Sentinel). Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ma è possibile selezionare l'elaborazione accelerata con intervalli di 10 minuti. Per altre informazioni, vedere Aggregazione dei dati nell'analisi del traffico.

Per identificare un indirizzo IP come dannoso, l’analisi del traffico si basa sui sistemi interni di Microsoft di intelligence sulle minacce. Questi sistemi sfruttano diverse origini di telemetria, ad esempio prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) e feed esterni, e generano molte informazioni a riguardo. Alcuni di questi dati sono interni di Microsoft. Se un indirizzo IP noto viene contrassegnato come dannoso, generare un ticket di supporto per conoscere i dettagli.

L'analisi del traffico non dispone del supporto predefinito per gli avvisi. Tuttavia, poiché i dati di analisi del traffico vengono archiviati in Log Analytics, è possibile scrivere query personalizzate e impostarvi avvisi. Seguire questa procedura:

• È possibile usare il collegamento di Log Analytics nell'analisi del traffico.
• Per scrivere le query, usare lo schema di analisi del traffico.
• Selezionare Nuova regola di avviso per creare l'avviso.
• Per creare l’avviso, vedere Creare una nuova regola di avviso.

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Per gli indirizzi IP, usare la seguente query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Per l'ora, usare il formato: aaaa-mm-gg 00:00:00

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Per gli indirizzi IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

La pagina della mappa geografica contiene due sezioni principali:

• Banner: il banner nella parte superiore della mappa geografica fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio: Distribuzione, Traffico da paesi/aree e Dannoso). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla mappa. Ad esempio, se si seleziona il pulsante Attivo, la mappa evidenzia i centri dati attivi nella distribuzione remota.
• Mappa: sotto al banner, la sezione Mappa mostra la distribuzione del traffico tra i data center di Azure e i paesi/le aree.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina mappa geografica per il banner è il filtro "Data center di Azure".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab o Right arrow. Per spostarsi indietro, utilizzare il pulsante Shift+Tab o Left arrow. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere il tasto di direzione Enter o Down per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi nella sezione Mappa.
• Per alternare tra Banner e Mappa, premere Ctrl+F6.

Navigazione da tastiera sulla mappa

• Dopo aver selezionato un filtro nel banner e aver premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (Data Center di Azure o Paese/area geografica) nella visualizzazione della mappa.
• Per spostarsi su altri nodi evidenziati nella mappa, utilizzare Tab o il tasto Right arrow per spostarsi in avanti. Utilizzare Shift+Tab o il tasto Left arrow per spostarsi all'indietro.
• Per selezionare qualsiasi nodo evidenziato nella mappa, usare il tasto Enter o Down arrow.
• Selezionando uno di questi nodi, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, lo stato attivo passerà al pulsante di chiusura nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Premendo Tab mentre è attiva la casella degli strumenti Informazioni, lo stato attivo passa agli endpoint dello stesso continente del nodo selezionato. Usare i tasti Right arrow e Left arrow per spostarsi tra questi endpoint.
• Per passare ad altri endpoint di flusso o cluster del continente, usare Tab per spostarsi in avanti e Shift+Tab per spostarsi all'indietro.
• Quando lo stato attivo si trova su Cluster del continente, usare i tasti di direzione Enter o Down per evidenziare gli endpoint all'interno del cluster del continente. Per spostarsi tra gli endpoint e il pulsante di chiusura nella casella Informazioni del cluster del continente, usare il tasto Right arrow o Left arrow rispettivamente per il movimento in avanti e all'indietro. In qualsiasi endpoint è possibile usare Shift+L per passare alla linea di connessione dal nodo selezionato all'endpoint. È possibile premere nuovamente Shift+L per spostarsi all'endpoint selezionato.

Navigazione da tastiera in qualsiasi momento

• La chiave Esc comprime la selezione espansa.
• Il tasto Up-arrow esegue la stessa azione di Esc. Il tasto Down arrow esegue la stessa azione di Enter.
• Usare Shift+Plus per fare zoom avanti e Shift+Minus per fare zoom indietro.

La pagina della topologia di rete virtuale contiene due sezioni principali:

• Banner: il banner nella parte superiore della topologia di rete virtuale fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, Reti virtuali connesse, Reti virtuali disconnesse e IP pubblici). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le reti virtuali attive nella distribuzione remota.
• Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le reti virtuali.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina della topologia di rete virtuale per il banner è il filtro "VNet connesse".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere Enter per applicare il filtro selezionato. In base alla selezione e all'implementazione del filtro, vengono evidenziati uno o più nodi (rete virtuale) nella sezione topologia.
• Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

• Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (VNet) nella visualizzazione della topologia.
• Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
• Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.

La pagina della topologia di subnet virtuale contiene due sezioni principali:

• Banner: il banner nella parte superiore della topologia delle subnet virtuali fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, le subnet Attivo, Medio e Gateway). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le subnet virtuali attive nella distribuzione remota.
• Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le subnet virtuali.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina della topologia di subnet virtuale per il banner è il filtro "Subnet".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere Enter per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi (subnet) nella sezione Topologia.
• Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

• Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (Subnet) nella visualizzazione della topologia.
• Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
• Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.