트래픽 분석 FAQ(질문과 대답)

구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요.

예, 네트워크 보안 그룹은 Log Analytics 작업 영역 지역과 다른 지역에 있을 수 있습니다.

예.

아니요, 트래픽 분석은 클래식 네트워크 보안 그룹을 지원하지 않습니다.

트래픽 분석 대시보드의 리소스 선택 드롭다운에서 가상 머신 또는 네트워크 보안 그룹의 리소스 그룹이 아닌 Virtual Network 리소스의 리소스 그룹을 선택해야 합니다.

예. 기존 작업 영역을 선택하는 경우, 새 쿼리 언어로 마이그레이션되었는지 확인해야 합니다. 작업 영역을 업그레이드하지 않으려면 새 작업 영역을 만들어야 합니다. KQL(Kusto 쿼리 언어)에 대한 자세한 내용은 Azure Monitor의 로그 쿼리를 참조하세요.

네, Azure Storage 계정이 한 구독에 있고, Log Analytics 작업 영역이 다른 구독에 있어도 됩니다.

예. 적절한 권한이 있고 스토리지 계정이 네트워크 보안 그룹(네트워크 보안 그룹 흐름 로그) 또는 가상 네트워크(가상 네트워크 흐름 로그)와 동일한 지역에 있는 경우 다른 구독에 있는 스토리지 계정으로 전송되도록 흐름 로그를 구성할 수 있습니다. 대상 스토리지 계정은 네트워크 보안 그룹 또는 가상 네트워크의 동일한 Microsoft Entra 테넌트를 공유해야 합니다.

아니요. 네트워크 보안 그룹(네트워크 보안 그룹 흐름 로그), 가상 네트워크(가상 네트워크 흐름 로그), 흐름 로그, 스토리지 계정 및 Log Analytics 작업 영역(트래픽 분석이 사용하도록 설정된 경우)을 포함한 모든 리소스는 동일한 테넌트에 있어야 합니다.

예.

아니요. 흐름 로그에 사용되는 스토리지 계정을 삭제하는 경우 Log Analytics 작업 영역에 저장된 데이터는 영향을 받지 않습니다. Log Analytics 작업 영역에서 기록 데이터를 볼 수 있지만(일부 메트릭에 영향을 주지만), 다른 스토리지 계정을 사용하도록 흐름 로그를 업데이트할 때까지 트래픽 분석은 더 이상 새 추가 흐름 로그를 처리하지 않습니다.

지원되는 지역을 선택합니다. 지원되지 않는 영역을 선택할 경우 "찾을 수 없음" 오류가 표시됩니다. 자세한 내용은 트래픽 분석 지원 지역을 참조하세요.

흐름 로깅이 제대로 작동하려면 Microsoft.Insights 공급자를 등록해야 합니다. Microsoft.Insights 공급자가 사용자의 구독에 등록되어 있는지 확실하지 않은 경우 등록 방법은 Azure Portal, PowerShell 또는 Azure CLI 지침을 참조하세요.

대시보드에 처음으로 보고서가 표시되는 데 최대 30분이 걸릴 수 있습니다. 솔루션은 먼저 의미 있는 인사이트를 도출할 수 있을 만큼 충분한 데이터를 집계한 다음 보고서를 생성해야 합니다.

다음 옵션을 시도해 보세요.

• 위쪽 메뉴에서 시간 간격을 변경합니다.
• 위쪽 메뉴에서 다른 Log Analytics 작업 영역을 선택합니다.
• 트래픽 분석이 최근에 설정된 경우, 30분 후에 액세스해 봅니다.

문제가 지속되면 Microsoft Q&A에 문제를 제기하세요.

다음 이유로 메시지가 표시될 수 있습니다.

• 트래픽 분석이 최근에 설정되었으며 의미 있는 인사이트를 얻는 데 필요한 데이터를 아직 충분히 수집하지 못했을 수 있습니다.
• Log Analytics 작업 영역의 체험판 버전을 사용하고 있고 할당량 한도를 초과했습니다. 용량이 큰 작업 영역을 사용해야 할 수도 있습니다.

이전 질문에 대해 제안된 솔루션을 시도해 보세요. 문제가 지속되면 Microsoft Q&A에 문제를 제기하세요.

대시보드에서 리소스 정보를 보고 있지만 흐름 관련 통계가 없습니다. 리소스 간 통신이 없어 데이터가 없는 것일 수 있습니다. 60분 후에 상태를 다시 확인하세요. 문제가 지속되고 리소스 간 통신 흐름이 있다고 확신하는 경우 Microsoft Q&A에 문제를 제기하세요.

Windows PowerShell 버전 6.2.1 이상을 사용하여 트래픽 분석을 구성할 수 있습니다. PowerShell을 사용하여 특정 네트워크 보안 그룹에 대한 흐름 로깅 및 트래픽 분석을 구성하려면 네트워크 보안 그룹 흐름 로그 및 트래픽 분석 사용을 참조하세요.

예, Azure Resource Manager 템플릿 또는 Bicep 파일을 사용하여 트래픽 분석을 구성할 수 있습니다. 자세한 내용은 ARM(Azure Resource Manager) 템플릿을 사용하여 NSG 흐름 로그 구성 및 Bicep 파일을 사용하여 NSG 흐름 로그 구성을 참조하세요.

트래픽 분석은 요금이 측정됩니다. 계량은 서비스에 의한 원시 흐름 로그 데이터의 처리를 기반으로 합니다. 자세한 내용은 Network Watcher 가격 책정을 참조하세요.
Log Analytics 작업 영역에서 수집된 향상된 로그는 최대 처음 31일(또는 작업 영역에서 Microsoft Sentinel을 사용하도록 설정된 경우 90일) 동안 무료로 보존할 수 있습니다. 자세한 내용은 Azure Monitor 가격을 참조하세요.

트래픽 분석의 기본 처리 간격은 60분이지만, 10분 간격으로 가속 처리를 선택할 수 있습니다. 자세한 내용은 트래픽 분석의 데이터 집계를 참조하세요.

트래픽 분석은 Microsoft 내부 위협 인텔리전스 시스템을 사용하여 IP를 악성으로 간주합니다. 이러한 시스템은 Microsoft 제품 및 서비스, Microsoft DCU(Digital Crimes Unit), MSRC(Microsoft 보안 대응 센터) 및 외부 피드와 같은 다양한 원격 분석 원본을 사용하고 그 위에 인텔리전스를 구축합니다. 해당 데이터 중 일부는 Microsoft Internal입니다. 알려진 IP가 악성으로 표시되는 경우 지원 티켓을 제출하여 세부 정보를 확인합니다.

트래픽 분석에는 경고가 기본적으로 지원되지 않습니다. 그러나 트래픽 분석 데이터가 Log Analytics에 저장되므로 사용자 지정 쿼리를 작성하고 경고를 설정할 수 있습니다. 다음 단계를 수행합니다.

• 트래픽 분석에서 Log Analytics 링크를 사용할 수 있습니다.
• 쿼리를 작성하려면 트래픽 분석 스키마를 사용합니다.
• 경고를 만들려면 새 경고 규칙을 선택합니다.
• 경고를 만들려면 새 경고 규칙 만들기를 참조하세요.

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

IP의 경우 다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

시간에는 yyyy-mm-dd 00:00:00 형식을 사용합니다.

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

IP의 경우:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s