Dit artikel bevat antwoorden op de meest gestelde vragen over de mogelijkheden voor verkeersanalyse van Azure Network Watcher.
Hoe kan ik controleren of ik de vereiste rollen heb?
Zie Azure-roltoewijzingen weergeven met behulp van Azure Portal voor meer informatie over het controleren van rollen die zijn toegewezen aan een gebruiker voor een abonnement. Als u de roltoewijzingen niet kunt zien, neemt u contact op met de desbetreffende abonnementsbeheerder.
Kan ik stroomlogboeken inschakelen voor netwerkbeveiligingsgroepen die zich in verschillende regio's bevinden dan mijn werkruimteregio?
Ja, netwerkbeveiligingsgroepen kunnen zich in verschillende regio's bevinden dan uw Log Analytics-werkruimteregio.
Kunnen meerdere netwerkbeveiligingsgroepen binnen één werkruimte worden geconfigureerd?
Ja.
Worden klassieke netwerkbeveiligingsgroepen ondersteund?
Nee, traffic analytics biedt geen ondersteuning voor klassieke netwerkbeveiligingsgroepen.
Waarom worden in traffic analytics geen gegevens weergegeven voor netwerkbeveiligingsgroepen waarvoor netwerkbeveiligingsgroepen zijn ingeschakeld voor traffic analytics?
In de vervolgkeuzelijst resourceselectie in het dashboard voor traffic analytics moet de resourcegroep van de resource van het virtuele netwerk zijn geselecteerd, niet de resourcegroep van de virtuele machine of netwerkbeveiligingsgroep.
Kan ik een bestaande werkruimte gebruiken?
Ja. Als u een bestaande werkruimte selecteert, moet u ervoor zorgen dat deze is gemigreerd naar de nieuwe querytaal. Als u de werkruimte niet wilt upgraden, moet u een nieuwe maken. Zie Logboekquery's in Azure Monitor voor meer informatie over Kusto-querytaal (KQL).
Kan mijn Azure-opslagaccount zich in één abonnement bevinden en mijn Log Analytics-werkruimte zich in een ander abonnement bevinden?
Ja, uw Azure-opslagaccount kan zich in één abonnement bevinden en uw Log Analytics-werkruimte kan zich in een ander abonnement bevinden.
Kan ik onbewerkte logboeken opslaan in een ander abonnement dan het abonnement dat wordt gebruikt voor netwerkbeveiligingsgroepen of virtuele netwerken?
Ja. U kunt stroomlogboeken configureren die worden verzonden naar een opslagaccount in een ander abonnement, mits u over de juiste bevoegdheden beschikt en dat het opslagaccount zich in dezelfde regio bevindt als de netwerkbeveiligingsgroep (stroomlogboeken voor netwerkbeveiligingsgroepen) of virtueel netwerk (logboeken voor virtuele netwerkstroom). Het doelopslagaccount moet dezelfde Microsoft Entra-tenant van de netwerkbeveiligingsgroep of het virtuele netwerk delen.
Kunnen mijn stroomlogboekbronnen en opslagaccounts zich in verschillende tenants bevinden?
Nee Alle resources moeten zich in dezelfde tenant bevinden, inclusief netwerkbeveiligingsgroepen (stroomlogboeken voor netwerkbeveiligingsgroepen), virtuele netwerken (virtuele netwerkstroomlogboeken), stroomlogboeken, opslagaccounts en Log Analytics-werkruimten (als traffic analytics is ingeschakeld).
Kan ik een ander bewaarbeleid configureren voor het opslagaccount dan de Log Analytics-werkruimte?
Ja.
Verlies ik de gegevens die zijn opgeslagen in de Log Analytics-werkruimte als ik het opslagaccount verwijder dat wordt gebruikt voor stroomlogboekregistratie?
Nee Als u het opslagaccount verwijdert dat wordt gebruikt voor stroomlogboeken, worden de gegevens die zijn opgeslagen in de Log Analytics-werkruimte niet beïnvloed. U kunt nog steeds historische gegevens weergeven in de Log Analytics-werkruimte (sommige metrische gegevens worden beïnvloed), maar verkeersanalyse verwerkt geen nieuwe extra stroomlogboeken meer totdat u de stroomlogboeken bijwerkt om een ander opslagaccount te gebruiken.
Wat gebeurt er als ik een netwerkbeveiligingsgroep niet kan configureren voor verkeersanalyse vanwege een fout 'Niet gevonden'?
Selecteer een ondersteunde regio. Als u een niet-ondersteunde regio selecteert, wordt de fout 'Niet gevonden' weergegeven. Zie ondersteunde regio's voor Traffic Analytics voor meer informatie.
Wat gebeurt er als ik de status 'Kan niet laden' krijgt op de pagina stroomlogboeken?
De Microsoft.Insights provider moet zijn geregistreerd om stroomlogboekregistratie goed te laten werken. Als u niet zeker weet of de Microsoft.Insights provider is geregistreerd voor uw abonnement, raadpleegt u azure Portal, PowerShell of Azure CLI-instructies voor het registreren ervan.
Ik heb de oplossing geconfigureerd. Waarom zie ik niets op het dashboard?
Het kan tot 30 minuten duren voordat rapporten voor het eerst worden weergegeven op het dashboard. De oplossing moet eerst voldoende gegevens aggregeren om zinvolle inzichten af te leiden en vervolgens rapporten te genereren.
Wat als ik dit bericht krijg: 'Er zijn geen gegevens gevonden in deze werkruimte voor het geselecteerde tijdsinterval. Probeer het tijdsinterval te wijzigen of een andere werkruimte te selecteren."?
Probeer de volgende opties:
- Wijzig het tijdsinterval in de bovenste balk.
- Selecteer een andere Log Analytics-werkruimte in de bovenste balk.
- Probeer na 30 minuten toegang te krijgen tot traffic analytics, als deze onlangs is ingeschakeld.
Als de problemen zich blijven voordoen, moet u zorgen maken in Microsoft Q&A.
Wat als ik dit bericht krijg: 'Uw NSG-stroomlogboeken voor de eerste keer analyseren. Dit proces kan 20-30 minuten duren. Kom na enige tijd terug."?
Mogelijk ziet u dit bericht omdat:
- Traffic Analytics is onlangs ingeschakeld en heeft mogelijk nog niet voldoende gegevens verzameld om zinvolle inzichten te verkrijgen.
- U gebruikt de gratis versie van de Log Analytics-werkruimte en de quotumlimieten zijn overschreden. Mogelijk moet u een werkruimte met een grotere capaciteit gebruiken.
Probeer de voorgestelde oplossingen voor de vorige vraag. Als de problemen zich blijven voordoen, moet u zorgen maken in Microsoft Q&A.
Wat als ik dit bericht krijg: 'Het lijkt erop dat we resourcesgegevens (topologie) hebben en geen gegevens over stromen. Klik hier voor meer informatie om resources weer te geven en raadpleeg de veelgestelde vragen.'
U ziet de informatie over de resources op het dashboard; Er zijn echter geen stroomgerelateerde statistieken aanwezig. Gegevens zijn mogelijk niet aanwezig vanwege geen communicatiestromen tussen de resources. Wacht 60 minuten en controleer de status opnieuw. Als het probleem zich blijft voordoen en u zeker weet dat de communicatie tussen resources bestaat, moet u zorgen maken in Microsoft Q&A.
Kan ik traffic analytics configureren met behulp van PowerShell?
U kunt traffic analytics configureren met Windows PowerShell versie 6.2.1 en hoger. Zie Stroomlogboeken en verkeersanalyses inschakelen voor een specifieke netwerkbeveiligingsgroep met behulp van PowerShell om stroomlogboeken en verkeersanalyses voor stroomlogboeken voor netwerkbeveiligingsgroepen in te schakelen.
Kan ik traffic analytics configureren met behulp van een Azure Resource Manager-sjabloon of een Bicep-bestand?
Ja, u kunt een Azure Resource Manager-sjabloon of een Bicep-bestand gebruiken om traffic analytics te configureren. Zie NSG-stroomlogboeken configureren met behulp van een ARM-sjabloon (Azure Resource Manager) en NSG-stroomlogboeken configureren met behulp van een Bicep-bestand voor meer informatie.
Hoe wordt traffic analytics geprijsd?
Traffic Analytics wordt gemeten. De meting is gebaseerd op de verwerking van onbewerkte stroomlogboekgegevens door de service. Zie Network Watcher-prijzen voor meer informatie.
Verbeterde logboeken die zijn opgenomen in de Log Analytics-werkruimte, kunnen gratis worden bewaard gedurende maximaal 31 dagen (of 90 dagen als Microsoft Sentinel is ingeschakeld in de werkruimte). Zie prijzen voor Azure Monitor voor meer informatie.
Hoe vaak verwerkt traffic analytics gegevens?
Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, maar u kunt versnelde verwerking selecteren met intervallen van 10 minuten. Zie Gegevensaggregatie in verkeersanalyse voor meer informatie.
Hoe besluit traffic analytics dat een IP schadelijk is?
Traffic Analytics is afhankelijk van interne bedreigingsinformatiesystemen van Microsoft om een IP-adres als schadelijk te zien. Deze systemen maken gebruik van diverse telemetriebronnen zoals Microsoft-producten en -services, de Microsoft Digital Crimes Unit (DCU), het Microsoft Security Response Center (MSRC) en externe feeds en bouwen er intelligentie op. Sommige van deze gegevens zijn Intern van Microsoft. Als een bekend IP-adres wordt gemarkeerd als schadelijk, dient u een ondersteuningsticket in om de details te weten.
Hoe kan ik waarschuwingen instellen voor verkeersanalysegegevens?
Traffic Analytics biedt geen ingebouwde ondersteuning voor waarschuwingen. Omdat verkeersanalysegegevens echter worden opgeslagen in Log Analytics, kunt u aangepaste query's schrijven en waarschuwingen instellen. Volg vervolgens deze stappen:
- U kunt de Log Analytics-koppeling gebruiken in traffic analytics.
- Gebruik het Traffic Analytics-schema om uw query's te schrijven.
- Selecteer Nieuwe waarschuwingsregel om de waarschuwing te maken.
- Zie Een nieuwe waarschuwingsregel maken om de waarschuwing te maken.
Hoe kan ik controleren welke virtuele machines het meeste on-premises verkeer ontvangen?
Gebruik de volgende query:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Gebruik de volgende query voor IP-adressen:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Gebruik voor tijd de notatie jjjj-mm-dd 00:00:00
Hoe kan ik standaarddeviatie controleren in verkeer dat door mijn virtuele machines van on-premises machines is ontvangen?
Gebruik de volgende query:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Voor IP-adressen:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Hoe kan ik controleren welke poorten bereikbaar (of geblokkeerd) zijn tussen IP-paren met NSG-regels?
Gebruik de volgende query:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s