Udostępnij za pośrednictwem

Omówienie analizy ruchu

  • Artykuł

Analiza ruchu to rozwiązanie oparte na chmurze, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. W szczególności analiza ruchu analizuje dzienniki przepływów usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

  • Wizualizowanie działań sieciowych w ramach subskrypcji platformy Azure.

  • Zidentyfikuj punkty aktywne.

  • Zabezpiecz sieć, korzystając z informacji o następujących składnikach w celu zidentyfikowania zagrożeń:

    • Otwarte porty
    • Aplikacje, które próbują uzyskać dostęp do Internetu
    • Maszyny wirtualne łączące się z nieuczciwymi sieciami

  • Zoptymalizuj wdrożenie sieci pod kątem wydajności i pojemności, rozumiejąc wzorce przepływu ruchu między regionami platformy Azure i Internetem.

  • Wskazuje błędy konfiguracji sieci, które mogą prowadzić do niepowodzenia połączeń w sieci.

Dlaczego warto kierować się analizą ruchu?

Ważne jest, aby monitorować i zarządzać własną siecią oraz zarządzać nią w celu zapewnienia niekompromizowanego zabezpieczeń, zgodności i wydajności. Znajomość własnego środowiska ma kluczowe znaczenie dla ochrony i optymalizacji. Często musisz znać bieżący stan sieci, w tym następujące informacje:

  • Kto łączy się z siecią?
  • Skąd się łączą?
  • Które porty są otwarte dla Internetu?
  • Jakie jest oczekiwane zachowanie sieci?
  • Czy istnieją nieregularne zachowania sieci?
  • Czy występują nagłe wzrosty ruchu?

Sieci w chmurze różnią się od lokalnych sieci przedsiębiorstwa. W sieciach lokalnych routery i przełączniki obsługują platformę NetFlow i inne równoważne protokoły. Tych urządzeń można używać do zbierania danych dotyczących ruchu sieciowego IP podczas wprowadzania lub zamykania interfejsu sieciowego. Analizując dane przepływu ruchu, można utworzyć analizę przepływu ruchu sieciowego i woluminu.

W przypadku sieci wirtualnych platformy Azure dzienniki przepływu zbierają dane dotyczące sieci. Te dzienniki zawierają informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń lub sieci wirtualnej. Analiza ruchu analizuje nieprzetworzone dzienniki przepływu i łączy dane dziennika z analizą zabezpieczeń, topologii i lokalizacji geograficznej. Analiza ruchu zapewnia wgląd w przepływ ruchu w środowisku.

Analiza ruchu udostępnia następujące informacje:

  • Większość komunikujących się hostów
  • Większość komunikujących się protokołów aplikacji
  • Większość par hostów zbieżnych
  • Dozwolony i zablokowany ruch
  • Ruch przychodzący i wychodzący
  • Otwieranie portów internetowych
  • Większość reguł blokowania
  • Dystrybucja ruchu dla centrum danych platformy Azure, sieci wirtualnej, podsieci lub sieci nieuczciwych

Najważniejsze składniki

Do korzystania z analizy ruchu potrzebne są następujące składniki:

  • Network Watcher: usługa regionalna, której można użyć do monitorowania i diagnozowania warunków na poziomie scenariusza sieciowego na platformie Azure. Możesz użyć usługi Network Watcher, aby włączyć i wyłączyć dzienniki przepływu w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Network Watcher? i Włączanie lub wyłączanie usługi Azure Network Watcher.

  • Log Analytics: narzędzie w witrynie Azure Portal używane do pracy z danymi dzienników usługi Azure Monitor. Dzienniki usługi Azure Monitor to usługa platformy Azure, która zbiera dane monitorowania i przechowuje dane w centralnym repozytorium. Te dane mogą obejmować zdarzenia, dane wydajności lub dane niestandardowe udostępniane za pośrednictwem interfejsu API platformy Azure. Po zebraniu tych danych będą dostępne alerty, analiza i eksport. Monitorowanie aplikacji, takich jak monitorowanie wydajności sieci i analiza ruchu, używają dzienników usługi Azure Monitor jako podstawy. Aby uzyskać więcej informacji, zobacz Dzienniki usługi Azure Monitor. Usługa Log Analytics umożliwia edytowanie i uruchamianie zapytań w dziennikach. To narzędzie umożliwia również analizowanie wyników zapytań. Aby uzyskać więcej informacji, zobacz Omówienie usługi Log Analytics w usłudze Azure Monitor.

  • Obszar roboczy usługi Log Analytics: środowisko przechowujące dane dziennika usługi Azure Monitor dotyczące konta platformy Azure. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics i Tworzenie obszaru roboczego usługi Log Analytics.

  • Ponadto do rejestrowania przepływów jest włączona sieciowa grupa zabezpieczeń, jeśli używasz analizy ruchu do analizowania dzienników przepływów sieciowej grupy zabezpieczeń lub sieci wirtualnej włączonej na potrzeby rejestrowania przepływów, jeśli używasz analizy ruchu do analizowania dzienników przepływów sieci wirtualnej:

    • Sieciowa grupa zabezpieczeń( NSG): zasób zawierający listę reguł zabezpieczeń, które zezwalają na ruch sieciowy do lub z zasobów połączonych z siecią wirtualną platformy Azure. Sieciowe grupy zabezpieczeń mogą być skojarzone z podsieciami, interfejsami sieciowymi (KARTami sieciowymi) dołączonymi do maszyn wirtualnych (Resource Manager) lub poszczególnymi maszynami wirtualnymi (klasycznymi). Aby uzyskać więcej informacji, zobacz Omówienie sieciowej grupy zabezpieczeń.

    • Dzienniki przepływu sieciowej grupy zabezpieczeń: zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń. Dzienniki przepływu sieciowej grupy zabezpieczeń są zapisywane w formacie JSON i obejmują:

      • Przepływy wychodzące i przychodzące na podstawie reguły.
      • Karta sieciowa, do którego ma zastosowanie przepływ.
      • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
      • Stan ruchu, na przykład dozwolony lub odrzucony.

      Aby uzyskać więcej informacji, zobacz Network security group flow logs overview (Omówienie dzienników przepływu sieciowej grupy zabezpieczeń) i Create a network security group flow log (Tworzenie dziennika przepływu sieciowej grupy zabezpieczeń).

    • Sieć wirtualna (VNet): zasób, który umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Aby uzyskać więcej informacji, zobacz Omówienie sieci wirtualnej.

    • Dzienniki przepływu sieci wirtualnej: zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieci wirtualnej. Dzienniki przepływu sieci wirtualnej są zapisywane w formacie JSON i obejmują:

      • Przepływy wychodzące i przychodzące.
      • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
      • Stan ruchu, na przykład dozwolony lub odrzucony.

      Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieci wirtualnej i Tworzenie dziennika przepływu sieci wirtualnej. Aby dowiedzieć się więcej o różnicach między dziennikami przepływów sieciowej grupy zabezpieczeń i dziennikami przepływów sieci wirtualnej, zobacz Dzienniki przepływu sieci wirtualnej w porównaniu z dziennikami przepływu sieciowej grupy zabezpieczeń.

Uwaga

Aby korzystać z analizy ruchu, musisz przypisać do konta jedną z następujących wbudowanych ról platformy Azure:

Model wdrażania Rola
Resource Manager Właściciel
Współautor
Współautor sieci 1 i Współautor monitorowania

1 Współautor sieci nie obejmuje Microsoft.OperationalInsights/workspaces/* akcji.

Jeśli żadna z poprzednich wbudowanych ról nie zostanie przypisana do Twojego konta, przypisz rolę niestandardową, która obsługuje akcje wymienione w dziennikach usługi Flow i uprawnieniach analizy ruchu.

Jak działa analiza ruchu

Analiza ruchu analizuje nieprzetworzone dzienniki przepływu. Następnie zmniejsza wolumin dziennika przez agregowanie przepływów, które mają wspólny źródłowy adres IP, docelowy adres IP, port docelowy i protokół.

Przykładem może być host 1 pod adresem IP 10.10.10.10 i hostem 2 pod adresem IP 10.10.20.10. Załóżmy, że te dwa hosty komunikują się 100 razy w ciągu jednej godziny. W tym przypadku dziennik nieprzetworzonych przepływów zawiera 100 wpisów. Jeśli te hosty używają protokołu HTTP na porcie 80 dla każdej z tych 100 interakcji, zmniejszony dziennik ma jeden wpis. Ten wpis wskazuje, że host 1 i host 2 komunikował się 100 razy w ciągu jednej godziny przy użyciu protokołu HTTP na porcie 80.

Skrócone dzienniki są rozszerzone o informacje o lokalizacji geograficznej, zabezpieczeniach i topologii, a następnie przechowywane w obszarze roboczym usługi Log Analytics. Na poniższym diagramie przedstawiono przepływ danych:

Diagram przedstawiający przepływ danych ruchu sieciowego z dziennika sieciowej grupy zabezpieczeń do pulpitu nawigacyjnego analizy. Środkowe kroki obejmują agregację i ulepszenia.

Dostępność

W poniższych tabelach wymieniono obsługiwane regiony, w których można włączyć analizę ruchu dla dzienników przepływu i obszarów roboczych usługi Log Analytics, których można użyć.

Region (Region) Dzienniki przepływu sieciowej grupy zabezpieczeń Dzienniki przepływu sieci wirtualnej Analiza ruchu Obszar roboczy usługi Log Analytics
Brazylia Południowa
Brazylia Południowo–Wschodnia
Kanada Środkowa
Kanada Wschodnia
Środkowe stany USA
Wschodnie stany USA
Wschodnie stany USA 2
Meksyk Środkowy
Północno-środkowe stany USA
South Central US
Zachodnio-środkowe stany USA
Zachodnie stany USA
Zachodnie stany USA 2
Zachodnie stany USA 3

Uwaga

Jeśli dzienniki przepływu są obsługiwane w regionie, ale obszar roboczy usługi Log Analytics nie jest obsługiwany w tym regionie na potrzeby analizy ruchu, możesz użyć obszaru roboczego usługi Log Analytics z dowolnego innego obsługiwanego regionu. W takim przypadku nie będą naliczane żadne dodatkowe opłaty za transfer danych między regionami za korzystanie z obszaru roboczego usługi Log Analytics z innego regionu.

Cennik

Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Network Watcher i Cennik usługi Azure Monitor.

Analiza ruchu — często zadawane pytania

Aby uzyskać odpowiedzi na najczęściej zadawane pytania dotyczące analizy ruchu, zobacz Często zadawane pytania dotyczące analizy ruchu.

Powiązana zawartość