Analiza ruchu — często zadawane pytania

Ten artykuł zawiera odpowiedzi na najczęściej zadawane pytania dotyczące analizy ruchu w usłudze Azure Network Watcher.

Jakie wymagania wstępne są potrzebne do korzystania z analizy ruchu?

Aby uzyskać listę wymaganych wymagań wstępnych, zobacz Wymagania wstępne dotyczące analizy ruchu.

Jak sprawdzić, czy mam wymagane role?

Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji.

Czy mogę włączyć dzienniki przepływu dla sieciowych grup zabezpieczeń, które znajdują się w różnych regionach niż mój region obszaru roboczego?

Tak, sieciowe grupy zabezpieczeń mogą znajdować się w różnych regionach niż region obszaru roboczego usługi Log Analytics.

Czy w jednym obszarze roboczym można skonfigurować wiele sieciowych grup zabezpieczeń?

Tak.

Czy obsługiwane są klasyczne sieciowe grupy zabezpieczeń?

Nie, analiza ruchu nie obsługuje klasycznych sieciowych grup zabezpieczeń.

Dlaczego analiza ruchu nie wyświetla danych dla sieciowych grup zabezpieczeń z włączoną analizą ruchu?

Na liście rozwijanej wyboru zasobów na pulpicie nawigacyjnym analizy ruchu należy wybrać grupę zasobów sieci wirtualnej , a nie grupę zasobów maszyny wirtualnej lub sieciowej grupy zabezpieczeń.

Czy mogę użyć istniejącego obszaru roboczego?

Tak. Jeśli wybierzesz istniejący obszar roboczy, upewnij się, że został on zmigrowany do nowego języka zapytań. Jeśli nie chcesz uaktualnić obszaru roboczego, musisz utworzyć nowy obszar roboczy. Aby uzyskać więcej informacji na temat język zapytań Kusto (KQL), zobacz Log queries in Azure Monitor (Zapytania dzienników w usłudze Azure Monitor).

Czy moje konto usługi Azure Storage może znajdować się w jednej subskrypcji, a mój obszar roboczy usługi Log Analytics może znajdować się w innej subskrypcji?

Tak, twoje konto usługi Azure Storage może znajdować się w jednej subskrypcji, a obszar roboczy usługi Log Analytics może znajdować się w innej subskrypcji.

Czy mogę przechowywać nieprzetworzone dzienniki w innej subskrypcji niż subskrypcja używana dla sieciowych grup zabezpieczeń lub sieci wirtualnych?

Tak. Dzienniki przepływu można skonfigurować do wysłania do konta magazynu znajdującego się w innej subskrypcji, pod warunkiem, że masz odpowiednie uprawnienia i że konto magazynu znajduje się w tym samym regionie co sieciowa grupa zabezpieczeń (dzienniki przepływu sieciowej grupy zabezpieczeń) lub sieć wirtualna (dzienniki przepływu sieci wirtualnej). Docelowe konto magazynu musi współużytkować tę samą dzierżawę firmy Microsoft w sieciowej grupie zabezpieczeń lub sieci wirtualnej.

Czy zasoby dziennika przepływu i konta magazynu mogą znajdować się w różnych dzierżawach?

L.p. Wszystkie zasoby muszą znajdować się w tej samej dzierżawie, w tym w sieciowych grupach zabezpieczeń (dzienniki przepływu sieciowej grupy zabezpieczeń), sieciach wirtualnych (dziennikach przepływu sieci wirtualnej), dziennikach przepływów, kontach magazynu i obszarach roboczych usługi Log Analytics (jeśli włączono analizę ruchu).

Czy mogę skonfigurować inne zasady przechowywania dla konta magazynu niż obszar roboczy usługi Log Analytics?

Tak.

Czy utracię dane przechowywane w obszarze roboczym usługi Log Analytics, jeśli usuniem konto magazynu używane do rejestrowania przepływu?

L.p. Jeśli usuniesz konto magazynu używane na potrzeby dzienników przepływu, dane przechowywane w obszarze roboczym usługi Log Analytics nie będą miały wpływu. Nadal można wyświetlać dane historyczne w obszarze roboczym usługi Log Analytics (niektóre metryki będą miały wpływ), ale analiza ruchu nie będzie już przetwarzać żadnych nowych dodatkowych dzienników przepływu, dopóki nie zaktualizujesz dzienników przepływu, aby używały innego konta magazynu.

Co zrobić, jeśli nie mogę skonfigurować sieciowej grupy zabezpieczeń na potrzeby analizy ruchu z powodu błędu "Nie znaleziono"?

Wybierz obsługiwany region. Jeśli wybierzesz region nieobsługiwany, zostanie wyświetlony błąd "Nie znaleziono". Aby uzyskać więcej informacji, zobacz Obsługiwane regiony analizy ruchu.

Co zrobić, jeśli otrzymuję stan: "Nie można załadować" na stronie dzienników przepływu?

Aby Microsoft.Insights rejestrowanie przepływu działało prawidłowo, należy zarejestrować dostawcę. Jeśli nie masz pewności, czy Microsoft.Insights dostawca jest zarejestrowany dla twojej subskrypcji, zobacz Azure Portal, PowerShell lub instrukcje interfejsu wiersza polecenia platformy Azure dotyczące rejestrowania go.

Skonfigurowano rozwiązanie. Dlaczego na pulpicie nawigacyjnym nie widzę niczego?

Wyświetlenie raportów po raz pierwszy na pulpicie nawigacyjnym może potrwać do 30 minut. Rozwiązanie musi najpierw agregować wystarczającą ilość danych, aby uzyskać istotne szczegółowe informacje, a następnie generuje raporty.

Co zrobić, jeśli zostanie wyświetlony następujący komunikat: "Nie można odnaleźć żadnych danych w tym obszarze roboczym dla wybranego interwału czasu. Spróbuj zmienić interwał czasu lub wybrać inny obszar roboczy."?

Wypróbuj następujące opcje:

  • Zmień interwał czasu na górnym pasku.
  • Wybierz inny obszar roboczy usługi Log Analytics na górnym pasku.
  • Spróbuj uzyskać dostęp do analizy ruchu po upływie 30 minut, jeśli została ona niedawno włączona.

Jeśli problemy będą się powtarzać, zgłoś obawy w usłudze Microsoft Q&A.

Co zrobić, jeśli otrzymuję ten komunikat: "Analizowanie dzienników przepływów sieciowej grupy zabezpieczeń po raz pierwszy. Ukończenie tego procesu może potrwać od 20 do 30 minut. Sprawdź ponownie po pewnym czasie."?

Ten komunikat może zostać wyświetlony z następujących powodów:

  • Analiza ruchu została niedawno włączona i może nie mieć jeszcze zagregowanych wystarczającej ilości danych, aby uzyskać znaczące szczegółowe informacje.
  • Używasz bezpłatnej wersji obszaru roboczego usługi Log Analytics i przekroczono limity przydziału. Może być konieczne użycie obszaru roboczego z większą pojemnością.

Wypróbuj sugerowane rozwiązania poprzedniego pytania. Jeśli problemy będą się powtarzać, zgłoś obawy w usłudze Microsoft Q&A.

Co zrobić, jeśli otrzymuję ten komunikat: "Wygląda na to, że mamy dane zasobów (topologia) i brak informacji o przepływach. Aby uzyskać więcej informacji, kliknij tutaj, aby wyświetlić dane zasobów i zapoznać się z często zadawanymi pytaniami."?

Widzisz informacje o zasobach na pulpicie nawigacyjnym; jednak nie ma żadnych statystyk związanych z przepływem. Dane mogą nie być obecne z powodu braku przepływów komunikacji między zasobami. Poczekaj 60 minut i ponownie sprawdź stan. Jeśli problem będzie się powtarzać i masz pewność, że przepływy komunikacji między zasobami istnieją, zgłoś obawy dotyczące pytań i pytań firmy Microsoft.

Czy mogę skonfigurować analizę ruchu przy użyciu programu PowerShell?

Analizę ruchu można skonfigurować przy użyciu programu Windows PowerShell w wersji 6.2.1 lub nowszej. Aby skonfigurować rejestrowanie przepływu i analizę ruchu dla określonej sieciowej grupy zabezpieczeń przy użyciu programu PowerShell, zobacz Włączanie dzienników przepływu sieciowej grupy zabezpieczeń i analizy ruchu.

Czy mogę skonfigurować analizę ruchu przy użyciu szablonu usługi Azure Resource Manager lub pliku Bicep?

Tak, możesz użyć szablonu usługi Azure Resource Manager lub pliku Bicep do skonfigurowania analizy ruchu. Aby uzyskać więcej informacji, zobacz Konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager (ARM) i Konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu pliku Bicep.

Jak wyceniono analizę ruchu?

Analiza ruchu jest mierzona. Pomiar jest oparty na przetwarzaniu nieprzetworzonych danych dziennika przepływu przez usługę. Aby uzyskać więcej informacji, zobacz Cennik usługi Network Watcher.
Rozszerzone dzienniki pozyskane w obszarze roboczym usługi Log Analytics można przechowywać bez opłat przez maksymalnie pierwsze 31 dni (lub 90 dni, jeśli usługa Microsoft Sentinel jest włączona w obszarze roboczym). Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Jak często analiza ruchu przetwarza dane?

Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, jednak można wybrać przyspieszone przetwarzanie w odstępach 10 minut. Aby uzyskać więcej informacji, zobacz Agregacja danych w analizie ruchu.

W jaki sposób analiza ruchu decyduje, że adres IP jest złośliwy?

Analiza ruchu opiera się na wewnętrznych systemach analizy zagrożeń firmy Microsoft, aby uznać adres IP za złośliwy. Systemy te korzystają z różnorodnych źródeł telemetrii, takich jak produkty i usługi firmy Microsoft, jednostka Microsoft Digital Crimes Unit (DCU), Centrum reagowania na zabezpieczenia firmy Microsoft (MSRC) oraz zewnętrzne źródła danych i tworzą wiele informacji wywiadowczych. Niektóre z tych danych są wewnętrzne firmy Microsoft. Jeśli znany adres IP jest oflagowany jako złośliwy, zgłoś bilet pomocy technicznej, aby poznać szczegóły.

Jak ustawić alerty dotyczące danych analizy ruchu?

Analiza ruchu nie ma wbudowanej obsługi alertów. Jednak ponieważ dane analizy ruchu są przechowywane w usłudze Log Analytics, można pisać zapytania niestandardowe i ustawiać na nich alerty. Wykonaj te kroki:

  • Link usługi Log Analytics można użyć w analizie ruchu.
  • Użyj schematu analizy ruchu, aby napisać zapytania.
  • Wybierz pozycję Nowa reguła alertu, aby utworzyć alert.
  • Zobacz Tworzenie nowej reguły alertu, aby utworzyć alert.

Jak mogę sprawdzić, które maszyny wirtualne odbierają większość ruchu lokalnego?

Użyj następującego zapytania:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

W przypadku adresów IP użyj następującego zapytania:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

W przypadku czasu użyj formatu: rrrr-mm-dd 00:00:00

Jak mogę sprawdzić odchylenie standardowe w ruchu odebranym przez moje maszyny wirtualne z maszyn lokalnych?

Użyj następującego zapytania:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Adresy IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Jak mogę sprawdzić, które porty są osiągalne (lub zablokowane) między parami adresów IP z regułami sieciowej grupy zabezpieczeń?

Użyj następującego zapytania:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Jak nawigować za pomocą klawiatury w widoku mapy geograficznej?

Strona mapy geograficznej zawiera dwie główne sekcje:

  • Baner: Baner w górnej części mapy geograficznej zawiera przyciski umożliwiające wybranie filtrów dystrybucji ruchu (na przykład Wdrożenie, Ruch z krajów/regionów i Złośliwe). Po wybraniu przycisku odpowiedni filtr zostanie zastosowany na mapie. Jeśli na przykład wybierzesz przycisk Aktywny, mapa wyróżni aktywne centra danych we wdrożeniu.
  • Mapa: poniżej baneru sekcja mapy przedstawia dystrybucję ruchu między centrami danych platformy Azure i krajami/regionami.

Nawigacja za pomocą klawiatury na banerze

  • Domyślnie wybór na stronie mapy geograficznej baneru to filtr "Kontrolery domeny platformy Azure".
  • Aby przejść do innego filtru, użyj Tab Right arrow lub . Aby przejść do tyłu, użyj Shift+Tab Left arrow lub . Nawigacja do przodu jest od lewej do prawej, a następnie od góry do dołu.
  • Naciśnij Enter lub strzałki, Down aby zastosować wybrany filtr. Na podstawie wyboru filtru i wdrożenia wyróżniono jeden lub wiele węzłów w sekcji mapy.
  • Aby przełączyć się między banerem a mapą, naciśnij Ctrl+F6.

Nawigacja za pomocą klawiatury na mapie

  • Po wybraniu dowolnego filtru na banerze i naciśnięciu Ctrl+F6przycisku fokus zostanie przeniesiony do jednego z wyróżnionych węzłów (centrum danych platformy Azure lub kraju/regionu) w widoku mapy.
  • Aby przejść do innych wyróżnionych węzłów na mapie, użyj Tab Right arrow lub klucza do przenoszenia do przodu. Użyj Shift+Tab lub Left arrow do ruchu wstecznego.
  • Aby wybrać dowolny wyróżniony węzeł na mapie, użyj Enter lub Down arrow .
  • Po wybraniu dowolnych takich węzłów fokus zostanie przeniesiony do pola narzędzia informacyjnego dla węzła. Domyślnie fokus jest przesuwany do zamkniętego przycisku w polu narzędzia informacyjnego. Aby dalej poruszać się wewnątrz widoku Box , użyj Right arrow i Left arrow , aby przejść do przodu i do tyłu, odpowiednio. Naciśnięcie Enter ma taki sam efekt, jak wybranie przycisku ukierunkowanego w polu Narzędzia informacyjne.
  • Po naciśnięciu Tab fokusu na polu narzędzia informacyjnego fokus zostanie przeniesiony do punktów końcowych na tym samym kontynencie co wybrany węzeł. Użyj Right arrow i Left arrow , aby przejść przez te punkty końcowe.
  • Aby przejść do innych punktów końcowych przepływu lub klastrów kontynentów, użyj polecenia Tab do przenoszenia do przodu i Shift+Tab do ruchu wstecznego.
  • Gdy fokus znajduje się w klastrach kontynentu, użyj Enter lub Down strzałek, aby wyróżnić punkty końcowe w klastrze kontynentu. Aby przejść przez punkty końcowe i przycisk zamknij w polu informacyjnym klastra kontynentu, użyj Right arrow lub Left arrow odpowiednio do ruchu do przodu i do tyłu. W dowolnym punkcie końcowym możesz użyć Shift+L polecenia , aby przełączyć się do wiersza połączenia z wybranego węzła do punktu końcowego. Możesz nacisnąć ponownie, Shift+L aby przejść do wybranego punktu końcowego.

Nawigacja za pomocą klawiatury na dowolnym etapie

  • Klucz Esc zwija rozwinięty wybór.
  • Klucz Up-arrow wykonuje tę samą akcję co Esc. Klucz Down arrow wykonuje tę samą akcję co Enter.
  • Służy Shift+Plus do powiększania i Shift+Minus pomniejszania.

Jak nawigować przy użyciu klawiatury w widoku topologii sieci wirtualnej?

Strona topologii sieci wirtualnych zawiera dwie główne sekcje:

  • Baner: baner w górnej części topologii sieci wirtualnych zawiera przyciski umożliwiające wybranie filtrów dystrybucji ruchu (na przykład połączonych sieci wirtualnych, rozłączonych sieci wirtualnych i publicznych adresów IP). Po wybraniu przycisku odpowiedni filtr jest stosowany w topologii. Jeśli na przykład wybierzesz przycisk Aktywny, topologia wyróżnia aktywne sieci wirtualne we wdrożeniu.
  • Topologia: poniżej baneru sekcja topologia przedstawia dystrybucję ruchu między sieciami wirtualnymi.

Nawigacja za pomocą klawiatury na banerze

  • Domyślnie wybór na stronie topologii sieci wirtualnych dla baneru to filtr "Połączone sieci wirtualne".
  • Aby przejść do innego filtru Tab , użyj klucza, aby przejść do przodu. Aby przejść do tyłu, użyj Shift+Tab . Nawigacja do przodu jest od lewej do prawej, a następnie od góry do dołu.
  • Naciśnij , Enter aby zastosować wybrany filtr. Na podstawie wyboru i wdrożenia filtru wyróżniono jeden lub wiele węzłów (sieć wirtualna) w sekcji topologii.
  • Aby przełączyć się między banerem a topologią, naciśnij Ctrl+F6.

Nawigacja za pomocą klawiatury w topologii

  • Po wybraniu dowolnego filtru na banerze i naciśnięciu Ctrl+F6fokusu zostanie przeniesiony do jednego z wyróżnionych węzłów (sieci wirtualnej) w widoku topologii.
  • Aby przejść do innych wyróżnionych węzłów w widoku topologii, użyj Shift+Right arrow klucza do przenoszenia do przodu.
  • W wyróżnionych węzłach fokus zostanie przeniesiony do pola Narzędzia informacyjnego dla węzła. Domyślnie fokus jest przesuwany do przycisku Więcej szczegółów w polu narzędzia informacyjnego. Aby dalej poruszać się wewnątrz widoku Box , użyj Right arrow i Left arrow , aby przejść do przodu i do tyłu, odpowiednio. Naciśnięcie Enter ma taki sam efekt, jak wybranie przycisku ukierunkowanego w polu Narzędzia informacyjne.
  • Po wybraniu dowolnych takich węzłów można odwiedzić wszystkie jego połączenia, jeden po drugim, naciskając Shift+Left arrow . Fokus zostanie przeniesiony do pola Narzędzia informacyjnego tego połączenia. W dowolnym momencie fokus można cofnąć do węzła, naciskając ponownie.Shift+Right arrow

Jak nawigować przy użyciu klawiatury w widoku topologii podsieci?

Strona topologii podsieci wirtualnej zawiera dwie główne sekcje:

  • Baner: baner w górnej części topologii podsieci wirtualnej zawiera przyciski umożliwiające wybranie filtrów dystrybucji ruchu (na przykład podsieci Active, Medium i Gateway). Po wybraniu przycisku odpowiedni filtr jest stosowany w topologii. Jeśli na przykład wybierzesz przycisk Aktywny, topologia wyróżnia aktywną podsieć wirtualną we wdrożeniu.
  • Topologia: poniżej baneru sekcja topologii przedstawia rozkład ruchu między podsieciami wirtualnymi.

Nawigacja za pomocą klawiatury na banerze

  • Domyślnie wybór na stronie topologii podsieci wirtualnej dla baneru to filtr "Podsieci".
  • Aby przejść do innego filtru Tab , użyj klucza, aby przejść do przodu. Aby przejść do tyłu, użyj Shift+Tab . Nawigacja do przodu jest od lewej do prawej, a następnie od góry do dołu.
  • Naciśnij , Enter aby zastosować wybrany filtr. Na podstawie wyboru filtru i wdrożenia wyróżniono jeden lub wiele węzłów (podsieć) w sekcji topologii.
  • Aby przełączyć się między banerem a topologią, naciśnij Ctrl+F6.

Nawigacja za pomocą klawiatury w topologii

  • Po wybraniu dowolnego filtru na banerze i naciśnięciu Ctrl+F6fokusu zostanie przeniesiony do jednego z wyróżnionych węzłów (Podsieć) w widoku topologii.
  • Aby przejść do innych wyróżnionych węzłów w widoku topologii, użyj Shift+Right arrow klucza do przenoszenia do przodu.
  • W wyróżnionych węzłach fokus zostanie przeniesiony do pola Narzędzia informacyjnego dla węzła. Domyślnie fokus jest przesuwany do przycisku Więcej szczegółów w polu narzędzia informacyjnego. Aby dalej poruszać się wewnątrz widoku Box , użyj Right arrow i Left arrow , aby przejść do przodu i do tyłu, odpowiednio. Naciśnięcie Enter ma taki sam efekt, jak wybranie przycisku ukierunkowanego w polu Narzędzia informacyjne.
  • Po wybraniu dowolnych takich węzłów można odwiedzić wszystkie jego połączenia, jeden po drugim, naciskając Shift+Left arrow . Fokus zostanie przeniesiony do pola Narzędzia informacyjnego tego połączenia. W dowolnym momencie fokus można cofnąć do węzła, naciskając ponownie.Shift+Right arrow