Este artigo traz respostas às perguntas mais frequentes sobre análise de tráfego no Observador de Rede do Azure.
Como posso verificar se tenho as funções necessárias?
Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar as atribuições de função do Azure usando o portal do Azure. Se você não conseguir ver as atribuições de função, entre em contato com o respectivo administrador de assinatura.
Posso habilitar logs de fluxo para grupos de segurança de rede que estão em regiões diferentes da minha região do espaço de trabalho?
Sim, os grupos de segurança de rede podem estar em regiões diferentes da região do seu workspace do Log Analytics.
Vários grupos de segurança de rede podem ser configurados dentro de um único espaço de trabalho?
Sim.
Os grupos Clássicos de segurança de rede são suportados?
Não, a análise de tráfego não suporta grupos clássicos de segurança de rede.
Por que a análise de tráfego não exibe os dados dos meus grupos de segurança de rede habilitados para análise de tráfego?
No menu suspenso de seleção de recursos no painel de análise de tráfego, o grupo de recursos do recurso Rede Virtual deve ser selecionado, não o grupo de recursos da máquina virtual ou grupo de segurança de rede.
Posso usar um workspace existente?
Sim. Se você selecionar um workspace existente, verifique se ele foi migrado para o novo idioma de consulta. Se não quiser atualizar o espaço de trabalho, você precisará criar um novo. Para obter mais informações sobre a Linguagem de Consulta Kusto (KQL), consulte Registrar consultas no Azure Monitor.
Minha conta de armazenamento do Azure pode estar em uma assinatura e meu workspace do Log Analytics pode estar em uma assinatura diferente?
Sim, sua conta de armazenamento do Azure pode estar em uma assinatura e seu workspace do Log Analytics pode estar em uma assinatura diferente.
Posso armazenar logs brutos em uma assinatura diferente da assinatura usada para os grupos de segurança de rede ou para as redes virtuais?
Sim. Você pode configurar os logs de fluxo para serem enviados para uma conta de armazenamento localizada em uma assinatura diferente, desde que tenha os privilégios apropriados e que a conta de armazenamento esteja localizada na mesma região que o grupo de segurança de rede (logs de fluxo do grupo de segurança de rede) ou rede virtual (logs de fluxo da rede virtual). A conta de armazenamento de destino deve compartilhar o mesmo locatário do Microsoft Entra do grupo de segurança de rede ou da rede virtual.
Meus recursos de log de fluxo e contas de armazenamento podem estar em locatários diferentes?
Não. Todos os recursos devem estar no mesmo locatário, incluindo grupos de segurança de rede (logs de fluxo do grupo de segurança de rede), redes virtuais (logs de fluxo da rede virtual), logs de fluxo, contas de armazenamento e workspaces do Log Analytics (se a análise de tráfego estiver habilitada).
Posso configurar uma política de retenção diferente para a conta de armazenamento do que para o workspace do Log Analytics?
Sim.
Perderei os dados armazenados no workspace do Log Analytics se excluir a conta de armazenamento usada para o log de fluxo?
Não. Se você excluir a conta de armazenamento usada para os logs de fluxo, os dados armazenados no workspace do Log Analytics não serão afetados. Você ainda pode visualizar os dados históricos no workspace do Log Analytics (algumas métricas podem ser afetadas), mas a análise de tráfego não processará mais nenhum novo log de fluxo adicional até que você atualize os logs de fluxo para usar uma conta de armazenamento diferente.
E se eu não conseguir configurar um grupo de segurança de rede para análise de tráfego devido a um erro "Não encontrado"?
Selecione uma região suportada. Se você selecionar uma região sem suporte, receberá um erro "Não encontrado". Para obter mais informações, confira Regiões suportadas pela análise de tráfego.
E se eu estiver recebendo o status “Falha ao carregar” na página de logs de fluxo?
O provedor Microsoft.Insights deve estar registrado para que o registro de fluxo funcione corretamente. Se você não tiver certeza se o provedor Microsoft.Insights está registrado para sua assinatura, consulte as instruções no portal do Azure, PowerShell ou na CLI do Azure sobre como registrá-lo.
Configurei a solução. Por que não visualizo nada no painel?
O painel pode levar até 30 minutos para mostrar os relatórios pela primeira vez. A solução deve primeiro agregar dados suficientes para obter insights significativos e, em seguida, gerar relatórios.
E se eu receber esta mensagem: “Não conseguimos encontrar nenhum dado neste workspace para o intervalo de tempo selecionado. Tente alterar o intervalo de tempo ou selecione um workspace diferente. ”?
Experimente as opções a seguir:
- Altere o intervalo de tempo na barra superior.
- Selecione um espaço de trabalho do Log Analytics diferente na barra superior.
- Tente acessar a análise de tráfego após 30 minutos, se ela foi ativada recentemente.
Se os problemas persistirem, compartilhe suas preocupações no Microsoft Q&A.
E se eu receber esta mensagem: “Analisando seus logs de fluxo do NSG pela primeira vez. Esse processo pode demorar de 20 a 30 minutos para ser concluído. Verifique de volta depois de algum tempo."?
Você pode ver esta mensagem porque:
- A análise de tráfego foi ativada recentemente e pode ainda não ter agregado dados suficientes para obter insights significativos.
- Você está usando a versão gratuita do workspace do Log Analytics e ela excedeu os limites da cota. Pode ser necessário usar um workspace com uma capacidade maior.
Experimente as soluções sugeridas para a pergunta anterior. Se os problemas persistirem, compartilhe suas preocupações no Microsoft Q&A.
E se eu receber esta mensagem: “Parece que temos dados de recursos (Topologia) e nenhuma informação de fluxos. Para obter mais informações, clique aqui para ver os dados dos recursos e consultar as perguntas frequentes.”?
Você está vendo as informações dos recursos no painel; no entanto, nenhuma estatística relacionada ao fluxo está presente. Os dados podem não estar presentes porque não há fluxos de comunicação entre os recursos. Aguarde 60 minutos e volte a verificar o estado. Se o problema persistir e você tiver certeza de que existem fluxos de comunicação entre os recursos, compartilhe suas preocupações no Microsoft Q&A.
Posso configurar a análise de tráfego usando o PowerShell?
Você pode configurar a análise de tráfego usando o Windows PowerShell versão 6.2.1 e superior. Para configurar o registro do fluxo e a análise de tráfego para um grupo de segurança de rede específico usando o PowerShell, confira Habilitar os logs de fluxo e análise de tráfego do grupo de segurança de rede.
Posso configurar a análise de tráfego usando um modelo ou cliente do Azure Resource Manager?
Sim, você pode usar um modelo do Azure Resource Manager ou um arquivo Bicep para configurar a análise de tráfego. Para obter mais informações, consulte Configurar logs de fluxo do NSG usando um modelo do Azure Resource Manager (ARM) e Configurar logs de fluxo NSG usando um arquivo Bicep.
Como a Análise de Tráfego é precificada?
A análise de tráfego é medida. A medição é baseada no processamento de dados brutos do log de fluxo pelo serviço. Para saber mais, confira Preço do Observador de Rede.
Os logs aprimorados ingeridos no workspace do Log Analytics podem ser mantidos sem custo por até 31 dias (ou 90 dias se o Microsoft Sentinel estiver habilitado no workspace). Para saber mais, confira Preço do Azure Monitor.
Com que frequência a análise de tráfego processa os dados?
O intervalo padrão de processamento da análise de tráfego é de 60 minutos, no entanto, você pode selecionar o processamento acelerado em intervalos de 10 minutos. Para obter mais informações, confira Agregação de dados na análise de tráfego.
Como a análise de tráfego decide que um IP é mal-intencionado?
A análise de tráfego depende dos sistemas internos de inteligência contra ameaças da Microsoft para considerar um IP como mal-intencionado. Esses sistemas aproveitam fontes de telemetria diversificadas, como produtos e serviços da Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) e feeds externos e criam inteligência com base nisso. Alguns desses dados são Internos da Microsoft. Se um IP conhecido estiver sendo sinalizado como mal-intencionado, crie um tíquete de suporte para saber os detalhes.
Como posso definir alertas sobre os dados de análise de tráfego?
A análise de tráfego não tem suporte interno para alertas. No entanto, como os dados de análise de tráfego são armazenados no Log Analytics, você pode escrever consultas personalizadas e definir alertas sobre elas. Siga estas etapas:
- Você pode usar o link do Log Analytics na análise de tráfego.
- Use o esquema de análise de tráfego para escrever suas consultas.
- Selecione Nova regra de alerta para criar o alerta.
- Consulte Criar uma nova regra de alerta para criar o alerta.
Como fazer para verificar quais máquinas virtuais estão recebendo a maior parte do tráfego local?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Para IPs, utilize a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Para o tempo, use o seguinte formato: aaaa-mm-dd 00:00:00
Como fazer para verificar o desvio padrão no tráfego recebido por minhas máquinas virtuais a partir de máquinas locais?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Para IPs:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Como verificar quais portas estão acessíveis (ou bloqueadas) entre os pares de IPs com as regras de NSG?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s