Общие сведения об аналитике трафика

Аналитика трафика — это облачное решение, которое позволяет следить за действиями пользователя и приложения в ваших облачных сетях. В частности, аналитика трафика анализирует журналы потоков Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

• Визуализация действий в сети в подписках Azure.

• Определение точек доступа.

• Защита сети с помощью сведений о следующих компонентах для выявления угроз:

  • Открытие портов
  • приложения, которые пытаются получить доступ к Интернету;
  • виртуальные машины, подключающиеся к несанкционированным сетям.

• Оптимизация развертывания сети для повышения производительности и эффективного использования емкости путем изучения закономерностей потока трафика в регионах Azure и Интернете.

• Оперативное обнаружение неверных конфигураций сети, которые могут привести к сбоям подключений в сети.

Преимущества решения "Аналитика трафика"

Крайне важно выполнять мониторинг своей сети, управлять ею и знать ее структуру для обеспечения соответствия требованиям, высокой производительности и защиты от несанкционированного доступа. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Во многих случаях нужно иметь представление о текущем состоянии сети, в частности знать следующее:

• Кто подключается к сети?
• Откуда устанавливается подключение?
• Какие порты открыты в Интернете?
• Каково ожидаемое поведение сети?
• Наблюдается ли нерегулярное поведение в сети?
• Есть ли внезапный рост трафика?

Облачные сети отличаются от локальных корпоративных сетей. В локальных сетях маршрутизаторы и коммутаторы поддерживают NetFlow и другие эквивалентные протоколы. Эти устройства позволяют выполнять сбор данных об IP-трафике при входе или выходе из сетевого интерфейса. С помощью анализа данных потока трафика можно выполнить анализ потока и объема трафика.

С помощью виртуальных сетей Azure журналы потоков собирают данные о сети. Эти журналы предоставляют сведения о входе и исходящего IP-трафика через группу безопасности сети или виртуальную сеть. Аналитика трафика анализирует необработанные журналы потоков и объединяет данные журнала с аналитикой безопасности, топологии и географии. Затем решение предоставляет аналитические сведения о потоке трафика в вашей среде.

Аналитика трафика предоставляет следующие данные:

• узлы с наибольшим объемом передаваемых данных;
• протоколы приложений с наибольшим объемом передаваемых данных;
• пара узлов, больше всего взаимодействующих между собой;
• разрешенный и заблокированный трафик;
• Входящие и исходящие SMS.
• Открытые порты Интернета.
• правила, устанавливающие самый высокий уровень блокировки;
• распределение трафика для каждого центра обработки данных Azure, виртуальной сети, подсетей или несанкционированной сети.

Ключевые компоненты

Чтобы использовать аналитику трафика, вам потребуются следующие компоненты:

• Наблюдатель за сетями — это региональная служба, с помощью которой вы можете выполнять мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Вы можете использовать Наблюдатель за сетями для включения и отключения журналов потоков в подписке. Дополнительные сведения см. в статье "Что такое Azure Наблюдатель за сетями?", а также включение или отключение azure Наблюдатель за сетями.

• Log Analytics. Средство на портале Azure, используемое для работы с данными журналов Azure Monitor. Журналы Azure Monitor — служба Azure, которая собирает данные мониторинга и сохраняет их в центральный репозиторий. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", используют журналы Azure Monitor в качестве основы. Дополнительные сведения см. в статье Журналы Azure Monitor. Log Analytics предоставляет способ изменения и выполнения запросов к журналам. Кроме того, с помощью этого средства можно анализировать результаты запроса. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

• Рабочая область Log Analytics. Среда, в которой хранятся данные журналов Azure Monitor, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в разделе "Обзор рабочей области Log Analytics" и "Создание рабочей области Log Analytics".

• Кроме того, необходимо включить группу безопасности сети для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков группы безопасности сети или виртуальной сети, включенной для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков виртуальной сети:

  • Группа безопасности сети (NSG) — ресурс, содержащий список правил безопасности, которые разрешают или запрещают сетевой трафик или из ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, сетевыми интерфейсами (сетевыми адаптерами), подключенными к виртуальным машинам (Resource Manager) или отдельным виртуальным машинам (классической). Дополнительные сведения см. в статье Безопасность сети.

  • Журналы потоков группы безопасности сети: записанные сведения о входе и исходящего IP-трафика через группу безопасности сети. Журналы потоков группы безопасности сети записываются в формате JSON и включают:

    • входящие и исходящие потоки для каждого правила;
    • Сетевой адаптер, к которому относится данный поток.
    • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
    • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

    Дополнительные сведения см. в разделе "Общие сведения о журналах потоков группы безопасности сети" и "Создание журнала потока группы безопасности сети".

  • Виртуальная сеть (виртуальная сеть) — ресурс, который позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Дополнительные сведения см. в обзоре виртуальной сети.

  • Журналы потоков виртуальной сети: записанные сведения о входящего и исходящего IP-трафика через виртуальную сеть. Журналы потоков виртуальной сети записываются в формате JSON и включают:

    • Исходящие и входящий потоки.
    • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
    • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

    Дополнительные сведения см. в обзоре журналов потоков виртуальной сети и создании журнала потоков виртуальной сети. Сведения о различиях между журналами потоков группы безопасности сети и журналами потоков виртуальной сети см. в разделе журналы потоков виртуальной сети по сравнению с журналами потоков группы безопасности сети.

Примечание.

Чтобы использовать аналитику трафика, необходимо назначить одну из следующих встроенных ролей Azure вашей учетной записи:

Модель развертывания	Роль
Resource Manager	Владелец
	Участник
	Участник сети 1 и участник мониторинга

¹ Участник сети не охватывает Microsoft.OperationalInsights/workspaces/* действия.

Если ни одна из предыдущих встроенных ролей не назначена вашей учетной записи, назначьте пользовательскую роль , которая поддерживает действия, перечисленные в журналах потоков и разрешениях аналитики трафика.

Как работает решение "Аналитика трафика"

Аналитика трафика проверяет необработанные журналы потоков. Затем решение уменьшает объем журнала, агрегируя потоки с общим IP-адресом источника, IP-адресом назначения, портом назначения и протоколом.

Для примера возьмем узел 1 с IP-адресом 10.10.10.10 и узел 2 с IP-адресом 10.10.20.10. Предположим, что эти два узла взаимодействуют 100 раз в течение одного часа. В этом случае необработанный журнал потоков будет содержать 100 записей. Если эти узлы используют протокол HTTP в порте 80 для каждой из этих 100 операций взаимодействия, в сокращенном журнале будет одна запись. Эта запись указывает на то, что узел 1 и узел 2 обмениваются данными 100 раз в течение одного часа с помощью протокола HTTP через порт 80.

Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующей схеме показано представление потока данных:

Availability

В следующих таблицах перечислены поддерживаемые регионы, в которых можно включить аналитику трафика для журналов потоков и рабочих областей Log Analytics, которые можно использовать.

Северная Америка / Южная Америка

Область/регион	Журналы потоков группы безопасности сети	Журналы потоков виртуальной сети	Аналитика трафика	Рабочая область Log Analytics
Южная Бразилия	✓	✓	✓	✓
Юго-Восточная Бразилия	✓	✓	✓	✓
Центральная Канада	✓	✓	✓	✓
Восточная Канада	✓	✓	✓	✓
Центральная часть США	✓	✓	✓	✓
Восточная часть США	✓	✓	✓	✓
Восточная часть США 2	✓	✓	✓	✓
Центральная Мексика	✓	✓	✓
Центрально-северная часть США	✓	✓	✓	✓
Центрально-южная часть США	✓	✓	✓	✓
Центрально-западная часть США	✓	✓	✓	✓
западная часть США	✓	✓	✓	✓
западная часть США 2	✓	✓	✓	✓
Западная часть США — 3	✓	✓	✓	✓

Европа

Область/регион	Журналы потоков группы безопасности сети	Журналы потоков виртуальной сети	Аналитика трафика	Рабочая область Log Analytics
Центральная Франция	✓	✓	✓	✓
Франция (юг)	✓	✓
Северная Германия	✓	✓	✓	✓
Центрально-Западная Германия	✓	✓	✓	✓
Северная Италия	✓	✓	✓	✓
Северная Европа	✓	✓	✓	✓
Восточная Норвегия;	✓	✓	✓	✓
Западная Норвегия	✓	✓		✓
Центральная Польша	✓	✓	✓	✓
Центральная Испания	✓	✓	✓
Центральная Швеция	✓	✓	✓	✓
Северная Швейцария	✓	✓	✓	✓
Западная Швейцария	✓	✓	✓	✓
южная часть Соединенного Королевства	✓	✓	✓	✓
западная часть Соединенного Королевства	✓	✓	✓	✓
Западная Европа	✓	✓	✓	✓

Австралия / Азия / Тихоокеанский регион

Область/регион	Журналы потоков группы безопасности сети	Журналы потоков виртуальной сети	Аналитика трафика	Рабочая область Log Analytics
Центральная Австралия	✓	✓	✓	✓
Центральная Австралия 2	✓	✓		✓
Восточная Австралия	✓	✓	✓	✓
Юго-Восточная часть Австралии	✓	✓	✓	✓
Центральная Индия	✓	✓	✓	✓
Восточный Китай	✓	✓
Восточный Китай 2	✓	✓	✓	✓
Восточный Китай 3	✓	✓	✓
Северный Китай	✓	✓	✓	✓
Северный Китай 2	✓	✓	✓	✓
Северный Китай 3	✓	✓	✓
Восточная Азия	✓	✓	✓	✓
Восточная Япония	✓	✓	✓	✓
Западная Япония	✓	✓	✓	✓
Jio, Центральная Индия				✓
Западная Индия Jio	✓	✓	✓	✓
Республика Корея, центральный регион	✓	✓	✓	✓
Республика Корея, южный регион	✓	✓	✓	✓
Индия (юг)	✓	✓	✓	✓
Юго-Восточная Азия	✓	✓	✓	✓
Северный Тайвань	✓	✓	✓
Северо-западный Тайвань	✓	✓
Индия (запад)	✓	✓

Ближний Восток / Африка

Область/регион	Журналы потоков группы безопасности сети	Журналы потоков виртуальной сети	Аналитика трафика	Рабочая область Log Analytics
Израиль, центральный регион	✓	✓	✓	✓
Центральный Катар	✓	✓	✓	✓
Северная часть ЮАР	✓	✓	✓	✓
Западная часть ЮАР	✓	✓		✓
Центральная часть ОАЭ	✓	✓	✓	✓
Северная часть ОАЭ;	✓	✓	✓	✓

Azure для государственных организаций

Область/регион	Журналы потоков группы безопасности сети	Журналы потоков виртуальной сети	Аналитика трафика	Рабочая область Log Analytics
Центральный регион US DoD	✓	✓
Восточный регион US DoD	✓	✓
US Gov (Аризона)	✓	✓	✓	✓
US Gov (Айова)	✓	✓
US Gov (Техас)	✓	✓	✓	✓
US Gov (Вирджиния)	✓	✓	✓	✓
Восточная часть США	✓	✓	✓	✓
Западная часть США	✓	✓	✓	✓
восточный регион US Sec	✓	✓	✓	✓
западный регион US Sec	✓	✓	✓	✓
Центрально-западный регион US Sec	✓	✓

Примечание.

Если журналы потоков поддерживаются в регионе, но рабочая область Log Analytics не поддерживается в этом регионе для аналитики трафика, вы можете использовать рабочую область Log Analytics из любого другого поддерживаемого региона. В этом случае не будет никаких дополнительных расходов на передачу данных между регионами для использования рабочей области Log Analytics из другого региона.

Цены

Сведения о ценах см. в Наблюдатель за сетями ценах и ценах Azure Monitor.

Часто задаваемые вопросы о аналитике трафика

Чтобы получить ответы на наиболее часто задаваемые вопросы об аналитике трафика, ознакомьтесь с часто задаваемыми вопросами о аналитике трафика.

Связанный контент

• Сведения об использовании аналитики трафика см . в сценариях использования.
• Сведения о схеме и обработке аналитических сведений об анализе трафика см. в разделе "Схема и агрегирование данных" в Аналитике трафика.