Översikt över trafikanalys
Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i dina molnnätverk. Mer specifikt analyserar trafikanalyser Azure Network Watcher-flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Med trafikanalys kan du:
Visualisera nätverksaktivitet i dina Azure-prenumerationer.
Identifiera aktiva punkter.
Skydda nätverket med hjälp av information om följande komponenter för att identifiera hot:
- Öppna portar
- Program som försöker komma åt Internet
- Virtuella datorer som ansluter till oseriösa nätverk
Optimera nätverksdistributionen för prestanda och kapacitet genom att förstå trafikflödesmönster i Azure-regioner och Internet.
Hitta felkonfigurationer i nätverket som kan leda till misslyckade anslutningar i nätverket.
Varför trafikanalys?
Det är viktigt att övervaka, hantera och känna till ditt eget nätverk för oöverträffad säkerhet, efterlevnad och prestanda. Att känna till din egen miljö är av största vikt för att skydda och optimera den. Du behöver ofta känna till nätverkets aktuella tillstånd, inklusive följande information:
- Vem ansluter till nätverket?
- Var ansluter de från?
- Vilka portar är öppna för Internet?
- Vad är det förväntade nätverksbeteendet?
- Finns det något oregelbundet nätverksbeteende?
- Finns det några plötsliga trafikökningar?
Molnnätverk skiljer sig från lokala företagsnätverk. I lokala nätverk stöder routrar och växlar NetFlow och andra likvärdiga protokoll. Du kan använda dessa enheter för att samla in data om IP-nätverkstrafik när den kommer in i eller avslutar ett nätverksgränssnitt. Genom att analysera trafikflödesdata kan du skapa en analys av nätverkstrafikflödet och volymen.
Med virtuella Azure-nätverk samlar flödesloggar in data om nätverket. Dessa loggar innehåller information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp eller ett virtuellt nätverk. Trafikanalys analyserar rådataflödesloggar och kombinerar loggdata med information om säkerhet, topologi och geografi. Trafikanalys ger dig sedan insikter om trafikflödet i din miljö.
Trafikanalys ger följande information:
- De flesta kommunicerande värdar
- Mest kommunicerande programprotokoll
- Mest konverserande värdpar
- Tillåten och blockerad trafik
- Inkommande och utgående trafik
- Öppna Internetportar
- Regler för mest blockerande
- Trafikdistribution per Azure-datacenter, virtuellt nätverk, undernät eller oseriöst nätverk
Nyckelkomponenter
Om du vill använda trafikanalys behöver du följande komponenter:
Network Watcher: En regional tjänst som du kan använda för att övervaka och diagnostisera villkor på nätverksscenarionivå i Azure. Du kan använda Network Watcher för att aktivera och inaktivera flödesloggar i din prenumeration. Mer information finns i Vad är Azure Network Watcher? och Aktivera eller inaktivera Azure Network Watcher.
Log Analytics: Ett verktyg i Azure Portal som du använder för att arbeta med Azure Monitor-loggar. Azure Monitor-loggar är en Azure-tjänst som samlar in övervakningsdata och lagrar data på en central lagringsplats. Dessa data kan omfatta händelser, prestandadata eller anpassade data som tillhandahålls via Azure-API:et. När dessa data har samlats in är de tillgängliga för aviseringar, analyser och export. Övervakningsprogram som övervakare av nätverksprestanda och trafikanalys använder Azure Monitor-loggar som grund. Mer information finns i Azure Monitor-loggar. Med Log Analytics kan du redigera och köra frågor i loggar. Du kan också använda det här verktyget för att analysera frågeresultat. Mer information finns i Översikt över Log Analytics i Azure Monitor.
Log Analytics-arbetsyta: Den miljö som lagrar Azure Monitor-loggdata som gäller för ett Azure-konto. Mer information om Log Analytics-arbetsytor finns i Översikt över Log Analytics-arbetsyta och Skapa en Log Analytics-arbetsyta.
Dessutom behöver du en nätverkssäkerhetsgrupp aktiverad för flödesloggning om du använder trafikanalys för att analysera flödesloggar för nätverkssäkerhetsgrupp eller ett virtuellt nätverk som är aktiverat för flödesloggning om du använder trafikanalys för att analysera flödesloggar för virtuella nätverk:
Nätverkssäkerhetsgrupp (NSG): En resurs som innehåller en lista över säkerhetsregler som tillåter eller nekar nätverkstrafik till eller från resurser som är anslutna till ett virtuellt Azure-nätverk. Nätverkssäkerhetsgrupper kan associeras med undernät, nätverksgränssnitt (NIC) som är anslutna till virtuella datorer (Resource Manager) eller enskilda virtuella datorer (klassisk). Mer information finns i Översikt över nätverkssäkerhetsgrupp.
Flödesloggar för nätverkssäkerhetsgrupp: Registrerad information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp. Flödesloggar för nätverkssäkerhetsgrupper skrivs i JSON-format och omfattar:
- Utgående och inkommande flöden per regel.
- Det nätverkskort som flödet gäller för.
- Information om flödet, till exempel källans och målets IP-adresser, käll- och målportarna och protokollet.
- Status för trafiken, till exempel tillåten eller nekad.
Mer information finns i Översikt över flödesloggar för nätverkssäkerhetsgrupp och Skapa en flödeslogg för nätverkssäkerhetsgrupp.
Virtuellt nätverk (VNet) : En resurs som gör det möjligt för många typer av Azure-resurser att kommunicera säkert med varandra, internet och lokala nätverk. Mer information finns i Översikt över virtuellt nätverk.
Flödesloggar för virtuellt nätverk: Registrerad information om inkommande och utgående IP-trafik via ett virtuellt nätverk. Flödesloggar för virtuella nätverk skrivs i JSON-format och omfattar:
- Utgående och inkommande flöden.
- Information om flödet, till exempel källans och målets IP-adresser, käll- och målportarna och protokollet.
- Status för trafiken, till exempel tillåten eller nekad.
Mer information finns i Översikt över flödesloggar för virtuellt nätverk och Skapa en flödeslogg för virtuellt nätverk. Information om skillnaderna mellan flödesloggar för nätverkssäkerhetsgrupper och virtuella nätverksflödesloggar finns i Flödesloggar för virtuellt nätverk jämfört med flödesloggar för nätverkssäkerhetsgrupper.
Kommentar
Om du vill använda Trafikanalys måste du tilldela någon av följande inbyggda Azure-roller till ditt konto:
| Distributionsmodell | Roll |
|---|---|
| Resource Manager | Ägare |
| Deltagare | |
| Nätverksdeltagare 1 och övervakningsdeltagare |
1 Nätverksdeltagare omfattar Microsoft.OperationalInsights/workspaces/* inte åtgärder.
Om ingen av de föregående inbyggda rollerna har tilldelats ditt konto tilldelar du en anpassad roll som stöder de åtgärder som anges i Flödesloggar och Trafikanalysbehörigheter .
Så här fungerar trafikanalys
Trafikanalys undersöker råa flödesloggar. Den minskar sedan loggvolymen genom att aggregera flöden som har en gemensam KÄLL-IP-adress, mål-IP-adress, målport och protokoll.
Ett exempel kan omfatta Värd 1 på IP-adressen 10.10.10.10 och Värd 2 på IP-adressen 10.10.20.10. Anta att dessa två värdar kommunicerar 100 gånger under en period av en timme. Råflödesloggen har i det här fallet 100 poster. Om dessa värdar använder HTTP-protokollet på port 80 för var och en av dessa 100 interaktioner har den reducerade loggen en post. Den posten anger att värd 1 och värd 2 kommunicerade 100 gånger under en period av en timme med hjälp av HTTP-protokollet på port 80.
Minskade loggar utökas med information om geografi, säkerhet och topologi och lagras sedan på en Log Analytics-arbetsyta. Följande diagram visar dataflödet:
Tillgänglighet
I följande tabeller visas de regioner som stöds där du kan aktivera trafikanalys för dina flödesloggar och de Log Analytics-arbetsytor som du kan använda.
- Nordamerika/Sydamerika
- Europa
- Australien/Asien/Stillahavsområdet
- Mellanöstern/Afrika
- Azure Government
| Region | Flödesloggar för nätverkssäkerhetsgrupp | Flödesloggar för virtuellt nätverk | Trafikanalys | Log Analytics-arbetsyta |
|---|---|---|---|---|
| Brasilien, södra | ✓ | ✓ | ✓ | ✓ |
| Brasilien, sydöstra | ✓ | ✓ | ✓ | ✓ |
| Kanada, centrala | ✓ | ✓ | ✓ | ✓ |
| Östra Kanada | ✓ | ✓ | ✓ | ✓ |
| Centrala USA | ✓ | ✓ | ✓ | ✓ |
| USA, östra | ✓ | ✓ | ✓ | ✓ |
| USA, östra 2 | ✓ | ✓ | ✓ | ✓ |
| Mexiko, centrala | ✓ | ✓ | ✓ | |
| Norra centrala USA | ✓ | ✓ | ✓ | ✓ |
| USA, södra centrala | ✓ | ✓ | ✓ | ✓ |
| Västra centrala USA | ✓ | ✓ | ✓ | ✓ |
| Västra USA | ✓ | ✓ | ✓ | ✓ |
| Västra USA 2 | ✓ | ✓ | ✓ | ✓ |
| USA, västra 3 | ✓ | ✓ | ✓ | ✓ |
Kommentar
Om flödesloggar stöds i en region, men Log Analytics-arbetsytan inte stöds i den regionen för trafikanalys, kan du använda en Log Analytics-arbetsyta från någon annan region som stöds. I det här fallet kommer det inte att finnas några ytterligare avgifter för dataöverföring mellan regioner för användning av en Log Analytics-arbetsyta från en annan region.
Prissättning
Prisinformation finns i Priser för Network Watcher och Priser för Azure Monitor.
Vanliga frågor och svar om trafikanalys
Om du vill få svar på de vanligaste frågorna om trafikanalys kan du läsa Vanliga frågor och svar om trafikanalys.
Relaterat innehåll
- Information om hur du använder trafikanalys finns i Användningsscenarier.
- Information om schema och bearbetning av trafikanalyser finns i Schema och dataaggregering i Traffic Analytics.