本文提供了有关 Azure 网络观察程序中流量分析的常见问题的解答。
使用流量分析需要满足哪些先决条件?
有关所需先决条件的列表,请参阅流量分析先决条件。
如何检查我是否拥有所需的角色?
若要了解如何检查分配给用户用于订阅的角色,请参阅使用 Azure 门户列出 Azure 角色分配。 如果看不到角色分配,请联系相应的订阅管理员。
是否可以为与工作区区域位于不同区域的网络安全组启用流日志?
是的,网络安全组可与 Log Analytics 工作区位于不同区域。
是否可以在单个工作区中配置多个网络安全组?
可以。
是否支持经典网络安全组?
否,流量分析不支持经典网络安全组。
为什么流量分析不显示已启用流量分析的网络安全组的数据?
在“流量分析”仪表板的资源选择下拉列表中,必须选择“虚拟网络”资源的资源组,而不是虚拟机或网络安全组的资源组。
是否可以使用现有的的工作区?
是的。 如果选择现有的工作区,请确保已将此工作区迁移到新的查询语言。 如果不想要升级该工作区,则需要创建新的工作区。 有关 Kusto 查询语言 (KQL) 的详细信息,请参阅 Azure Monitor 中的日志查询。
是否可将 Azure 存储帐户放在一个订阅中,并将 Log Analytics 工作区放在另一个订阅中?
是,可将 Azure 存储帐户置于一个订阅中,并将 Log Analytics 工作区置于另一个订阅中。
我可以将原始日志存储在一个与用于网络安全组或虚拟网络的订阅不同的订阅中吗?
是的。 可以将流日志配置为发送到一个位于其他订阅中的存储帐户,前提是你有适当的权限,并且该存储帐户与网络安全组(网络安全组流日志)或虚拟网络(虚拟网络流日志)位于同一区域。 目标存储帐户必须共享网络安全组或虚拟网络的同一 Microsoft Entra 租户。
流日志资源和存储帐户是否可以位于不同的租户中?
否。 包括网络安全组(网络安全组流日志)、虚拟网络(虚拟网络流日志)、流日志、存储帐户和 Log Analytics 工作区(如果启用了流量分析)在内的所有资源必须位于同一租户中。
我可以为存储帐户配置与 Log Analytics 工作区不同的保留策略吗?
是的。
如果删除用于流日志记录的存储帐户,是否会丢失 Log Analytics 工作区中存储的数据?
否。 如果删除用于流日志的存储帐户,Log Analytics 工作区中存储的数据不会受到影响。 你仍然可以在 Log Analytics 工作区中查看历史数据(某些指标会受到影响),但流量分析将不再处理任何新的附加流日志,直到你更新流日志以使用其他存储帐户。
如果由于“未找到”错误而无法为流量分析配置网络安全组,该如何解决?
选择支持的区域。 如果选择不支持的区域,则会收到“未找到”错误。 有关详细信息,请参阅流量分析支持的区域。
如果在流日志页中显示“无法加载”状态,该怎么办?
要使流日志记录正常工作,必须注册 Microsoft.Insights
提供程序。 如果不确定是否已为订阅注册 Microsoft.Insights
提供程序,请参阅 Azure 门户、PowerShell 或 Azure CLI 说明,了解如何注册它。
我已配置解决方案。 为何仪表板上未显示任何信息?
仪表板首次显示报告最长可能需要花费 30 分钟。 解决方案必须先聚合足够的数据才能派生有意义的见解,然后才能生成报告。
如果收到以下消息:“在所选时间间隔内在此工作区中未找到任何数据。 尝试更改时间间隔,或者选择其他工作区”,该如何解决?
请尝试以下选项:
- 在上部菜单栏中更改时间间隔。
- 在上部菜单栏中选择不同的 Log Analytics 工作区。
- 如果流量分析是最近才启用的,请尝试在 30 分钟后访问它。
如果问题仍未解决,请在 Microsoft Q&A 中咨询。
如果收到以下消息:“正在首次分析 NSG 流日志。 此过程可能需要 20-30 分钟才能完成。 过一段时间再回来查看。”?
出现此消息的可能原因有:
- 流量分析最近才启用,可能尚未聚合足够的数据,无法获得有意义的见解。
- 你正在使用免费版 Log Analytics 工作区,它超出了配额限制。 可能需要使用容量更大的工作区。
尝试上一问题的建议解决方案。 如果问题仍未解决,请在 Microsoft Q&A 中咨询。
如果收到以下消息:“似乎我们已获得资源数据(拓扑),但没有流信息。 有关详细信息,请单击此处查看资源数据,并参阅 FAQ。”?
仪表板上显示了资源信息,但未显示与流相关的统计信息。 由于资源之间没有通信流,因此可能不显示数据。 请在 60 分钟后重新检查状态。 如果问题仍未解决,并且你确信资源之间存在通信流,请在 Microsoft Q&A 中咨询。
是否可以使用 PowerShell 配置流量分析?
可使用版本 6.2.1 及以上版本的 Windows PowerShell 配置流量分析。 若要使用 PowerShell 为特定网络安全组配置流日志记录和流量分析,请参阅启用网络安全组流日志和流量分析。
是否可以使用 Azure 资源管理器模板或 Bicep 文件配置流量分析?
是的,可以使用 Azure 资源管理器模板或 Bicep 文件来配置流量分析。 有关详细信息,请参阅使用 Azure 资源管理器 (ARM) 模板配置 NSG 流日志和使用 Bicep 文件配置 NSG 流日志。
流量分析如何计费?
流量分析计量。 计量基于服务对原始流日志数据的处理。 有关详细信息,请参阅网络观察程序定价。
Log Analytics 工作区中引入的增强型日志最多可免费保留 31 天(如果工作区上启用了 Microsoft Sentinel,则最多可以保留 90 天)。 有关详细信息,请参阅 Azure Monitor 定价。
流量分析多久处理一次数据?
流量分析的默认处理间隔为 60 分钟,但可以选择以 10 分钟的间隔加速处理。 有关详细信息,请参阅流量分析中的数据聚合。
流量分析如何确定 IP 是恶意 IP?
流量分析依靠 Microsoft 内部威胁智能系统来确定某个 IP 是否为恶意 IP。 这些系统利用各种遥测源,例如 Microsoft 产品和服务、Microsoft 的反数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC) 和外部馈送,并在此基础上构建大量智能。 其中一些数据是 Microsoft 内部数据。 如果已知 IP 被标记为恶意 IP,请提出支持票证以了解详细信息。
如何针对流量分析数据设置警报?
流量分析没有对警报的内置支持。 但是,由于流量分析数据存储在 Log Analytics 中,因此可以编写自定义查询并对其设置警报。 请执行以下步骤:
如何检查哪些虚拟机接收的本地流量最多?
使用以下查询:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
对于 IP,请使用以下查询:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
对于时间,请使用格式:yyyy-mm-dd 00:00:00
如何查看虚拟机从本地计算机接收的流量的标准偏差?
使用以下查询:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
对于 IP:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
如何使用 NSG 规则检查 IP 对之间哪些端口可以访问(或被阻止)?
使用以下查询:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
如何在地图视图中使用键盘导航?
地图页面包含两个主要部分:
- 横幅:地理图顶部的横幅提供了选择流量分布筛选器(例如,部署、来自国家/地区的流量和恶意)的按钮。 选择某按钮时,将在地图上应用相应的筛选器。 例如,如果选择“活动”按钮,则地图会突出显示部署中的活动数据中心。
- 地图:标题下的地图部分显示 Azure 数据中心和国家/地区之间的流量分配。
标题中的键盘导航
- 地图页面标题部分默认选择“Azure DC”筛选器。
- 若要移至另一个筛选器,请使用
Tab
或Right arrow
键。 若要向后移动,请使用Shift+Tab
或Left arrow
键。 向前导航是从左到右,然后是从上到下。 - 按
Enter
或Down
箭头键可应用选定的筛选器。 根据选择的筛选器和部署,将在下方的“地图”部分突出显示一个或多个节点。 - 若要在“标题”与“地图”之间切换,请按
Ctrl+F6
。
地图中的键盘导航
- 在横幅中选择任一筛选器并按
Ctrl+F6
后,焦点将移至地图视图中某个突出显示的节点(Azure 数据中心或国家/地区)。 - 若要移至地图中其他突出显示的节点,请使用
Tab
或Right arrow
键向前移动。 使用Shift+Tab
或Left arrow
键向后移动。 - 若要在地图中选择突出显示的任一节点,可以使用
Enter
或Down arrow
键。 - 选择任一此类节点后,焦点会转移到节点的“信息工具框”。 默认情况下,焦点会转移到“信息工具框”中的关闭按钮。 若要进一步在“框”视图中移动,可分别使用
Right arrow
和Left arrow
键向前和向后移动。 按Enter
的效果与在“信息工具框”中选择聚焦的按钮相同。 - 当焦点位于“信息工具框”时,如果按
Tab
,则焦点会移至选定节点所在的同一大洲中的终结点。 使用Right arrow
和Left arrow
键可浏览这些终结点。 - 若要移至其他流终结点或大洲群集,请使用
Tab
向前移动,或使用Shift+Tab
向后移动。 - 焦点位于“大洲群集”时,可以使用
Enter
或Down
箭头键突出显示大洲群集中的终结点。 若要在大洲群集的信息框中浏览终结点和使用关闭按钮,可分别使用Right arrow
或Left arrow
键向前或向后移动。 在任一终结点上,可以使用Shift+L
切换到从选定节点到终结点的连接线。 可以再次按Shift+L
以移至所选终结点。
任何阶段的键盘导航
Esc
键可折叠展开的选定内容。- 按
Up-arrow
键可执行按Esc
时所执行的相同操作。 按Down arrow
键可执行按Enter
时所执行的相同操作。 - 使用
Shift+Plus
可以放大,使用Shift+Minus
可以缩小。
如何在虚拟网络拓扑视图中使用键盘导航?
虚拟网络拓扑页面包含两个主要部分:
- 标题:虚拟网络拓扑顶部标题提供用于选择流量分布筛选器(例如,“已连接的虚拟网络”、“已断开连接的虚拟网络”和“公共 IP”)的按钮。 选择某按钮时,将在拓扑上应用相应的筛选器。 例如,如果选择“活动”按钮,则拓扑会突出显示部署中的活动虚拟网络。
- 拓扑:标题下的拓扑部分显示虚拟网络之间的流量分布。
标题中的键盘导航
- 虚拟网络拓扑页面标题部分默认选择“已连接的 VNet”筛选器。
- 若要移至另一个筛选器,请使用
Tab
键向前移动。 若要向后移动,请使用Shift+Tab
键。 向前导航是从左到右,然后是从上到下。 - 按
Enter
可应用选定的筛选器。 根据选择的筛选器和部署,将在下方的“拓扑”部分突出显示一个或多个节点(虚拟网络)。 - 若要在“标题”与“拓扑”之间切换,请按
Ctrl+F6
。
拓扑中的键盘导航
- 在标题中选择任一筛选器并按
Ctrl+F6
后,焦点移至拓扑视图中某个突出显示的节点 (VNet)。 - 若要移至拓扑视图中其他突出显示的节点,请使用
Shift+Right arrow
键向前移动。 - 在突出显示的节点上,焦点会移至节点的“信息工具框”。 默认情况下,焦点会移至“信息工具框”中的“更多详细信息”按钮 。 若要进一步在“框”视图中移动,可分别使用
Right arrow
和Left arrow
键向前和向后移动。 按Enter
的效果与在“信息工具框”中选择聚焦的按钮相同。 - 选择任何此类节点时,可通过按
Shift+Left arrow
键逐个访问其所有连接。 焦点将移至该连接的“信息工具框”。 在任何时候,都可通过再次按Shift+Right arrow
,将焦点移回该节点。
如何在子网拓扑视图中使用键盘导航?
虚拟子网拓扑页面包含两个主要部分:
- 标题:虚拟子网拓扑顶部的标题提供用于选择流量分布筛选器(例如“活动”、“中型”和“网关子网”)的按钮。 选择某按钮时,将在拓扑上应用相应的筛选器。 例如,如果选择“活动”按钮,则拓扑会突出显示部署中的活动虚拟子网。
- 拓扑:标题下的拓扑部分显示虚拟子网络之间的流量分布。
标题中的键盘导航
- 虚拟子网拓扑页面标题部分默认选择“子网”筛选器。
- 若要移至另一个筛选器,请使用
Tab
键向前移动。 若要向后移动,请使用Shift+Tab
键。 向前导航是从左到右,然后是从上到下。 - 按
Enter
可应用选定的筛选器。 根据选择的筛选器和部署,将在“拓扑”部分下面突出显示一个或多个节点(子网)。 - 若要在“标题”与“拓扑”之间切换,请按
Ctrl+F6
。
拓扑中的键盘导航
- 在标题中选择任一筛选器并按
Ctrl+F6
后,焦点移至拓扑视图中某个突出显示的节点(子网)。 - 若要移至拓扑视图中其他突出显示的节点,请使用
Shift+Right arrow
键向前移动。 - 在突出显示的节点上,焦点会移至节点的“信息工具框”。 默认情况下,焦点会移至“信息工具框”中的“更多详细信息”按钮 。 若要进一步在“框”视图中移动,可分别使用
Right arrow
和Left arrow
键向前和向后移动。 按Enter
的效果与在“信息工具框”中选择聚焦的按钮相同。 - 选择任何此类节点时,可通过按
Shift+Left arrow
键逐个访问其所有连接。 焦点将移至该连接的“信息工具框”。 在任何时候,都可通过再次按Shift+Right arrow
,将焦点移回该节点。