الأسئلة المتداولة حول تحليلات نسبة استخدام الشبكة (FAQ)

لمعرفة كيفية التحقق من الأدوار المعينة لمستخدم للاشتراك، راجع سرد تعيينات دور Azure باستخدام مدخل Microsoft Azure. إذا لم تتمكن من رؤية تعيينات الدور، فاتصل بمسؤول الاشتراك المعني.

نعم، يمكن أن تكون مجموعات أمان الشبكة في مناطق مختلفة عن منطقة مساحة عمل Log Analytics.

نعم.

لا، لا تدعم تحليلات نسبة استخدام الشبكة مجموعات أمان الشبكة الكلاسيكية.

في القائمة المنسدلة لتحديد الموارد في لوحة معلومات تحليلات نسبة استخدام الشبكة، يجب تحديد مجموعة الموارد لمورد الشبكة الظاهرية، وليس مجموعة الموارد للجهاز الظاهري أو مجموعة أمان الشبكة.

نعم. إذا قمت بتحديد مساحة عمل موجودة، فتأكد من ترحيلها إلى لغة الاستعلام الجديدة. إذا كنت لا تريد ترقية مساحة العمل، فستحتاج إلى إنشاء مساحة عمل جديدة. لمزيد من المعلومات حول Kusto Query Language (KQL)، راجع تسجيل الاستعلامات في Azure Monitor.

نعم، يمكن أن يكون حساب تخزين Azure الخاص بك في اشتراك واحد، ويمكن أن تكون مساحة عمل Log Analytics في اشتراك مختلف.

نعم. يمكنك تكوين سجلات التدفق لإرسالها إلى حساب تخزين موجود في اشتراك مختلف، شريطة أن يكون لديك الامتيازات المناسبة، وأن يكون حساب التخزين موجودا في نفس المنطقة مثل مجموعة أمان الشبكة (سجلات تدفق مجموعة أمان الشبكة) أو الشبكة الظاهرية (سجلات تدفق الشبكة الظاهرية). يجب أن يشارك حساب التخزين الوجهة نفس مستأجر Microsoft Entra لمجموعة أمان الشبكة أو الشبكة الظاهرية.

‏‏لا. يجب أن تكون جميع الموارد في نفس المستأجر بما في ذلك مجموعات أمان الشبكة (سجلات تدفق مجموعة أمان الشبكة) والشبكات الظاهرية (سجلات تدفق الشبكة الظاهرية) وسجلات التدفق وحسابات التخزين ومساحات عمل Log Analytics (إذا تم تمكين تحليلات نسبة استخدام الشبكة).

نعم.

‏‏لا. إذا قمت بحذف حساب التخزين المستخدم لسجلات التدفق، فلن تتأثر البيانات المخزنة في مساحة عمل Log Analytics. لا يزال بإمكانك عرض البيانات التاريخية في مساحة عمل Log Analytics (ستتأثر بعض المقاييس) ولكن تحليلات نسبة استخدام الشبكة لن تعالج أي سجلات تدفق إضافية جديدة حتى تقوم بتحديث سجلات التدفق لاستخدام حساب تخزين مختلف.

حدد المنطقة المدعومة. إذا قمت بتحديد منطقة غير مدعومة، فستتلقى الخطأ "لم يتم العثور على". لمزيد من المعلومات، راجع المناطق المدعومة لتحليلات نسبة استخدام الشبكة.

Microsoft.Insights يجب تسجيل الموفر لتسجيل التدفق للعمل بشكل صحيح. إذا لم تكن متأكدا مما إذا كان Microsoft.Insights الموفر مسجلا لاشتراكك، فشاهد مدخل Microsoft Azure أو PowerShell أو إرشادات Azure CLI حول كيفية تسجيله.

قد تستغرق لوحة المعلومات ما يصل إلى 30 دقيقة لعرض التقارير للمرة الأولى. يجب أن يجمع الحل أولا بيانات كافية لاشتقاق رؤى ذات مغزى، ثم يقوم بإنشاء تقارير.

قم بتجربة الخيارات الآتية:

• تغيير الفاصل الزمني في الشريط العلوي.
• تحديد مساحة عمل Log Analytics مختلفة في الشريط العلوي.
• محاولة الوصول إلى تحليلات نسبة استخدام الشبكة بعد 30 دقيقة، إذا تم تمكينها مؤخراً.

إذا استمرت المشاكل، فطرح المخاوف في Microsoft Q&A.

قد ترى هذه الرسالة بسبب ما يأتي:

• تم تمكين تحليلات نسبة استخدام الشبكة مؤخرا، وربما لم تجمع بيانات كافية حتى الآن لاشتقاق رؤى ذات مغزى.
• أنت تستخدم الإصدار المجاني من مساحة عمل Log Analytics، وقد تجاوزت حدود الحصة النسبية. قد تحتاج إلى استخدام مساحة عمل ذات سعة أكبر.

جرب الحلول المقترحة للسؤال السابق. إذا استمرت المشاكل، فطرح المخاوف في Microsoft Q&A.

ترى معلومات الموارد على لوحة المعلومات؛ ومع ذلك، لا توجد إحصائيات متعلقة بالتدفق. قد لا تكون البيانات موجودة بسبب عدم وجود تدفقات اتصال بين الموارد. انتظر لمدة 60 دقيقة، وأعد التحقق من الحالة. إذا استمرت المشكلة، وكنت متأكدا من وجود تدفقات الاتصالات بين الموارد، فطرح المخاوف في Microsoft Q&A.

يمكنك تكوين تحليلات نسبة استخدام الشبكة باستخدام Windows PowerShell الإصدار 6.2.1 والإصدارات الأحدث. لتكوين تسجيل التدفق وتحليلات نسبة استخدام الشبكة لمجموعة أمان شبكة معينة باستخدام PowerShell، راجع تمكين سجلات تدفق مجموعة أمان الشبكة وتحليلات نسبة استخدام الشبكة.

نعم، يمكنك استخدام قالب Azure Resource Manager أو ملف Bicep لتكوين تحليلات نسبة استخدام الشبكة. لمزيد من المعلومات، راجع تكوين سجلات تدفق NSG باستخدام قالب Azure Resource Manager (ARM) وتكوين سجلات تدفق NSG باستخدام ملف Bicep.

يتم قياس تحليلات نسبة استخدام الشبكة. يعتمد القياس على معالجة بيانات سجل التدفق الخام بواسطة الخدمة. لمزيد من المعلومات، راجع تسعير Network Watcher.
يمكن الاحتفاظ بالسجلات المحسنة التي تم تناولها في مساحة عمل Log Analytics دون أي رسوم لمدة تصل إلى أول 31 يوما (أو 90 يوما إذا تم تمكين Microsoft Sentinel على مساحة العمل). لمزيد من المعلومات، راجعAzure Monitor pricing.

الفاصل الزمني الافتراضي للمعالجة لتحليلات نسبة استخدام الشبكة هو 60 دقيقة، ومع ذلك، يمكنك تحديد المعالجة المتسارعة على فترات 10 دقائق. لمزيد من المعلومات، راجع تجميع البيانات في تحليلات نسبة استخدام الشبكة.

تعتمد تحليلات نسبة استخدام الشبكة على أنظمة التحليل الذكي للمخاطر الداخلية من Microsoft لاعتبار عنوان IP ضارا. تستخدم هذه الأنظمة مصادر بيانات تتبع الاستخدام المتنوعة مثل منتجات Microsoft وخدماتها ووحدة الجرائم الرقمية من Microsoft (DCU) ومركز استجابة أمان Microsoft (MSRC) والموجزات الخارجية وبناء التحليل الذكي فوقها. تكون بعض هذه البيانات داخلية في Microsoft. إذا تم وضع علامة على عنوان IP معروف على أنه ضار، فقم برفع تذكرة دعم لمعرفة التفاصيل.

لا تحتوي تحليلات نسبة استخدام الشبكة على دعم مضمن للتنبيهات. ومع ذلك، نظرا إلى تخزين بيانات تحليلات نسبة استخدام الشبكة في Log Analytics، يمكنك كتابة استعلامات مخصصة وتعيين تنبيهات عليها. اتبع الخطوات التالية:

• يمكنك استخدام رابط Log Analytics في تحليلات نسبة استخدام الشبكة.
• استخدم مخطط تحليلات نسبة استخدام الشبكة لكتابة استعلاماتك.
• حدد New alert rule لإنشاء التنبيه.
• راجع إنشاء قاعدة تنبيه جديدة لإنشاء التنبيه.

استخدم الاستعلام التالي:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

بالنسبة إلى عناوين IP، استخدم الاستعلام التالي:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

بالنسبة إلى الوقت، استخدم التنسيق: yyyy-mm-dd 00:00:00

استخدم الاستعلام التالي:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

بالنسبة إلى عناوين IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

استخدم الاستعلام التالي:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s