Megosztás a következőn keresztül:

Traffic Analytics – áttekintés

  • Cikk

A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A traffic analytics az Azure Network Watcher folyamatnaplóit elemzi, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:

  • Az Azure-előfizetések hálózati tevékenységeinek megjelenítése.

  • Azonosítsa a gyakori pontokat.

  • Biztonságossá teheti a hálózatot a következő összetevőkkel kapcsolatos információk használatával a fenyegetések azonosításához:

    • Nyitott portok
    • Az internethez hozzáférni próbáló alkalmazások
    • Virtuális gépek (VM-ek), amelyek csatlakoznak a zsiványhálózatokhoz

  • Optimalizálhatja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából az Azure-régiók és az internet forgalmi mintáinak megismerésével.

  • Rögzítse a hálózati helytelen konfigurációkat, amelyek sikertelen kapcsolatokhoz vezethetnek a hálózaton.

Miért érdemes forgalomelemzést használni?

Elengedhetetlen a saját hálózat figyelése, kezelése és ismerete a kompromisszummentes biztonság, megfelelőség és teljesítmény érdekében. A saját környezet ismerete rendkívül fontos a védelem és az optimalizálás szempontjából. Gyakran ismernie kell a hálózat aktuális állapotát, beleértve a következő információkat:

  • Ki csatlakozik a hálózathoz?
  • Honnan csatlakoznak?
  • Mely portok vannak nyitva az interneten?
  • Mi a várt hálózati viselkedés?
  • Van-e szabálytalan hálózati viselkedés?
  • Hirtelen megnő a forgalom?

A felhőhálózatok eltérnek a helyszíni vállalati hálózatoktól. A helyszíni hálózatokban az útválasztók és kapcsolók támogatják a NetFlow-t és más, egyenértékű protokollokat. Ezekkel az eszközökkel adatokat gyűjthet az IP-hálózati forgalomról, amikor belép vagy kilép egy hálózati adapterről. A forgalmi adatok elemzésével létrehozhatja a hálózati forgalom és a kötet elemzését.

Az Azure-beli virtuális hálózatokban a folyamatnaplók adatokat gyűjtenek a hálózatról. Ezek a naplók egy hálózati biztonsági csoporton vagy virtuális hálózaton keresztül információt nyújtanak a bejövő és kimenő IP-forgalomról. A Traffic Analytics elemzi a nyers folyamatnaplókat, és egyesíti a naplóadatokat a biztonsággal, a topológiával és a földrajzi helyzettel kapcsolatos intelligenciával. A Traffic Analytics ezután betekintést nyújt a környezet forgalmi folyamatába.

A Traffic Analytics a következő információkat nyújtja:

  • A legtöbb kommunikáló gazdagép
  • A legtöbbet kommunikáló alkalmazásprotokollok
  • A legtöbb konvergens gazdagéppár
  • Engedélyezett és blokkolt forgalom
  • Bejövő és kimenő forgalom
  • Internetes portok megnyitása
  • A legtöbb blokkolási szabály
  • Forgalomeloszlás Azure-adatközpontonként, virtuális hálózaton, alhálózatokon vagy rogue-hálózatonként

A legfontosabb összetevők

A forgalomelemzés használatához a következő összetevőkre van szüksége:

  • Network Watcher: Regionális szolgáltatás, amellyel hálózati forgatókönyv szintjén figyelheti és diagnosztizálhatja a feltételeket az Azure-ban. A Network Watcher használatával be- és kikapcsolhatja a folyamatnaplókat az előfizetésében. További információ: Mi az Az Azure Network Watcher? és az Azure Network Watcher engedélyezése vagy letiltása.

  • Log Analytics: Az Azure Portalon az Azure Monitor-naplók adatainak kezeléséhez használt eszköz. Az Azure Monitor-naplók egy Olyan Azure-szolgáltatás, amely monitorozási adatokat gyűjt, és az adatokat egy központi adattárban tárolja. Ezek az adatok tartalmazhatnak eseményeket, teljesítményadatokat vagy az Azure API-on keresztül biztosított egyéni adatokat. Az adatok összegyűjtése után az adatok riasztáshoz, elemzéshez és exportáláshoz érhetők el. Az olyan alkalmazások monitorozása, mint a hálózati teljesítményfigyelő és a forgalomelemzés, az Azure Monitor-naplókat használják alapként. További információ: Azure Monitor-naplók. A Log Analytics lehetővé teszi a naplók lekérdezéseinek szerkesztését és futtatását. Ezzel az eszközzel is elemezheti a lekérdezési eredményeket. További információ: A Log Analytics áttekintése az Azure Monitorban.

  • Log Analytics-munkaterület: Az Azure Monitor egy Azure-fiókra vonatkozó naplóadatait tároló környezet. A Log Analytics-munkaterületekről további információt a Log Analytics-munkaterület áttekintése és a Log Analytics-munkaterület létrehozása című témakörben talál.

  • Emellett a forgalomnaplózáshoz engedélyezve kell lennie egy hálózati biztonsági csoportnak, ha forgalomelemzést használ a hálózati biztonsági csoportok folyamatnaplóinak elemzéséhez, vagy egy olyan virtuális hálózatra, amely engedélyezve van a forgalomnaplózáshoz, ha forgalomelemzést használ a virtuális hálózati folyamatnaplók elemzéséhez:

    • Hálózati biztonsági csoport (NSG):: Olyan biztonsági szabályok listáját tartalmazó erőforrás, amely engedélyezi vagy letiltja az Azure-beli virtuális hálózathoz csatlakozó erőforrások hálózati forgalmát. A hálózati biztonsági csoportok társíthatók a virtuális gépekhez (Resource Manager) csatlakoztatott alhálózatokhoz, hálózati adapterekhez (hálózati adapterekhez) vagy egyéni (klasszikus) virtuális gépekhez. További információ: Hálózati biztonsági csoport áttekintése.

    • Hálózati biztonsági csoport folyamatnaplói: Rögzített adatok a hálózati biztonsági csoporton keresztüli bejövő és kimenő IP-forgalomról. A hálózati biztonsági csoport folyamatnaplói JSON formátumban vannak megírva, és a következőket tartalmazzák:

      • Kimenő és bejövő folyamatok szabályonként.
      • Az a hálózati adapter, amelyre a folyamat vonatkozik.
      • Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
      • A forgalom állapota, például engedélyezett vagy elutasítva.

      További információ: Hálózati biztonsági csoport folyamatnaplóinak áttekintése és Hálózati biztonsági csoport folyamatnaplójának létrehozása.

    • Virtuális hálózat (VNet): Olyan erőforrás, amely lehetővé teszi, hogy számos Azure-erőforrás biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. További információ: Virtuális hálózat áttekintése.

    • Virtuális hálózati folyamatnaplók: Rögzített adatok a virtuális hálózaton keresztüli bejövő és kimenő IP-forgalomról. A virtuális hálózati folyamatnaplók JSON formátumban vannak megírva, és a következőket tartalmazzák:

      • Kimenő és bejövő folyamatok.
      • Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
      • A forgalom állapota, például engedélyezett vagy elutasítva.

      További információ: Virtuális hálózati folyamatnaplók áttekintése és virtuális hálózati folyamatnapló létrehozása. A hálózati biztonsági csoport folyamatnaplói és a virtuális hálózati folyamatnaplók közötti különbségek megismeréséhez tekintse meg a virtuális hálózati forgalom naplóit a hálózati biztonsági csoport folyamatnaplóihoz képest.

Feljegyzés

A Traffic Analytics használatához az alábbi beépített Azure-szerepkörök egyikét kell hozzárendelnie a fiókjához:

Üzembehelyezési modell Szerepkör
Resource Manager Tulajdonos
Közreműködő
Hálózati közreműködő1 . és Monitorozási közreműködő

1 A hálózati közreműködő nem fedi le Microsoft.OperationalInsights/workspaces/* a műveleteket.

Ha az előző beépített szerepkörök egyike sem van hozzárendelve a fiókjához, rendeljen hozzá egy egyéni szerepkört, amely támogatja a Flow-naplókban és a Traffic Analytics-engedélyekben felsorolt műveleteket.

A forgalomelemzés működése

A Traffic Analytics a nyers folyamatnaplókat vizsgálja. Ezt követően csökkenti a naplókötetet a közös forrás IP-címmel, cél IP-címmel, célporttal és protokolllal rendelkező folyamatok összesítésével.

Ilyen lehet például az 1. gazdagép a 10.10.10.10 IP-címen és a 2. gazdagép a 10.10.20.10 IP-címen. Tegyük fel, hogy ez a két gazdagép 100-szor kommunikál egy óra alatt. Ebben az esetben a nyers folyamatnapló 100 bejegyzést tartalmaz. Ha ezek a gazdagépek a 80-as porton a HTTP protokollt használják mind a 100 interakcióhoz, a csökkentett napló egy bejegyzéssel rendelkezik. Ez a bejegyzés azt állítja, hogy az 1. gazdagép és a 2. gazdagép 100-szor kommunikált egy óra alatt a 80-as portON található HTTP protokoll használatával.

A csökkentett naplókat földrajzi, biztonsági és topológiai adatokkal bővítik, majd egy Log Analytics-munkaterületen tárolják. Az alábbi ábra az adatfolyamot mutatja be:

Diagram, amely bemutatja, hogyan áramlik a hálózati forgalom adatai egy hálózati biztonsági csoport naplójából egy elemzési irányítópultra. A középső lépések közé tartozik az összesítés és a fejlesztés.

Elérhetőség

Az alábbi táblázatok felsorolják a támogatott régiókat, ahol engedélyezheti a forgalomelemzést a folyamatnaplókhoz és a Log Analytics-munkaterületekhez, amelyeket használhat.

Régió Hálózati biztonsági csoport folyamatnaplói Virtuális hálózati folyamatnaplók Forgalomelemzés Log Analytics-munkaterület
Dél-Brazília
Délkelet-Brazília
Közép-Kanada
Kelet-Kanada
Az USA középső régiója
USA keleti régiója
USA 2. keleti régiója
Mexikó középső régiója
USA északi középső régiója
USA déli középső régiója
USA nyugati középső régiója
USA nyugati régiója
USA 2. nyugati régiója
USA 3. nyugati régiója

Feljegyzés

Ha a folyamatnaplók támogatottak egy régióban, de a Log Analytics-munkaterület nem támogatott az adott régióban a forgalomelemzéshez, bármely más támogatott régióból is használhat Log Analytics-munkaterületet. Ebben az esetben nem számítunk fel további régiók közötti adatátviteli díjakat a Log Analytics-munkaterületek másik régióból történő használatához.

Díjszabás

A díjszabás részleteiért tekintse meg a Network Watcher díjszabását és az Azure Monitor díjszabását.

Traffic Analytics – gyakori kérdések

A forgalomelemzéssel kapcsolatos leggyakrabban feltett kérdésekre a Traffic Analytics gyakori kérdéseiben talál választ.

Kapcsolódó tartalom