Ez a cikk az Azure Network Watcher forgalomelemzési képességével kapcsolatos leggyakoribb kérdésekre ad választ.
Hogyan ellenőrizhetim, hogy rendelkezem-e a szükséges szerepkörök használatával?
Ha tudni szeretné, hogyan ellenőrizheti a felhasználóhoz hozzárendelt szerepköröket egy előfizetéshez, olvassa el az Azure-szerepkör-hozzárendelések listázása az Azure Portalon című témakört. Ha nem látja a szerepkör-hozzárendeléseket, forduljon az adott előfizetés rendszergazdájához.
Engedélyezhetim a folyamatnaplókat olyan hálózati biztonsági csoportok számára, amelyek a munkaterületi régiómtól eltérő régiókban találhatók?
Igen, a hálózati biztonsági csoportok különböző régiókban lehetnek, mint a Log Analytics-munkaterület régiója.
Több hálózati biztonsági csoport is konfigurálható egyetlen munkaterületen belül?
Igen.
Támogatottak a klasszikus hálózati biztonsági csoportok?
Nem, a forgalomelemzés nem támogatja a klasszikus hálózati biztonsági csoportokat.
Miért nem jeleníti meg a forgalomelemzés a forgalomelemzés által engedélyezett hálózati biztonsági csoportok adatait?
A forgalomelemzési irányítópult erőforrás-kiválasztási legördülő listájában a virtuális hálózati erőforrás erőforráscsoportját kell kijelölni, nem pedig a virtuális gép vagy a hálózati biztonsági csoport erőforráscsoportját.
Használhatok meglévő munkaterületet?
Igen. Ha kiválaszt egy meglévő munkaterületet, győződjön meg arról, hogy az át lett migrálva az új lekérdezési nyelvre. Ha nem szeretné frissíteni a munkaterületet, létre kell hoznia egy újat. A Kusto lekérdezésnyelv (KQL) kapcsolatos további információkért lásd: Naplólekérdezések az Azure Monitorban.
Az Azure Storage-fiókom lehet egy előfizetésben, a Log Analytics-munkaterületem pedig egy másik előfizetésben?
Igen, az Azure Storage-fiókja egy előfizetésben lehet, a Log Analytics-munkaterület pedig egy másik előfizetésben.
Tárolhatok nyers naplókat egy másik előfizetésben, mint a hálózati biztonsági csoportokhoz vagy virtuális hálózatokhoz használt előfizetés?
Igen. Konfigurálhatja, hogy a folyamatnaplók egy másik előfizetésben található tárfiókba legyenek elküldve, feltéve, hogy rendelkezik a megfelelő jogosultságokkal, és hogy a tárfiók ugyanabban a régióban található, mint a hálózati biztonsági csoport (hálózati biztonsági csoport folyamatnaplói) vagy a virtuális hálózat (virtuális hálózati folyamatnaplók). A céltárfióknak a hálózati biztonsági csoport vagy virtuális hálózat ugyanazon Microsoft Entra-bérlőjével kell rendelkeznie.
A folyamatnapló erőforrásai és tárfiókjaim különböző bérlőkben lehetnek?
Szám Minden erőforrásnak ugyanabban a bérlőben kell lennie, beleértve a hálózati biztonsági csoportokat (hálózati biztonsági csoport folyamatnaplóit), a virtuális hálózatokat (virtuális hálózati folyamatnaplókat), a folyamatnaplókat, a tárfiókokat és a Log Analytics-munkaterületeket (ha a forgalomelemzés engedélyezve van).
Konfigurálhatok más adatmegőrzési szabályzatot a tárfiókhoz, mint a Log Analytics-munkaterülethez?
Igen.
Elveszítem a Log Analytics-munkaterületen tárolt adatokat, ha törlim a folyamatnaplózáshoz használt tárfiókot?
Szám Ha törli a folyamatnaplókhoz használt tárfiókot, a Log Analytics-munkaterületen tárolt adatokra nem lesz hatással. Továbbra is megtekintheti az előzményadatokat a Log Analytics-munkaterületen (egyes metrikákra hatással lesz), de a forgalomelemzés nem dolgoz fel új további folyamatnaplókat, amíg nem frissíti a folyamatnaplókat egy másik tárfiók használatára.
Mi a teendő, ha nem tudok hálózati biztonsági csoportot konfigurálni a forgalomelemzéshez a "Nem található" hiba miatt?
Válasszon egy támogatott régiót. Ha nem támogatott régiót választ, "Nem található" hibaüzenet jelenik meg. További információ: Traffic Analytics által támogatott régiók.
Mi a teendő, ha a folyamatnaplók lapon a "Nem sikerült betölteni" állapotot kapom?
A Microsoft.Insights szolgáltatónak regisztrálnia kell a folyamatnaplózás megfelelő működéséhez. Ha nem biztos abban, hogy a Microsoft.Insights szolgáltató regisztrálva van-e az előfizetéséhez, olvassa el az Azure Portalon, a PowerShellben vagy az Azure CLI-ben a regisztrációval kapcsolatos utasításokat.
Konfiguráltam a megoldást. Miért nem látok semmit az irányítópulton?
Az irányítópult első alkalommal akár 30 percet is igénybe vehet a jelentések megjelenítéséhez. A megoldásnak először elegendő adatot kell összesítenie ahhoz, hogy értelmes megállapításokat nyerjen, majd jelentéseket hoz létre.
Mi történik, ha a következő üzenet jelenik meg: "A munkaterületen nem található adat a kiválasztott időintervallumhoz. Próbálja meg módosítani az időintervallumot, vagy válasszon másik munkaterületet."?
Próbálja ki a következő lehetőségeket:
- Módosítsa az időintervallumot a felső sávon.
- Válasszon egy másik Log Analytics-munkaterületet a felső sávon.
- Próbálja meg elérni a forgalomelemzést 30 perc után, ha nemrég engedélyezve volt.
Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.
Mi a teendő, ha a következő üzenet jelenik meg: "Az NSG-folyamatnaplók első elemzése. Ez a folyamat 20-30 percet is igénybe vehet. Vissza egy kis idő után."?
Ez az üzenet a következő esetekben jelenhet meg:
- A traffic analytics nemrég engedélyezve lett, és lehet, hogy még nem összesít elegendő adatot ahhoz, hogy értelmes megállapításokat nyerjen.
- A Log Analytics-munkaterület ingyenes verzióját használja, és túllépte a kvótakorlátokat. Előfordulhat, hogy nagyobb kapacitású munkaterületet kell használnia.
Próbálja ki az előző kérdés javasolt megoldásait. Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.
Mi a teendő, ha a következő üzenet jelenik meg: "Úgy tűnik, hogy erőforrásadatokkal (topológiával) rendelkezünk, és nincsenek folyamatinformációk. További információkért kattintson ide az erőforrások adatainak megtekintéséhez, és tekintse meg a gyakori kérdéseket."?
Az erőforrások adatait az irányítópulton látja; azonban nincsenek áramlással kapcsolatos statisztikák. Előfordulhat, hogy az adatok nem lehetnek jelen, mert nincsenek kommunikációs folyamatok az erőforrások között. Várjon 60 percet, és ellenőrizze újra az állapotot. Ha a probléma továbbra is fennáll, és biztos benne, hogy az erőforrások közötti kommunikációs folyamatok léteznek, aggályokat vethet fel a Microsoft Q&A-ban.
Konfigurálhatom a forgalomelemzést a PowerShell használatával?
A forgalomelemzést a Windows PowerShell 6.2.1-es és újabb verziójával konfigurálhatja. Ha egy adott hálózati biztonsági csoport folyamatnaplózását és forgalomelemzését szeretné konfigurálni a PowerShell használatával, olvassa el a hálózati biztonsági csoportok folyamatnaplóinak és forgalomelemzésének engedélyezése című témakört.
Konfigurálhatok forgalomelemzést Azure Resource Manager-sablon vagy Bicep-fájl használatával?
Igen, használhat egy Azure Resource Manager-sablont vagy egy Bicep-fájlt a forgalomelemzés konfigurálásához. További információ: NSG-folyamatnaplók konfigurálása Azure Resource Manager-sablonnal (ARM) és NSG-folyamatnaplók konfigurálása Bicep-fájl használatával.
Hogyan történik a forgalomelemzés ára?
A forgalomelemzés mérése történik. A mérés a nyers folyamat naplóadatainak szolgáltatás általi feldolgozásán alapul. További információkért lásd a Network Watcher díjszabását.
A Log Analytics-munkaterületen betöltött bővített naplók legfeljebb az első 31 napig (vagy 90 napig, ha a Microsoft Sentinel engedélyezve van a munkaterületen) ingyenesen megőrizhetők. További információkért tekintse meg az Azure Monitor díjszabását.
Milyen gyakran dolgozza fel a forgalomelemzés az adatokat?
A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, de a gyorsított feldolgozást 10 perces időközönként választhatja ki. További információ: Adatösszesítés a forgalomelemzésben.
Hogyan dönti el a forgalomelemzés, hogy az IP-cím rosszindulatú?
A traffic analytics a Microsoft belső fenyegetésintelligencia-rendszereire támaszkodik, hogy rosszindulatúnak minősítse az IP-címet. Ezek a rendszerek különböző telemetriai forrásokat használnak, például Microsoft-termékeket és -szolgáltatásokat, a Microsoft Digital Crimes Unit (DCU), a Microsoft Security Response Centert (MSRC) és külső hírcsatornákat, és ezekre építik az intelligenciát. Ezen adatok némelyike a Microsoft Internal. Ha egy ismert IP-címet rosszindulatúként jelölnek meg, a részletek megismeréséhez támogatási jegyet kell létrehoznia.
Hogyan állíthatok be riasztásokat a forgalomelemzési adatokkal kapcsolatban?
A Traffic Analytics nem támogatja a riasztásokat. Mivel azonban a forgalomelemzési adatok a Log Analyticsben vannak tárolva, egyéni lekérdezéseket írhat, és riasztásokat állíthat be rajtuk. Tegye a következők egyikét:
- A Log Analytics-hivatkozást a forgalomelemzésben használhatja.
- A lekérdezések írásához használja a traffic analytics sémát .
- Válassza az Új riasztási szabály lehetőséget a riasztás létrehozásához.
- A riasztás létrehozásához lásd : Új riasztási szabály létrehozása.
Hogyan ellenőrizze, hogy mely virtuális gépek kapják a legtöbb helyszíni forgalmat?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
IP-címek esetén használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Idő szerint használja a következő formátumot: yyyy-mm-dd 00:00:00
Hogyan ellenőrizze a virtuális gépek által a helyszíni gépekről érkező forgalom szórását?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
IP-címek esetén:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Hogyan ellenőrizze, hogy mely portok érhetők el (vagy tilthatók le) az NSG-szabályokkal rendelkező IP-párok között?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s