Artikel ini memberikan jawaban atas pertanyaan yang paling sering diajukan tentang kemampuan analitik lalu lintas Azure Network Watcher.
Bagaimana cara memeriksa apakah saya memiliki peran yang diperlukan?
Untuk mempelajari cara memeriksa peran yang ditetapkan kepada pengguna untuk langganan, lihat Mencantumkan penetapan peran Azure menggunakan portal Azure. Jika Anda tidak dapat melihat penetapan peran, hubungi admin langganan masing-masing.
Dapatkah saya mengaktifkan log alur untuk grup keamanan jaringan yang berada di wilayah yang berbeda dari wilayah ruang kerja saya?
Ya, grup keamanan jaringan dapat berada di wilayah yang berbeda dari wilayah ruang kerja Analitik Log Anda.
Dapatkah beberapa grup keamanan jaringan dikonfigurasi dalam satu ruang kerja?
Ya.
Apakah grup keamanan jaringan Klasik didukung?
Tidak, analitik lalu lintas tidak mendukung kelompok keamanan jaringan klasik.
Mengapa analitik lalu lintas tidak menampilkan data untuk grup keamanan jaringan yang diaktifkan analitik lalu lintas saya?
Dalam dropdown pemilihan sumber daya di dasbor analitik lalu lintas, grup sumber daya sumber daya sumber daya Virtual Network harus dipilih, bukan grup sumber daya komputer virtual atau grup keamanan jaringan.
Apakah saya dapat menggunakan ruang kerja yang sudah ada?
Ya. Jika Anda memilih ruang kerja yang sudah ada, maka pastikan ruang kerja tersebut telah dimigrasikan ke bahasa kueri baru. Jika Anda tidak ingin memutakhirkan ruang kerja, Anda perlu membuat ruang kerja baru. Untuk informasi selengkapnya tentang Bahasa Kueri Kusto (KQL), lihat Kueri log di Azure Monitor.
Bisakah akun penyimpanan Azure saya berada dalam satu langganan dan ruang kerja Analitik Log saya berada di langganan yang berbeda?
Ya, akun penyimpanan Azure Anda dapat berada dalam satu langganan, dan ruang kerja Analitik Log Anda dapat berada di langganan yang berbeda.
Bisakah saya menyimpan log mentah dalam langganan yang berbeda dari langganan yang digunakan untuk grup keamanan jaringan atau jaringan virtual?
Ya. Anda dapat mengonfigurasi log alur untuk dikirim ke akun penyimpanan yang terletak di langganan yang berbeda, asalkan Anda memiliki hak istimewa yang sesuai, dan bahwa akun penyimpanan terletak di wilayah yang sama dengan kelompok keamanan jaringan (log alur kelompok keamanan jaringan) atau jaringan virtual (log alur jaringan virtual). Akun penyimpanan tujuan harus berbagi penyewa Microsoft Entra yang sama dari grup keamanan jaringan atau jaringan virtual.
Dapatkah sumber daya log alur dan akun penyimpanan saya berada di penyewa yang berbeda?
Tidak. Semua sumber daya harus berada di penyewa yang sama termasuk grup keamanan jaringan (log alur kelompok keamanan jaringan), jaringan virtual (log alur jaringan virtual), log alur, akun penyimpanan, dan ruang kerja Analitik Log (jika analitik lalu lintas diaktifkan).
Dapatkah saya mengonfigurasi kebijakan penyimpanan yang berbeda untuk akun penyimpanan daripada ruang kerja Analitik Log?
Ya.
Apakah saya akan kehilangan data yang disimpan di ruang kerja Analitik Log jika saya menghapus akun penyimpanan yang digunakan untuk pengelogan alur?
Tidak. Jika Anda menghapus akun penyimpanan yang digunakan untuk log alur, data yang disimpan di ruang kerja Analitik Log tidak akan terpengaruh. Anda masih dapat melihat data historis di ruang kerja Analitik Log (beberapa metrik akan terpengaruh) tetapi analitik lalu lintas tidak akan lagi memproses log alur tambahan baru hingga Anda memperbarui log alur untuk menggunakan akun penyimpanan yang berbeda.
Bagaimana jika saya tidak dapat mengonfigurasi grup keamanan jaringan untuk analitik lalu lintas karena kesalahan "Tidak ditemukan"?
Pilih wilayah yang didukung. Jika Anda memilih wilayah yang tidak didukung, Anda akan mendapatkan kesalahan "Tidak ditemukan". Untuk informasi selengkapnya, lihat Wilayah yang didukung analitik lalu lintas.
Bagaimana jika saya mendapatkan status: "Gagal memuat" di halaman log alur?
Penyedia Microsoft.Insights harus terdaftar agar pengelogan alur berfungsi dengan baik. Jika Anda tidak yakin apakah Microsoft.Insights penyedia terdaftar untuk langganan Anda, lihat instruksi portal Azure, PowerShell, atau Azure CLI tentang cara mendaftarkannya.
Saya mengonfigurasi solusi. Mengapa saya tidak melihat apa-apa di dasbor?
Dasbor mungkin membutuhkan waktu hingga 30 menit untuk menampilkan laporan untuk pertama kalinya. Solusinya harus terlebih dahulu mengagregasi data yang cukup untuk mendapatkan wawasan yang bermakna, lalu menghasilkan laporan.
Bagaimana jika saya mendapatkan pesan ini: "Kami tidak dapat menemukan data apa pun di ruang kerja ini untuk interval waktu yang dipilih. Cobalah ubah interval waktunya atau pilih ruang kerja yang berbeda."?
Cobalah opsi berikut ini:
- Ubah interval waktu di bar atas.
- Pilih ruang kerja Log Analytics yang berbeda di bar atas.
- Coba akses analitik lalu lintas setelah 30 menit, jika baru saja diaktifkan.
Jika masalah berlanjut, ajukan kekhawatiran di Microsoft Q&A.
Bagaimana jika saya mendapatkan pesan ini: "Menganalisis log alur NSG Anda untuk pertama kalinya. Proses ini mungkin membutuhkan waktu 20-30 menit untuk menyelesaikan. Periksa kembali setelah beberapa waktu."?
Anda mungkin melihat pesan ini karena:
- Analitik lalu lintas baru-baru ini diaktifkan, dan mungkin belum memiliki data yang cukup agregat untuk mendapatkan wawasan yang bermakna.
- Anda menggunakan versi gratis ruang kerja Analitik Log, dan melebihi batas kuota. Anda mungkin perlu untuk menggunakan ruang kerja dengan kapasitas yang lebih besar.
Coba solusi yang disarankan untuk pertanyaan sebelumnya. Jika masalah berlanjut, ajukan kekhawatiran di Microsoft Q&A.
Bagaimana jika saya mendapatkan pesan ini: "Sepertinya kami memiliki data sumber daya (Topologi) dan tidak ada informasi alur. Untuk informasi selengkapnya, klik di sini untuk melihat data sumber daya dan merujuk ke FAQ."?
Anda melihat informasi sumber daya di dasbor; namun, tidak ada statistik terkait alur yang ada. Data mungkin tidak ada karena tidak ada alur komunikasi antara sumber daya. Tunggu selama 60 menit, dan periksa ulang status. Jika masalah berlanjut, dan Anda yakin bahwa alur komunikasi di antara sumber daya ada, ajukan kekhawatiran di Tanya Jawab Microsoft.
Bisakah saya mengonfigurasi analitik lalu lintas menggunakan PowerShell?
Anda dapat mengonfigurasi analitik lalu lintas menggunakan Windows PowerShell versi 6.2.1 dan yang lebih tinggi. Untuk mengonfigurasi pengelogan alur dan analitik lalu lintas untuk grup keamanan jaringan tertentu menggunakan PowerShell, lihat Mengaktifkan log alur grup keamanan jaringan dan analitik lalu lintas.
Bisakah saya mengonfigurasi analitik lalu lintas menggunakan templat Azure Resource Manager atau file Bicep?
Ya, Anda dapat menggunakan templat Azure Resource Manager atau file Bicep untuk mengonfigurasi analitik lalu lintas. Untuk informasi selengkapnya, lihat Mengonfigurasi log alur NSG menggunakan templat Azure Resource Manager (ARM) dan Mengonfigurasi log alur NSG menggunakan file Bicep.
Bagaimana analitik lalu lintas dihargai?
Analitik lalu lintas diukur. Pengukuran didasarkan pada pemrosesan data log aliran mentah oleh layanan. Untuk informasi selengkapnya, lihat Harga Network Watcher.
Log yang ditingkatkan yang diserap di ruang kerja Analitik Log dapat dipertahankan tanpa biaya hingga 31 hari pertama (atau 90 hari jika Microsoft Sentinel diaktifkan di ruang kerja). Untuk informasi selengkapnya, lihat Harga Azure Monitor.
Seberapa sering analitik lalu lintas memproses data?
Interval pemrosesan default analitik lalu lintas adalah 60 menit, namun, Anda dapat memilih pemrosesan yang dipercepat pada interval 10 menit. Untuk informasi selengkapnya, lihat Agregasi data dalam analitik lalu lintas.
Bagaimana analitik lalu lintas memutuskan bahwa IP berbahaya?
Analitik lalu lintas bergantung pada sistem inteligensi ancaman internal Microsoft untuk dianggap sebagai IP berbahaya. Sistem ini menggunakan berbagai sumber telemetri seperti produk dan layanan Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC), dan umpan eksternal dan membangun kecerdasan di atasnya. Beberapa data ini adalah Microsoft Internal. Jika IP yang diketahui ditandai sebagai berbahaya, ajukan tiket dukungan untuk mengetahui detailnya.
Bagaimana cara mengatur pemberitahuan pada data analitik lalu lintas?
Analitik lalu lintas tidak memiliki dukungan bawaan untuk pemberitahuan. Namun, karena data analitik lalu lintas disimpan di Analitik Log, Anda dapat menulis kueri kustom dan mengatur pemberitahuan di dalamnya. Ikuti langkah-langkah ini:
- Anda dapat menggunakan tautan Analitik Log di analitik lalu lintas.
- Gunakan skema analitik lalu lintas untuk menulis kueri Anda.
- Pilih Aturan pemberitahuan baru untuk membuat pemberitahuan.
- Lihat Membuat aturan pemberitahuan baru untuk membuat pemberitahuan.
Bagaimana cara memeriksa komputer virtual mana yang menerima sebagian besar lalu lintas lokal?
Gunakan kueri berikut:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Untuk IP, gunakan kueri berikut:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Untuk waktu, gunakan format: tttt-bb-hh 00:00:00
Bagaimana cara memeriksa penyimpangan standar dalam lalu lintas yang diterima oleh komputer virtual saya dari komputer lokal?
Gunakan kueri berikut:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Untuk Protokol Internet (IP/Internet Protocol):
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Bagaimana cara saya memeriksa port mana yang dapat dijangkau (atau diblokir) antara pasangan Protokol Internet (IP/Internet Protocol) dengan aturan NSG?
Gunakan kueri berikut:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s