Den här artikeln innehåller svar på de vanligaste frågorna om trafikanalysfunktionen i Azure Network Watcher.
Hur kontrollerar jag om jag har de roller som krävs?
Information om hur du kontrollerar roller som tilldelats en användare för en prenumeration finns i Lista Azure-rolltilldelningar med hjälp av Azure Portal. Om du inte kan se rolltilldelningarna kontaktar du respektive prenumerationsadministratör.
Kan jag aktivera flödesloggar för nätverkssäkerhetsgrupper som finns i olika regioner än min arbetsyteregion?
Ja, nätverkssäkerhetsgrupper kan finnas i olika regioner än din Log Analytics-arbetsyteregion.
Kan flera nätverkssäkerhetsgrupper konfigureras på en enda arbetsyta?
Ja.
Stöds klassiska nätverkssäkerhetsgrupper?
Nej, trafikanalys stöder inte klassiska nätverkssäkerhetsgrupper.
Varför visar inte trafikanalys data för mina trafikanalysaktiverade nätverkssäkerhetsgrupper?
I listrutan för resursval på instrumentpanelen för trafikanalys måste resursgruppen för den virtuella nätverksresursen väljas, inte resursgruppen för den virtuella datorn eller nätverkssäkerhetsgruppen.
Kan jag använda en befintlig arbetsyta?
Ja. Om du väljer en befintlig arbetsyta kontrollerar du att den har migrerats till det nya frågespråket. Om du inte vill uppgradera arbetsytan måste du skapa en ny. Mer information om Kusto-frågespråk (KQL) finns i Loggfrågor i Azure Monitor.
Kan mitt Azure Storage-konto finnas i en prenumeration och min Log Analytics-arbetsyta finns i en annan prenumeration?
Ja, ditt Azure Storage-konto kan finnas i en prenumeration och din Log Analytics-arbetsyta kan finnas i en annan prenumeration.
Kan jag lagra rådataloggar i en annan prenumeration än den prenumeration som används för nätverkssäkerhetsgrupper eller virtuella nätverk?
Ja. Du kan konfigurera att flödesloggar ska skickas till ett lagringskonto som finns i en annan prenumeration, förutsatt att du har rätt behörighet och att lagringskontot finns i samma region som nätverkssäkerhetsgruppen (flödesloggar för nätverkssäkerhetsgrupp) eller virtuellt nätverk (flödesloggar för virtuella nätverk). Mållagringskontot måste dela samma Microsoft Entra-klientorganisation för nätverkssäkerhetsgruppen eller det virtuella nätverket.
Kan mina flödesloggresurser och lagringskonton finnas i olika klientorganisationer?
Nej. Alla resurser måste finnas i samma klientorganisation, inklusive nätverkssäkerhetsgrupper (flödesloggar för nätverkssäkerhetsgrupp), virtuella nätverk (flödesloggar för virtuellt nätverk), flödesloggar, lagringskonton och Log Analytics-arbetsytor (om trafikanalys är aktiverat).
Kan jag konfigurera en annan kvarhållningsprincip för lagringskontot än Log Analytics-arbetsytan?
Ja.
Kommer jag att förlora data som lagras på Log Analytics-arbetsytan om jag tar bort lagringskontot som används för flödesloggning?
Nej. Om du tar bort lagringskontot som används för flödesloggar påverkas inte de data som lagras på Log Analytics-arbetsytan. Du kan fortfarande visa historiska data på Log Analytics-arbetsytan (vissa mått påverkas) men trafikanalys bearbetar inte längre några nya ytterligare flödesloggar förrän du uppdaterar flödesloggarna för att använda ett annat lagringskonto.
Vad händer om jag inte kan konfigurera en nätverkssäkerhetsgrupp för trafikanalys på grund av felet "Hittades inte"?
Välj en region som stöds. Om du väljer en region som inte stöds får du felet "Hittades inte". Mer information finns i Regioner som stöds av trafikanalys.
Vad händer om jag får statusen "Det gick inte att läsa in" på flödesloggsidan?
Providern Microsoft.Insights måste vara registrerad för att flödesloggning ska fungera korrekt. Om du inte är säker på om providern Microsoft.Insights är registrerad för din prenumeration kan du läsa Azure Portal, PowerShell eller Azure CLI-instruktioner om hur du registrerar den.
Jag har konfigurerat lösningen. Varför visas inget på instrumentpanelen?
Instrumentpanelen kan ta upp till 30 minuter att visa rapporter för första gången. Lösningen måste först aggregera tillräckligt med data för att den ska kunna härleda meningsfulla insikter och sedan generera rapporter.
Vad händer om jag får det här meddelandet: "Det gick inte att hitta några data på den här arbetsytan för det valda tidsintervallet. Prova att ändra tidsintervallet eller välja en annan arbetsyta."?
Prova följande alternativ:
- Ändra tidsintervallet i det övre fältet.
- Välj en annan Log Analytics-arbetsyta i det övre fältet.
- Prova att komma åt trafikanalys efter 30 minuter, om den nyligen har aktiverats.
Om problemen kvarstår skapar du problem i Microsoft Q&A.
Vad händer om jag får det här meddelandet: "Analysera dina NSG-flödesloggar för första gången. Den här processen kan ta 20–30 minuter att slutföra. Kom tillbaka efter en stund."?
Du kan se det här meddelandet eftersom:
- Trafikanalys har nyligen aktiverats och kanske ännu inte har sammanställt tillräckligt med data för att härleda meningsfulla insikter.
- Du använder den kostnadsfria versionen av Log Analytics-arbetsytan och den överskred kvotgränserna. Du kan behöva använda en arbetsyta med en större kapacitet.
Prova de föreslagna lösningarna för föregående fråga. Om problemen kvarstår skapar du problem i Microsoft Q&A.
Tänk om jag får det här meddelandet: "Det verkar som om vi har resursdata (topologi) och ingen flöden. Om du vill ha mer information klickar du här för att se resursdata och se Vanliga frågor och svar."?
Du ser resursinformationen på instrumentpanelen. Det finns dock ingen flödesrelaterad statistik. Data kanske inte finns på grund av att det inte finns några kommunikationsflöden mellan resurserna. Vänta i 60 minuter och kontrollera statusen igen. Om problemet kvarstår och du är säker på att det finns kommunikationsflöden mellan resurser skapar du problem i Microsoft Q&A.
Kan jag konfigurera trafikanalys med Hjälp av PowerShell?
Du kan konfigurera trafikanalys med windows PowerShell version 6.2.1 och senare. Information om hur du konfigurerar flödesloggning och trafikanalys för en specifik nätverkssäkerhetsgrupp med hjälp av PowerShell finns i Aktivera flödesloggar för nätverkssäkerhetsgrupper och trafikanalys.
Kan jag konfigurera trafikanalys med hjälp av en Azure Resource Manager-mall eller en Bicep-fil?
Ja, du kan använda en Azure Resource Manager-mall eller en Bicep-fil för att konfigurera trafikanalys. Mer information finns i Konfigurera NSG-flödesloggar med hjälp av en ARM-mall (Azure Resource Manager) och Konfigurera NSG-flödesloggar med hjälp av en Bicep-fil.
Hur prissätts trafikanalys?
Trafikanalys mäts. Mätningen baseras på bearbetning av råflödesloggdata från tjänsten. Mer information finns i Priser för Network Watcher.
Utökade loggar som matas in på Log Analytics-arbetsytan kan behållas utan kostnad i upp till de första 31 dagarna (eller 90 dagar om Microsoft Sentinel är aktiverat på arbetsytan). Mer information finns i Prissättning för Azure Monitor.
Hur ofta bearbetar trafikanalys data?
Standardintervallet för bearbetning av trafikanalys är 60 minuter, men du kan välja accelererad bearbetning med 10 minuters intervall. Mer information finns i Dataaggregering i trafikanalys.
Hur avgör trafikanalys att en IP-adress är skadlig?
Trafikanalys förlitar sig på Microsofts interna hotinformationssystem för att betrakta en IP-adress som skadlig. Dessa system använder olika telemetrikällor som Microsofts produkter och tjänster, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) och externa feeds och bygger intelligens ovanpå det. Vissa av dessa data är Microsoft Internal. Om en känd IP-adress flaggas som skadlig skapar du ett supportärende för att känna till informationen.
Hur ställer jag in aviseringar för trafikanalysdata?
Trafikanalys har inte inbyggt stöd för aviseringar. Men eftersom trafikanalysdata lagras i Log Analytics kan du skriva anpassade frågor och ange aviseringar för dem. Följ de här stegen:
- Du kan använda Log Analytics-länken i trafikanalys.
- Använd trafikanalysschemat för att skriva dina frågor.
- Välj Ny aviseringsregel för att skapa aviseringen.
- Se Skapa en ny aviseringsregel för att skapa aviseringen.
Hur gör jag för att kontrollera vilka virtuella datorer som tar emot mest lokal trafik?
Använd följande fråga:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
För IP-adresser använder du följande fråga:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
För tid använder du format: åååå-mm-dd 00:00:00
Hur gör jag för att kontrollera standardavvikelsen i trafiken som tas emot av mina virtuella datorer från lokala datorer?
Använd följande fråga:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
För IP-adresser:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Hur gör jag för att kontrollera vilka portar som kan nås (eller blockeras) mellan IP-par med NSG-regler?
Använd följande fråga:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s