Bu makale, Azure Ağ İzleyicisi trafik analizi özelliği hakkında en sık sorulan soruların yanıtlarını sağlar.
Gerekli rollere sahip olup olmadığımı nasıl denetleyebilirim?
Aboneliğe yönelik bir kullanıcıya atanan rolleri denetlemeyi öğrenmek için bkz . Azure portalını kullanarak Azure rol atamalarını listeleme. Rol atamalarını göremiyorsanız ilgili abonelik yöneticisine başvurun.
Çalışma alanı bölgemden farklı bölgelerde bulunan ağ güvenlik grupları için akış günlüklerini etkinleştirebilir miyim?
Evet, ağ güvenlik grupları Log Analytics çalışma alanı bölgenizden farklı bölgelerde olabilir.
Tek bir çalışma alanında birden çok ağ güvenlik grubu yapılandırılabilir mi?
Evet.
Klasik ağ güvenlik grupları destekleniyor mu?
Hayır, trafik analizi klasik ağ güvenlik gruplarını desteklemez.
Trafik analizi neden trafik analizim için ağ güvenlik gruplarını etkinleştiren verileri görüntülemiyor?
Trafik analizi panosundaki kaynak seçimi açılan listesinde, sanal makinenin veya ağ güvenlik grubunun kaynak grubu değil, Sanal Ağ kaynağının kaynak grubu seçilmelidir.
Mevcut bir çalışma alanını kullanabilir miyim?
Evet. Var olan bir çalışma alanını seçerseniz, çalışma alanının yeni sorgu diline geçirilmiş olduğundan emin olun. Çalışma alanını yükseltmek istemiyorsanız yeni bir tane oluşturmanız gerekir. Kusto Sorgu Dili (KQL) hakkında daha fazla bilgi için bkz. Azure İzleyici'de günlük sorguları.
Azure depolama hesabım tek bir abonelikte ve Log Analytics çalışma alanım farklı bir abonelikte olabilir mi?
Evet, Azure depolama hesabınız tek bir abonelikte ve Log Analytics çalışma alanınız farklı bir abonelikte olabilir.
Ham günlükleri ağ güvenlik grupları veya sanal ağlar için kullanılan abonelikten farklı bir abonelikte depolayabilir miyim?
Evet. Uygun ayrıcalıklara sahip olmanız ve depolama hesabının ağ güvenlik grubu (ağ güvenlik grubu akış günlükleri) veya sanal ağ (sanal ağ akış günlükleri) ile aynı bölgede bulunması koşuluyla, akış günlüklerini farklı bir abonelikte bulunan bir depolama hesabına gönderilecek şekilde yapılandırabilirsiniz. Hedef depolama hesabı, ağ güvenlik grubunun veya sanal ağın aynı Microsoft Entra kiracısını paylaşmalıdır.
Akış günlüğü kaynaklarım ve depolama hesaplarım farklı kiracılarda olabilir mi?
Hayır Ağ güvenlik grupları (ağ güvenlik grubu akış günlükleri), sanal ağlar (sanal ağ akış günlükleri), akış günlükleri, depolama hesapları ve Log Analytics çalışma alanları (trafik analizi etkinse) dahil olmak üzere tüm kaynaklar aynı kiracıda olmalıdır.
Depolama hesabı için Log Analytics çalışma alanından farklı bir bekletme ilkesi yapılandırabilir miyim?
Evet.
Akış günlüğü için kullanılan depolama hesabını silersem Log Analytics çalışma alanında depolanan verileri kaybeder miyim?
Hayır Akış günlükleri için kullanılan depolama hesabını silerseniz Log Analytics çalışma alanında depolanan veriler etkilenmez. Log Analytics çalışma alanında geçmiş verileri görüntülemeye devam edebilirsiniz (bazı ölçümler etkilenir) ancak akış günlüklerini farklı bir depolama hesabı kullanacak şekilde güncelleştirene kadar trafik analizi artık yeni ek akış günlüklerini işlemez.
"Bulunamadı" hatası nedeniyle trafik analizi için bir ağ güvenlik grubu yapılandıramıyorsam ne olur?
Desteklenen bir bölge seçin. Desteklenmeyen bir bölge seçerseniz "Bulunamadı" hatası alırsınız. Daha fazla bilgi için bkz . Trafik analizi tarafından desteklenen bölgeler.
Akış günlükleri sayfasında "Yüklenemedi" durumunu alıyorsam ne olur?
Akış günlüğünün Microsoft.Insights düzgün çalışması için sağlayıcının kaydedilmesi gerekir. Sağlayıcının Microsoft.Insights aboneliğiniz için kayıtlı olup olmadığından emin değilseniz, nasıl kaydedildiğine ilişkin Azure portalı, PowerShell veya Azure CLI yönergelerine bakın.
Çözümü yapılandırdım. Panoda neden hiçbir şey göremiyorum?
Panonun raporları ilk kez göstermesi 30 dakika kadar sürebilir. Çözümün önce anlamlı içgörüler elde etmesi için yeterli veri toplaması gerekir, ardından raporlar oluşturur.
Şu iletiyi alırsam ne olur: "Seçilen zaman aralığı için bu çalışma alanında hiçbir veri bulamadık. Zaman aralığını değiştirmeyi deneyin veya farklı bir çalışma alanı seçin."
Aşağıdaki seçenekleri deneyin:
- Üst çubuktaki zaman aralığını değiştirin.
- Üst çubukta farklı bir Log Analytics çalışma alanı seçin.
- Yakın zamanda etkinleştirildiyse 30 dakika sonra trafik analizine erişmeyi deneyin.
Sorunlar devam ederse Microsoft Soru-Cevap'ta endişeleri giderin.
Şu iletiyi alırsam ne olur: "NSG akış günlüklerinizi ilk kez analiz etme. Bu işlemin tamamlanması 20-30 dakika sürebilir. Bir süre sonra tekrar kontrol et."
Aşağıdaki nedenden dolayı bu iletiyi görebilirsiniz:
- Trafik analizi kısa süre önce etkinleştirildi ve anlamlı içgörüler elde etmek için henüz yeterli veri toplamamış olabilir.
- Log Analytics çalışma alanının ücretsiz sürümünü kullanıyorsunuz ve kota sınırlarını aştı. Daha büyük kapasiteye sahip bir çalışma alanı kullanmanız gerekebilir.
Önceki soru için önerilen çözümleri deneyin. Sorunlar devam ederse Microsoft Soru-Cevap'ta endişeleri giderin.
Şu iletiyi alırsam ne olur: "Kaynak verilerine (Topoloji) sahipiz ve akış bilgisi yok. Daha fazla bilgi için buraya tıklayarak kaynak verilerini görün ve SSS bölümüne bakın."
Kaynak bilgilerini panoda görüyorsunuz; ancak akışla ilgili istatistikler mevcut değildir. Kaynaklar arasında iletişim akışı olmadığından veriler mevcut olmayabilir. 60 dakika bekleyin ve durumu yeniden denetleyin. Sorun devam ederse ve kaynaklar arasındaki iletişim akışlarının mevcut olduğundan eminseniz, Microsoft Soru-Cevap'ta endişelere neden olun.
PowerShell kullanarak trafik analizini yapılandırabilir miyim?
Windows PowerShell sürüm 6.2.1 ve üzerini kullanarak trafik analizini yapılandırabilirsiniz. PowerShell kullanarak belirli bir ağ güvenlik grubu için akış günlüğünü ve trafik analizini yapılandırmak için bkz . Ağ güvenlik grubu akış günlüklerini ve trafik analizini etkinleştirme.
Azure Resource Manager şablonu veya Bicep dosyası kullanarak trafik analizini yapılandırabilir miyim?
Evet, trafik analizini yapılandırmak için Azure Resource Manager şablonu veya Bicep dosyası kullanabilirsiniz. Daha fazla bilgi için bkz . Azure Resource Manager (ARM) şablonu kullanarak NSG akış günlüklerini yapılandırma ve Bicep dosyası kullanarak NSG akış günlüklerini yapılandırma.
Trafik analizinin fiyatı nasıldır?
Trafik analizi ölçülür. Ölçüm, ham akış günlüğü verilerinin hizmet tarafından işlenmesini temel alır. Daha fazla bilgi için bkz. fiyatlandırma Ağ İzleyicisi.
Log Analytics çalışma alanına alınan gelişmiş günlükler, ilk 31 güne (veya çalışma alanında Microsoft Sentinel etkinleştirildiyse 90 güne) kadar ücretsiz olarak tutulabilir. Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.
Trafik analizi verileri ne sıklıkta işler?
Trafik analizinin varsayılan işleme aralığı 60 dakikadır, ancak 10 dakikalık aralıklarla hızlandırılmış işlemeyi seçebilirsiniz. Daha fazla bilgi için bkz . Trafik analizinde veri toplama.
Trafik analizi bir IP'nin kötü amaçlı olduğuna nasıl karar verir?
Trafik analizi, BIR IP'yi kötü amaçlı olarak kabul etmek için Microsoft iç tehdit bilgileri sistemlerine dayanır. Bu sistemler Microsoft ürün ve hizmetleri, Microsoft Dijital Suçlar Birimi (DCU), Microsoft Güvenlik Yanıt Merkezi (MSRC) ve dış akışlar gibi çeşitli telemetri kaynaklarını kullanır ve bunun üzerine zeka oluşturur. Bu verilerden bazıları Microsoft Internal'dir. Bilinen bir IP kötü amaçlı olarak işaretleniyorsa, ayrıntıları öğrenmek için bir destek bileti oluşturun.
Trafik analizi verileriyle ilgili uyarıları nasıl ayarlayabilirim?
Trafik analizinde uyarılar için yerleşik destek yoktur. Ancak trafik analizi verileri Log Analytics'te depolandığından özel sorgular yazabilir ve bunlar üzerinde uyarılar ayarlayabilirsiniz. Şu adımları izleyin:
- Trafik analizinde Log Analytics bağlantısını kullanabilirsiniz.
- Sorgularınızı yazmak için trafik analizi şemasını kullanın.
- Uyarıyı oluşturmak için Yeni uyarı kuralı'nı seçin.
- Uyarıyı oluşturmak için bkz . Yeni uyarı kuralı oluşturma.
Nasıl yaparım? şirket içi trafiği en çok hangi sanal makinelerin aldığını denetleyin?
Aşağıdaki sorguyu kullanın:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
IP'ler için aşağıdaki sorguyu kullanın:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Zaman için biçimi kullanın: yyyy-mm-dd 00:00:00
Nasıl yaparım? şirket içi makinelerden sanal makinelerim tarafından alınan trafikte standart sapması denetleyemiyor musunuz?
Aşağıdaki sorguyu kullanın:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
IP'ler için:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Nasıl yaparım? NSG kurallarıyla IP çiftleri arasında hangi bağlantı noktalarına ulaşılabilir (veya engellenir) denetlensin?
Aşağıdaki sorguyu kullanın:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s