Häufig gestellte Fragen zu Traffic Analytics (FAQ)

In diesem Artikel finden Sie Antworten auf die am häufigsten gestellten Fragen zur Funktionalität der Datenverkehrsanalyse in Azure Network Watcher.

Welche RBAC-Berechtigungen sind für die Verwendung von Datenverkehrsanalysen erforderlich?

Unter "Datenverkehrsanalyseberechtigungen" finden Sie die vollständige Liste der erforderlichen RBAC-Rollen und -Berechtigungen.

Kann ich Ablaufprotokolle für Ressourcen aktivieren, die sich in verschiedenen Regionen als in meiner Arbeitsbereichsregion befinden?

Ja, virtuelle Netzwerke und Netzwerksicherheitsgruppen können sich in unterschiedlichen Regionen als in Ihrer Log Analytics-Arbeitsbereichsregion befinden.

Können mehrere Netzwerksicherheitsgruppen in einem einzigen Arbeitsbereich konfiguriert werden?

Ja.

Warum zeigt Traffic Analytics keine Daten für Netzwerksicherheitsgruppen mit aktivierter Datenverkehrsanalyse an?

In der Dropdownliste für die Ressourcenauswahl auf dem Traffic Analytics-Dashboard muss die Ressourcengruppe der VNet-Ressource ausgewählt werden, nicht die Ressourcengruppe des virtuellen Computers oder der Netzwerksicherheitsgruppe.

Warum werden einige Ressourcen in der Datenverkehrsanalyse als "Unbekannt" angezeigt?

Die Datenverkehrsanalyse führt alle 6 Stunden einen Ressourcenermittlungsscan durch, um neue VMs, NICs, virtuelle Netzwerke und Subnetze zu identifizieren. Wenn nach dem letzten Ermittlungszyklus eine neue VM oder NIC erstellt wird und Ablaufdaten vor der nächsten Ermittlung gesammelt werden, kann die Datenverkehrsanalyse den Datenverkehr noch nicht einer bekannten Ressource zuordnen. Daher werden diese Ressourcen vorübergehend als unbekannt in der Analyseansicht bezeichnet.

Kann ich den öffentlichen Zugriff auf die datensammlungsendpunkt(DCE)-Ressource einschränken, die von der Datenverkehrsanalyse erstellt wurde?

Ja, Sie können den öffentlichen Zugriff deaktivieren, um den öffentlichen eingehenden Datenverkehr auf die DCE-Ressource einzuschränken.

Kann ich einen bestehenden Arbeitsbereich verwenden?

Ja. Wenn Sie einen vorhandenen Arbeitsbereich auswählen, stellen Sie sicher, dass er in die neue Abfragesprache migriert wurde. Wenn Sie kein Upgrade des Arbeitsbereichs ausführen möchten, müssen Sie einen neuen Arbeitsbereich anlegen. Weitere Informationen zur Kusto-Abfragesprache (KQL) finden Sie unter Protokollabfragen in Azure Monitor.

Kann mein Azure Storage-Konto zu einem Abonnement und mein Log Analytics-Arbeitsbereich zu einem anderen Abonnement gehören?

Ja, Ihr Azure Storage-Konto kann zu einem Abonnement und Ihr Log Analytics-Arbeitsbereich zu einem anderen Abonnement gehören.

Kann ich unformatierte Protokolle in einem anderen Abonnement als dem für Netzwerksicherheitsgruppen oder virtuelle Netzwerke verwendeten Abonnement speichern?

Ja. Sie können Datenflussprotokolle so konfigurieren, dass sie an ein Speicherkonto in einem anderen Abonnement gesendet werden, sofern Sie über die entsprechenden Berechtigungen verfügen und sich das Speicherkonto in derselben Region wie die NSG (Datenflussprotokolle für Netzwerksicherheitsgruppen) oder das VNet (Datenflussprotokolle für virtuelle Netzwerke) befindet. Das Zielspeicherkonto muss demselben Microsoft Entra-Mandanten angehören wie die Netzwerksicherheitsgruppe bzw. das virtuelle Netzwerk.

Können sich meine Flowprotokollressourcen und Speicherkonten in unterschiedlichen Mandanten befinden?

Nein Alle Ressourcen müssen sich in demselben Mandanten befinden, einschließlich der Netzwerksicherheitsgruppen (Datenflussprotokolle für Netzwerksicherheitsgruppen), virtuellen Netzwerke (Datenflussprotokolle für virtuelle Netzwerke), Speicherkonten und Log Analytics-Arbeitsbereiche (wenn Traffic Analytics aktiviert ist).

Kann ich für das Speicherkonto eine andere Aufbewahrungsrichtlinie konfigurieren als für den Log Analytics-Arbeitsbereich?

Ja.

Gehen die im Log Analytics-Arbeitsbereich gespeicherten Daten verloren, wenn ich das für die Datenflussprotokollierung verwendete Speicherkonto lösche?

Nein Wenn Sie das Speicherkonto löschen, das für Datenflussprotokolle verwendet wird, sind die im Log Analytics-Arbeitsbereich gespeicherten Daten davon nicht betroffen. Sie können weiterhin historische Daten im Log Analytics-Arbeitsbereich anzeigen (einige Metriken werden betroffen sein), aber die Datenverkehrsanalyse verarbeitet keine neuen Flussprotokolle mehr, bis Sie die Ablaufprotokolle aktualisieren, um ein anderes Speicherkonto zu verwenden.

Was ist, wenn ich eine Netzwerksicherheitsgruppe aufgrund der Fehlermeldung „Nicht gefunden“ nicht für Traffic Analytics konfigurieren kann?

Wählen Sie eine unterstützte Region aus. Wenn Sie eine nicht unterstützte Region auswählen, erhalten Sie die Fehlermeldung „Nicht gefunden“. Weitere Informationen finden Sie unter Von Traffic Analytics unterstützte Regionen.

Was passiert, wenn auf der Seite mit den Datenflussprotokollen der Status „Fehler beim Laden“ angezeigt wird?

Der Anbieter Microsoft.Insights muss registriert sein, damit die Datenflussprotokollierung ordnungsgemäß funktioniert. Wenn Sie nicht sicher sind, ob der Microsoft.Insights Anbieter für Ihr Abonnement registriert ist, lesen Sie die Anweisungen zum Verwalten von NSG-Ablaufprotokollen zur Registrierung.

Ich habe die Lösung konfiguriert. Warum sehe ich davon nichts im Dashboard?

Es kann bis zu 30 Minuten dauern, bis es zum ersten Mal Berichte angezeigt werden. Die Lösung muss zunächst genügend Daten aggregieren, um aussagekräftige Erkenntnisse zu gewinnen. Dann werden die Berichte generiert.

Was geschieht, wenn ich diese Meldung erhalte: "Wir konnten keine Daten in diesem Arbeitsbereich für das ausgewählte Zeitintervall finden. Ändern Sie das Zeitintervall, oder wählen Sie einen anderen Arbeitsbereich aus.“?

Versuchen Sie Folgendes:

• Ändern Sie auf der oberen Leiste den Zeitraum.
• Wählen Sie auf der oberen Leiste einen anderen Log Analytics-Arbeitsbereich aus.
• Versuchen Sie, nach 30 Minuten auf Traffic Analytics zuzugreifen, wenn es vor Kurzem aktiviert wurde.

Wenn die Probleme bestehen bleiben, besuchen Sie Microsoft Q&A.

Was ist, wenn ich die folgende Meldung erhalte: „Ihre NSG-Datenflussprotokolle werden zum ersten Mal analysiert. Dieser Vorgang kann 20 bis 30 Minuten in Anspruch nehmen. Schauen Sie später wieder vorbei.“?

Ggf. wird diese Meldung auf folgenden Gründen angezeigt:

• Traffic Analytics wurde vor Kurzem aktiviert, und es wurde ggf. noch keine ausreichende Datenmenge aggregiert, um aussagekräftige Erkenntnisse zu gewinnen.
• Sie verwenden die kostenlose Version des Log Analytics-Arbeitsbereichs, dessen Kontingentgrenzwerte überschritten wurden. Sie benötigen möglicherweise einen Arbeitsbereich mit größerer Kapazität.

Probieren Sie die vorgeschlagenen Lösungen für die vorherige Frage aus. Wenn die Probleme bestehen bleiben, besuchen Sie Microsoft Q&A.

Was ist zu tun, wenn diese Meldung angezeigt wird: „Es sieht so aus, als wären Ressourcendaten (Topologie), aber keine Datenflussinformationen verfügbar. Klicken Sie hier, um Ressourcendaten anzuzeigen, und lesen Sie die häufig gestellten Fragen, um weitere Informationen zu erhalten.

Sie sehen die Ressourceninformationen im Dashboard, aber es gibt keine datenflussbezogenen Statistiken. Es sind ggf. keine Daten vorhanden, da keine Kommunikation zwischen den Ressourcen erfolgt. Warten Sie 60 Minuten, und überprüfen Sie dann den Status erneut. Wenn das Problem bestehen bleibt und Sie sicher sind, dass es Kommunikationsflüsse zwischen Ressourcen gibt, besuchen Sie Microsoft Q&A.

Was kosten Datenverkehrsanalysen?

Traffic Analytics ist getaktet. Die Messung basiert auf der Verarbeitung unformatierter Datenflussprotokolldaten durch den Dienst. Weitere Informationen finden Sie unter Network Watcher – Preise.
Im Log Analytics-Arbeitsbereich eingefügte erweiterte Berichte können gebührenfrei für die ersten 31 Tage (oder 90 Tage, wenn Microsoft Sentinel für den Arbeitsbereich aktiviert ist) aufbewahrt werden. Weitere Informationen finden Sie unter Azure Monitor-Preise.

Wie oft werden Daten von Traffic Analytics verarbeitet?

Das Standardverarbeitungsintervall der Datenverkehrsanalyse beträgt 60 Minuten. Sie können jedoch die beschleunigte Verarbeitung in Intervallen von 10 Minuten auswählen. Weitere Informationen finden Sie unter Datenaggregation in Traffic Analytics.

Welche anderen Ressourcen werden mit meinem Arbeitsbereich erstellt?

Datenverkehrsanalysen erstellen und verwalten Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunktressourcen in derselben Ressourcengruppe wie der Arbeitsbereich, präfixiert mit NWTAdem Präfix . Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet. Weitere Informationen finden Sie unter Datenaggregation in Traffic Analytics. Weitere Informationen finden Sie unter Datensammlungsregeln in Azure Monitor –und Datensammlungsendpunkte in Azure Monitor.

Wie entscheidet Traffic Analytics, ob eine IP-Adresse schädlich ist?

Traffic Analytics nutzt interne Threat Intelligence-Systeme von Microsoft, um eine IP-Adresse als schädlich einzustufen. Diese Systeme nutzen verschiedenste Telemetriequellen, beispielsweise Microsoft-Produkte und -Dienste, Microsoft Digital Crimes Unit (DCU) und Microsoft Security Response Center (MSRC) sowie externe Feeds, und bauen Intelligenz auf Basis dieser Quellen auf. Einige dieser Daten sind interne Microsoft-Daten. Falls eine bekannte IP-Adresse als „schädlich“ gekennzeichnet wird, erstellen Sie ein Supportticket, um uns die Details mitzuteilen.

Wie kann ich Benachrichtigungen für Traffic Analytics-Daten festlegen?

Traffic Analytics bietet keine integrierte Unterstützung für Warnungen. Da Traffic Analytics-Daten in Protokollanalyseprotokollen gespeichert werden, können Sie für diese Daten jedoch benutzerdefinierte Abfragen schreiben und Benachrichtigungen festlegen. Folgen Sie diesen Schritten:

• Sie können den Log Analytics-Link in Traffic Analytics verwenden.
• Verwenden Sie das Schema für die Datenverkehrsanalyse zum Schreiben Ihrer Abfragen.
• Wählen Sie Neue Warnungsregel aus, um die Warnung zu erstellen.
• Lesen Sie Erstellen einer neuen Warnungsregel, um die Warnung zu erstellen.

Wie kann ich überprüfen, von welchen virtuellen Computern der meiste lokale Datenverkehr empfangen wird?

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Für IP-Adressen können Sie folgende Abfrage verwenden:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Verwenden Sie für die Zeit das folgende Format: jjjj-mm-tt 00:00:00

Wie kann ich die Standardabweichung beim Datenverkehr überprüfen, den meine virtuellen Computer von lokalen Computern empfangen?

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Für IP-Adressen:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Wie kann ich überprüfen, welche Ports zwischen IP-Paaren mit NSG-Regeln erreichbar (oder blockiert) sind?

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

In diesem Artikel finden Sie Antworten auf die am häufigsten gestellten Fragen zur Funktionalität der Datenverkehrsanalyse in Azure Network Watcher.

Unter "Datenverkehrsanalyseberechtigungen" finden Sie die vollständige Liste der erforderlichen RBAC-Rollen und -Berechtigungen.

Ja, virtuelle Netzwerke und Netzwerksicherheitsgruppen können sich in unterschiedlichen Regionen als in Ihrer Log Analytics-Arbeitsbereichsregion befinden.

Ja.

In der Dropdownliste für die Ressourcenauswahl auf dem Traffic Analytics-Dashboard muss die Ressourcengruppe der VNet-Ressource ausgewählt werden, nicht die Ressourcengruppe des virtuellen Computers oder der Netzwerksicherheitsgruppe.

Die Datenverkehrsanalyse führt alle 6 Stunden einen Ressourcenermittlungsscan durch, um neue VMs, NICs, virtuelle Netzwerke und Subnetze zu identifizieren. Wenn nach dem letzten Ermittlungszyklus eine neue VM oder NIC erstellt wird und Ablaufdaten vor der nächsten Ermittlung gesammelt werden, kann die Datenverkehrsanalyse den Datenverkehr noch nicht einer bekannten Ressource zuordnen. Daher werden diese Ressourcen vorübergehend als unbekannt in der Analyseansicht bezeichnet.

Ja, Sie können den öffentlichen Zugriff deaktivieren, um den öffentlichen eingehenden Datenverkehr auf die DCE-Ressource einzuschränken.

Ja. Wenn Sie einen vorhandenen Arbeitsbereich auswählen, stellen Sie sicher, dass er in die neue Abfragesprache migriert wurde. Wenn Sie kein Upgrade des Arbeitsbereichs ausführen möchten, müssen Sie einen neuen Arbeitsbereich anlegen. Weitere Informationen zur Kusto-Abfragesprache (KQL) finden Sie unter Protokollabfragen in Azure Monitor.

Ja, Ihr Azure Storage-Konto kann zu einem Abonnement und Ihr Log Analytics-Arbeitsbereich zu einem anderen Abonnement gehören.

Ja. Sie können Datenflussprotokolle so konfigurieren, dass sie an ein Speicherkonto in einem anderen Abonnement gesendet werden, sofern Sie über die entsprechenden Berechtigungen verfügen und sich das Speicherkonto in derselben Region wie die NSG (Datenflussprotokolle für Netzwerksicherheitsgruppen) oder das VNet (Datenflussprotokolle für virtuelle Netzwerke) befindet. Das Zielspeicherkonto muss demselben Microsoft Entra-Mandanten angehören wie die Netzwerksicherheitsgruppe bzw. das virtuelle Netzwerk.

Nein Alle Ressourcen müssen sich in demselben Mandanten befinden, einschließlich der Netzwerksicherheitsgruppen (Datenflussprotokolle für Netzwerksicherheitsgruppen), virtuellen Netzwerke (Datenflussprotokolle für virtuelle Netzwerke), Speicherkonten und Log Analytics-Arbeitsbereiche (wenn Traffic Analytics aktiviert ist).

Ja.

Nein Wenn Sie das Speicherkonto löschen, das für Datenflussprotokolle verwendet wird, sind die im Log Analytics-Arbeitsbereich gespeicherten Daten davon nicht betroffen. Sie können weiterhin historische Daten im Log Analytics-Arbeitsbereich anzeigen (einige Metriken werden betroffen sein), aber die Datenverkehrsanalyse verarbeitet keine neuen Flussprotokolle mehr, bis Sie die Ablaufprotokolle aktualisieren, um ein anderes Speicherkonto zu verwenden.

Wählen Sie eine unterstützte Region aus. Wenn Sie eine nicht unterstützte Region auswählen, erhalten Sie die Fehlermeldung „Nicht gefunden“. Weitere Informationen finden Sie unter Von Traffic Analytics unterstützte Regionen.

Der Anbieter Microsoft.Insights muss registriert sein, damit die Datenflussprotokollierung ordnungsgemäß funktioniert. Wenn Sie nicht sicher sind, ob der Microsoft.Insights Anbieter für Ihr Abonnement registriert ist, lesen Sie die Anweisungen zum Verwalten von NSG-Ablaufprotokollen zur Registrierung.

Es kann bis zu 30 Minuten dauern, bis es zum ersten Mal Berichte angezeigt werden. Die Lösung muss zunächst genügend Daten aggregieren, um aussagekräftige Erkenntnisse zu gewinnen. Dann werden die Berichte generiert.

Versuchen Sie Folgendes:

• Ändern Sie auf der oberen Leiste den Zeitraum.
• Wählen Sie auf der oberen Leiste einen anderen Log Analytics-Arbeitsbereich aus.
• Versuchen Sie, nach 30 Minuten auf Traffic Analytics zuzugreifen, wenn es vor Kurzem aktiviert wurde.

Wenn die Probleme bestehen bleiben, besuchen Sie Microsoft Q&A.

Ggf. wird diese Meldung auf folgenden Gründen angezeigt:

• Traffic Analytics wurde vor Kurzem aktiviert, und es wurde ggf. noch keine ausreichende Datenmenge aggregiert, um aussagekräftige Erkenntnisse zu gewinnen.
• Sie verwenden die kostenlose Version des Log Analytics-Arbeitsbereichs, dessen Kontingentgrenzwerte überschritten wurden. Sie benötigen möglicherweise einen Arbeitsbereich mit größerer Kapazität.

Probieren Sie die vorgeschlagenen Lösungen für die vorherige Frage aus. Wenn die Probleme bestehen bleiben, besuchen Sie Microsoft Q&A.

Sie sehen die Ressourceninformationen im Dashboard, aber es gibt keine datenflussbezogenen Statistiken. Es sind ggf. keine Daten vorhanden, da keine Kommunikation zwischen den Ressourcen erfolgt. Warten Sie 60 Minuten, und überprüfen Sie dann den Status erneut. Wenn das Problem bestehen bleibt und Sie sicher sind, dass es Kommunikationsflüsse zwischen Ressourcen gibt, besuchen Sie Microsoft Q&A.

Traffic Analytics ist getaktet. Die Messung basiert auf der Verarbeitung unformatierter Datenflussprotokolldaten durch den Dienst. Weitere Informationen finden Sie unter Network Watcher – Preise.
Im Log Analytics-Arbeitsbereich eingefügte erweiterte Berichte können gebührenfrei für die ersten 31 Tage (oder 90 Tage, wenn Microsoft Sentinel für den Arbeitsbereich aktiviert ist) aufbewahrt werden. Weitere Informationen finden Sie unter Azure Monitor-Preise.

Das Standardverarbeitungsintervall der Datenverkehrsanalyse beträgt 60 Minuten. Sie können jedoch die beschleunigte Verarbeitung in Intervallen von 10 Minuten auswählen. Weitere Informationen finden Sie unter Datenaggregation in Traffic Analytics.

Datenverkehrsanalysen erstellen und verwalten Datensammlungsregel (Data Collection Rule, DCR) und Datensammlungsendpunktressourcen in derselben Ressourcengruppe wie der Arbeitsbereich, präfixiert mit NWTAdem Präfix . Wenn Sie einen Vorgang für diese Ressourcen ausführen, funktioniert die Datenverkehrsanalyse möglicherweise nicht wie erwartet. Weitere Informationen finden Sie unter Datenaggregation in Traffic Analytics. Weitere Informationen finden Sie unter Datensammlungsregeln in Azure Monitor –und Datensammlungsendpunkte in Azure Monitor.

Traffic Analytics nutzt interne Threat Intelligence-Systeme von Microsoft, um eine IP-Adresse als schädlich einzustufen. Diese Systeme nutzen verschiedenste Telemetriequellen, beispielsweise Microsoft-Produkte und -Dienste, Microsoft Digital Crimes Unit (DCU) und Microsoft Security Response Center (MSRC) sowie externe Feeds, und bauen Intelligenz auf Basis dieser Quellen auf. Einige dieser Daten sind interne Microsoft-Daten. Falls eine bekannte IP-Adresse als „schädlich“ gekennzeichnet wird, erstellen Sie ein Supportticket, um uns die Details mitzuteilen.

Traffic Analytics bietet keine integrierte Unterstützung für Warnungen. Da Traffic Analytics-Daten in Protokollanalyseprotokollen gespeichert werden, können Sie für diese Daten jedoch benutzerdefinierte Abfragen schreiben und Benachrichtigungen festlegen. Folgen Sie diesen Schritten:

• Sie können den Log Analytics-Link in Traffic Analytics verwenden.
• Verwenden Sie das Schema für die Datenverkehrsanalyse zum Schreiben Ihrer Abfragen.
• Wählen Sie Neue Warnungsregel aus, um die Warnung zu erstellen.
• Lesen Sie Erstellen einer neuen Warnungsregel, um die Warnung zu erstellen.

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Für IP-Adressen können Sie folgende Abfrage verwenden:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Verwenden Sie für die Zeit das folgende Format: jjjj-mm-tt 00:00:00

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Für IP-Adressen:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Verwenden Sie die folgende Abfrage:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s