Modifier

Forum aux questions sur Traffic Analytics

  • Forum aux questions

Cet article fournit des réponses aux questions fréquemment posées sur l’analyse du trafic dans Azure Network Watcher.

Quelles conditions préalables sont nécessaires pour utiliser l’analytique du trafic ?

Consultez les conditions préalables de Traffic Analytics pour obtenir la liste des conditions préalables requises.

Comment puis-je vérifier si j’ai les rôles exigés ?

Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs.

Puis-je activer les journaux de flux pour les groupes de sécurité réseau qui se trouvent dans des régions différentes de celle de mon espace de travail ?

Oui, les groupes de sécurité réseau peuvent se trouver dans des régions différentes de celles de votre région d’espace de travail Log Analytics.

Est-il possible de configurer plusieurs groupes de sécurité réseau dans un seul espace de travail ?

Oui.

Les groupes de sécurité réseau classiques sont-ils pris en charge ?

Non, Traffic Analytics ne prend pas en charge les groupes de sécurité réseau classiques.

Pourquoi Traffic Analytics n’affiche-t-il pas les données de mes groupes de sécurité réseau compatibles Traffic Analytics ?

Dans la liste déroulante de sélection des ressources du tableau de bord Traffic Analytics, le groupe de ressources de la ressource Réseau virtuel doit être sélectionné, et non celui de la machine virtuelle ou du groupe de sécurité réseau.

Puis-je utiliser un espace de travail existant ?

Oui. Si vous sélectionnez un espace de travail existant, vérifiez qu’il a été migré vers le nouveau langage de requête. Si vous ne souhaitez pas mettre à niveau l’espace de travail, vous devez en créer un autre. Pour plus d’informations sur le langage de requête Kusto (KQL), consultez l’article Requêtes de journal dans Azure Monitor.

Mon compte de stockage Azure peut-il être dans un abonnement spécifique et mon espace de travail Log Analytics dans un autre abonnement ?

Oui, votre compte de stockage Azure peut être dans un abonnement spécifique et votre espace de travail Log Analytics dans un autre abonnement.

Puis-je stocker des journaux bruts dans un abonnement différent de celui utilisé pour les groupes de sécurité réseau ou les réseaux virtuels ?

Oui. Vous pouvez configurer les journaux de flux à envoyer à un compte de stockage situé dans un autre abonnement, à condition que vous disposiez des privilèges appropriés et que le compte de stockage se trouve dans la même région que le groupe de sécurité réseau (journaux de flux NSG) ou le réseau virtuel (journaux de flux de réseau virtuel). Le compte de stockage de destination doit partager le même locataire Microsoft Entra du groupe de sécurité réseau (journaux de flux NSG) ou de réseau virtuel (journaux de flux de réseau virtuel).

Mes ressources et comptes de stockage du journal de flux peuvent-ils se trouver dans des locataires différents ?

Non. Toutes les ressources doivent se trouver dans le même locataire, y compris les groupes de sécurité réseau (journaux de flux de groupe de sécurité réseau), les réseaux virtuels (journaux de flux de réseau virtuel), les journaux de flux, les comptes de stockage et les espaces de travail Log Analytics (si l’analytique du trafic est activée).

Puis-je configurer une stratégie de rétention différente pour le compte de stockage que l’espace de travail Log Analytics ?

Oui.

Vais-je perdre les données stockées dans l’espace de travail Log Analytics si je supprime le compte de stockage utilisé pour la journalisation des flux ?

Non. Si vous supprimez le compte de stockage utilisé pour les journaux de flux de réseau virtuel/groupe de sécurité réseau, les données stockées dans l’espace de travail Log Analytics ne seront pas affectées. Vous pouvez toujours afficher les données historiques dans l’espace de travail Log Analytics (certaines métriques seront affectées), mais Traffic Analytics ne traite plus les nouveaux journaux de flux supplémentaires jusqu’à ce que vous mettez à jour les journaux de flux pour utiliser un autre compte de stockage.

Que faire si je ne peux pas configurer un groupe de sécurité réseau pour Traffic Analytics en raison d’une erreur « Introuvable » ?

Sélectionnez une région prise en charge. Si vous sélectionnez une région non prise en charge, vous recevez une erreur « Introuvable ». Pour plus d’informations, consultez l’article Régions prises en charge par Traffic Analytics.

Que se passe-t-il si j’obtiens l’état : « Échec du chargement » dans la page journaux de flux ?

Pour que la journalisation du flux fonctionne correctement, le fournisseur Microsoft.Insights doit être inscrit. Si vous ne savez pas si le fournisseur Microsoft.Insights est inscrit pour votre abonnement, consultez les instructions relatives à son inscription pour le portail Azure, PowerShell ou Azure CLI.

J’ai configuré la solution. Pourquoi ne vois-je rien sur le tableau de bord ?

L’affichage de rapports dans le tableau de bord peut prendre jusqu’à 30 minutes la première fois. La solution doit tout d’abord agréger suffisamment de données pour en dériver des informations utiles avant de générer des rapports.

Que faire si je reçois le message « Impossible de trouver des données dans cet espace de travail pour l’intervalle de temps sélectionné. Essayez de changer l’intervalle de temps ou de sélectionner un autre espace de travail. » ?

Tentez les opérations suivantes :

  • Changez l’intervalle de temps dans la barre supérieure.
  • Sélectionnez un autre espace de travail Log Analytics dans la barre supérieure.
  • Essayez d’accéder à l’analytique du trafic après 30 minutes, si elle a été récemment activée.

Si des problèmes persistent, soulèvez des problèmes dans Microsoft Q&A.

Que faire si je reçois le message « Nous analysons peut-être vos journaux de flux NSG pour la première fois. Ce processus peut prendre de 20 à 30 minutes. Vérifiez ultérieurement. » ?

Ce message peut s’afficher pour les raisons suivantes :

  • L’analytique du trafic a été récemment activée et peut ne pas avoir agrégé suffisamment de données pour qu’en ressortent des insights significatifs.
  • Vous utilisez la version gratuite de l’espace de travail Log Analytics, et les limites de quota ont été dépassées. Vous devrez peut-être utiliser un espace de travail d’une capacité supérieure.

Essayez les solutions suggérées pour la question précédente. Si des problèmes persistent, soulèvez des problèmes dans Microsoft Q&A.

Que faire si je reçois le message « Il semble qu’il existe des données de ressources (topologie), mais aucune information de flux. Pour plus d’informations, cliquez ici pour afficher les données de ressources et reportez-vous au forum aux questions. » ?

Vous voyez les informations de ressources sur le tableau de bord. Toutefois, aucune statistique de flux n’est présente. Les données sont peut-être manquantes en l’absence de flux de communication entre les ressources. Attendez 60 minutes et revérifiez l’état. Si le problème persiste et que vous êtes sûr que les flux de communication entre les ressources existent, soulèvez des préoccupations dans Microsoft Q&A.

Puis-je configurer Traffic Analytics à l’aide de PowerShell ?

Vous pouvez configurer Traffic Analytics à l’aide de Windows PowerShell version 6.2.1 ou ultérieure. Pour configurer la journalisation de flux et Traffic Analytics pour un groupe de sécurité réseau spécifique à l’aide de PowerShell, consultez la section Activer les journaux de flux de groupe de sécurité réseau et Traffic Analytics.

Puis-je configurer Traffic Analytics à l’aide d’un modèle Azure Resource Manager ou d’un fichier Bicep ?

Oui, vous pouvez utiliser un modèle Azure Resource Manager ou un fichier Bicep pour configurer l’analyse du trafic. Pour plus d’informations, consultez Configurer les journaux de flux NSG à l’aide d’un modèle Azure Resource Manager (ARM) et Configurer les journaux de flux NSG à l’aide d’un fichier Bicep.

Quel est le prix de l’analyse de trafic ?

L’analytique du trafic est mesurée. Les mesures sont basées sur le traitement des données de journal de flux par le service et sur le stockage des journaux d’activité améliorés résultants dans un espace de travail Log Analytics.

Par exemple, conformément à la tarification Network Watcher et à la tarification Azure Monitor, concernant la région USA Centre-Ouest, si des données de journal de flux stockées dans un compte de stockage traité par Traffic Analytics ont un volume de 10 Go et que les journaux améliorés ingérés dans l’espace de travail Log Analytics ont un volume de 1 Go, les frais applicables sont les suivants : 10 x 2,3 $ + 1 x 2,76 $ = 25,76 $

Quelle est la fréquence de traitement des données de Traffic Analytics ?

L’intervalle de traitement par défaut de Traffic Analytics est de 60 minutes. Toutefois, vous pouvez sélectionner un traitement accéléré à intervalles de 10 minutes. Pour plus d’informations, consultez la section Agrégation de données dans Traffic Analytics.

Comment Traffic Analytics décide-t-il qu’une adresse IP est malveillante ?

Traffic Analytics s’appuie sur les systèmes internes de veille des menaces de Microsoft pour déterminer si une adresse IP est malveillante ou non. Ces systèmes tirent parti de diverses sources de télémétrie comme les produits et services Microsoft, la DCU (Digital Crimes Unit, soit « Unité de lutte contre la criminalité numérique ») de Microsoft, le Centre de réponse aux problèmes de sécurité Microsoft, ainsi que des flux externes, le tout pour développer des analyses poussées. Certaines de ces données sont internes à Microsoft. Si une adresse IP connue est signalée comme étant malveillante, créez un ticket de support pour connaître les détails de ce signalement.

Comment puis-je définir des alertes sur les données Traffic Analytics ?

Traffic Analytics n’a pas de prise en charge intégrée des alertes. Cependant, comme les données de Traffic Analytics sont stockées dans Log Analytics, vous pouvez écrire des requêtes personnalisées et définir des alertes à leur sujet. Procédez comme suit :

  • Vous pouvez utiliser le lien Log Analytics dans Traffic Analytics.
  • Utilisez le schéma Traffic Analytics pour écrire vos requêtes.
  • Sélectionnez Nouvelle règle d’alerte pour créer l’alerte.
  • Consultez l’article Créer une règle d’alerte pour créer l’alerte.

Comment déterminer les machines virtuelles qui reçoivent le plus de trafic local ?

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Pour les adresses IP, utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Pour l’heure, utilisez le format aaaa-mm-jj 00:00:00

Comment vérifier l’écart type du trafic reçu par mes machines virtuelles à partir de machines locales ?

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Pour les adresses IP :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Comment vérifier quels ports sont accessibles (ou bloqués) entre les paires d’adresses IP avec les règles du groupe de sécurité réseau ?

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Comment faire pour naviguer dans la vue de la carte géographique à l’aide du clavier ?

La page de la carte géographique contient deux sections principales :

  • Bannière : la bannière en haut de la carte géographique fournit des boutons pour sélectionner les filtres de distribution du trafic (par exemple, Déploiement, Trafic en provenance de pays/régions et Malveillant). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la carte. Par exemple, si vous sélectionnez le bouton Actif, la carte met en surbrillance les centres de données actifs dans votre déploiement.
  • Carte : Sous la bannière, la section de la carte montre la distribution du trafic entre les pays/régions et les centres de données Azure.

Navigation au clavier sur la bannière

  • La sélection par défaut dans la bannière de la page de la carte géographique est le filtre « Contrôleurs de domaine Azure ».
  • Pour passer à un autre filtre, utilisez la touche Tab ou Right arrow. Pour vous déplacer vers l’arrière, utilisez la touche Shift+Tab ou Left arrow. La navigation vers l’avant va de gauche à droite, puis de haut en bas.
  • Appuyez sur la touche de direction Enter ou Down pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds sous la section de la carte sont mis en surbrillance.
  • Pour basculer entre la bannière et la carte, appuyez sur Ctrl+F6.

Navigation au clavier sur la carte

  • Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur Ctrl+F6, le focus passe à l’un des nœuds en surbrillance (Centre de données Azure ou Pays/Région) dans la vue cartographique.
  • Pour passer à d’autres nœuds en surbrillance dans la carte, utilisez la touche Tab ou Right arrow pour vous déplacer vers l’avant. Utilisez la touche Shift+Tab ou Left arrow pour vous déplacer vers l’arrière.
  • Pour sélectionner n’importe quel nœud en surbrillance sur la carte, utilisez la touche Enter ou Down arrow.
  • Lorsque vous sélectionnez ces nœuds, le focus se déplace vers la boîte à outils Informations du nœud. Par défaut, le focus se déplace sur le bouton Fermer de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches Right arrow et Left arrow pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer sur Enter a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations.
  • Quand vous appuyez sur Tab et que le focus est sur la boîte à outils Informations, le focus passe aux points de terminaison du même continent que le nœud sélectionné. Utilisez les touches Right arrow et Left arrow pour parcourir ces points de terminaison.
  • Pour passer à d’autres clusters de continents/points de terminaison de flux, utilisez Tab pour vous déplacer vers l’avant et Shift+Tab pour vous déplacer vers l’arrière.
  • Quand le focus est sur des clusters de continents, utilisez la touche de direction Enter ou Down pour mettre en surbrillance les points de terminaison dans le cluster de continents. Pour parcourir les points de terminaison et accéder au bouton Fermer de la boîte d’informations du cluster de continents, utilisez les touches Right arrow et Left arrow pour vous déplacer vers l’avant et vers l’arrière, respectivement. Sur n’importe quel point de terminaison, vous pouvez utiliser Shift+L pour basculer vers la ligne de connexion à partir du nœud sélectionné pour le point de terminaison. Vous pouvez réappuyer sur Shift+L pour passer au point de terminaison sélectionné.

Navigation au clavier à tout moment

  • La clé Esc réduit la sélection développée.
  • La touche Up-arrow effectue la même action que Esc. La touche Down arrow effectue la même action que Enter.
  • Utilisez Shift+Plus pour effectuer un zoom avant et Shift+Minus pour effectuer un zoom arrière.

Comment faire pour naviguer dans la vue de la topologie des réseaux virtuels à l’aide du clavier ?

La page de la topologie des réseaux virtuels contient deux sections principales :

  • Bannière : la bannière en haut de la topologie des réseaux virtuels fournit des boutons pour sélectionner les filtres de distribution du trafic (réseaux virtuels connectés, réseaux virtuels déconnectés, adresses IP publiques, etc.). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la topologie. Par exemple, si vous sélectionnez le bouton Actif, la topologie met en surbrillance les réseaux virtuels actifs dans votre déploiement.
  • Topologie : sous la bannière, la section de la topologie montre la distribution du trafic entre les réseaux virtuels.

Navigation au clavier sur la bannière

  • La sélection par défaut dans la bannière de la page de la topologie des réseaux virtuels est le filtre « Réseaux virtuels connectés ».
  • Pour passer à un autre filtre, utilisez la touche Tab pour vous déplacer vers l’avant. Pour vous déplacer vers l’arrière, utilisez la touche Shift+Tab. La navigation vers l’avant va de gauche à droite, puis de haut en bas.
  • Appuyez sur Enter pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds (réseau virtuel) sous la section de la topologie sont mis en surbrillance.
  • Pour basculer entre la bannière et la topologie, appuyez sur Ctrl+F6.

Navigation au clavier sur la topologie

  • Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur Ctrl+F6, le focus passe à l’un des nœuds en surbrillance (VNet) dans la vue de la topologie.
  • Pour passer à d’autres nœuds en surbrillance dans la vue de la topologie, utilisez la touche Shift+Right arrow pour vous déplacer vers l’avant.
  • Sur les nœuds en surbrillance, le focus passe à la boîte à outils Informations du nœud. Par défaut, le focus passe au bouton Plus de détails de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches Right arrow et Left arrow pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer sur Enter a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations.
  • Si vous sélectionnez l’un de ces nœuds, appuyez sur la touche Shift+Left arrow pour visiter chacune de ses connexions. Le focus passe à la boîte à outils Informations de cette connexion. Vous pouvez à tout moment réappuyer sur Shift+Right arrow pour faire revenir le focus sur le nœud.

Comment faire pour naviguer dans la vue de la topologie des sous-réseaux à l’aide du clavier ?

La page de la topologie des sous-réseaux virtuels contient deux sections principales :

  • Bannière : la bannière en haut de la topologie des sous-réseaux virtuels fournit des boutons pour sélectionner les filtres de distribution du trafic (sous-réseaux actifs, moyens, de passerelle, etc.). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la topologie. Par exemple, si vous sélectionnez le bouton Actif, la topologie met en surbrillance le sous-réseau virtuel actif dans votre déploiement.
  • Topologie : sous la bannière, la section de la topologie montre la distribution du trafic entre les sous-réseaux virtuels.

Navigation au clavier sur la bannière

  • La sélection par défaut dans la bannière de la page de la topologie des sous-réseaux virtuels est le filtre « Sous-réseaux ».
  • Pour passer à un autre filtre, utilisez la touche Tab pour vous déplacer vers l’avant. Pour vous déplacer vers l’arrière, utilisez la touche Shift+Tab. La navigation vers l’avant va de gauche à droite, puis de haut en bas.
  • Appuyez sur Enter pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds (sous-réseau) sous la section de la topologie sont mis en surbrillance.
  • Pour basculer entre la bannière et la topologie, appuyez sur Ctrl+F6.

Navigation au clavier sur la topologie

  • Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur Ctrl+F6, le focus passe à l’un des nœuds en surbrillance (Sous-réseau) dans la vue de la topologie.
  • Pour passer à d’autres nœuds en surbrillance dans la vue de la topologie, utilisez la touche Shift+Right arrow pour vous déplacer vers l’avant.
  • Sur les nœuds en surbrillance, le focus passe à la boîte à outils Informations du nœud. Par défaut, le focus passe au bouton Plus de détails de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches Right arrow et Left arrow pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer sur Enter a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations.
  • Si vous sélectionnez l’un de ces nœuds, vous pouvez appuyer sur la touche Shift+Left arrow pour visiter chacune de ses connexions. Le focus passe à la boîte à outils Informations de cette connexion. Vous pouvez à tout moment réappuyer sur Shift+Right arrow pour faire revenir le focus sur le nœud.