Forum aux questions sur Traffic Analytics

Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs.

Oui, les groupes de sécurité réseau peuvent se trouver dans des régions différentes de celle de votre espace de travail Log Analytics.

Oui.

Non, Traffic Analytics ne prend pas en charge les groupes de sécurité réseau classiques.

Dans la liste déroulante de sélection des ressources du tableau de bord Traffic Analytics, le groupe de ressources de la ressource Réseau virtuel doit être sélectionné, et non celui de la machine virtuelle ou du groupe de sécurité réseau.

Oui. Si vous sélectionnez un espace de travail existant, vérifiez qu’il a été migré vers le nouveau langage de requête. Si vous ne souhaitez pas mettre à niveau l’espace de travail, vous devez en créer un autre. Pour plus d’informations sur le langage de requête Kusto (KQL), consultez l’article Requêtes de journal dans Azure Monitor.

Oui, votre compte de stockage Azure peut être dans un abonnement spécifique et votre espace de travail Log Analytics dans un autre abonnement.

Oui. Vous pouvez configurer les journaux de flux pour qu’ils soient envoyés à un compte de stockage situé dans un autre abonnement, à condition que vous disposiez des privilèges appropriés et que le compte de stockage se trouve dans la même région que le groupe de sécurité réseau (journaux de flux du groupe de sécurité réseau) ou du réseau virtuel (journaux de flux du réseau virtuel). Le compte de stockage de destination doit partager le même locataire Microsoft Entra du groupe de sécurité réseau ou du réseau virtuel.

Non. Toutes les ressources doivent se trouver dans le même locataire, y compris les groupes de sécurité réseau (journaux de flux des groupes de sécurité réseau), les réseaux virtuels (journaux de flux des réseaux virtuels), les journaux de flux, les comptes de stockage et les espaces de travail Log Analytics (si l’analyse du trafic est activée).

Oui.

Non. Si vous supprimez le compte de stockage utilisé pour les journaux de flux, les données stockées dans l’espace de travail Log Analytics ne seront pas affectées. Vous pouvez toujours consulter les données historiques dans l’espace de travail Log Analytics (certaines mesures seront affectées), mais l’analyse du trafic ne traitera plus les nouveaux journaux de flux supplémentaires jusqu’à ce que vous mettiez à jour les journaux de flux pour utiliser un compte de stockage différent.

Sélectionnez une région prise en charge. Si vous sélectionnez une région non prise en charge, vous recevez une erreur « Introuvable ». Pour plus d’informations, consultez l’article Régions prises en charge par Traffic Analytics.

Pour que la journalisation du flux fonctionne correctement, le fournisseur Microsoft.Insights doit être inscrit. Si vous ne savez pas si le fournisseur Microsoft.Insights est inscrit pour votre abonnement, consultez les instructions relatives à son inscription pour le portail Azure, PowerShell ou Azure CLI.

L’affichage de rapports dans le tableau de bord peut prendre jusqu’à 30 minutes la première fois. La solution doit tout d’abord agréger suffisamment de données pour en dériver des informations utiles avant de générer des rapports.

Tentez les opérations suivantes :

• Changez l’intervalle de temps dans la barre supérieure.
• Sélectionnez un autre espace de travail Log Analytics dans la barre supérieure.
• Essayez d’accéder à l’analytique du trafic après 30 minutes, si elle a été récemment activée.

Si les problèmes persistent, expliquez votre problème sur Microsoft Q&A.

Ce message peut s’afficher pour les raisons suivantes :

• L’analytique du trafic a été récemment activée et peut ne pas avoir agrégé suffisamment de données pour qu’en ressortent des insights significatifs.
• Vous utilisez la version gratuite de l’espace de travail Log Analytics, et les limites de quota ont été dépassées. Vous devrez peut-être utiliser un espace de travail d’une capacité supérieure.

Essayez les solutions suggérées pour la question précédente. Si les problèmes persistent, expliquez votre problème sur Microsoft Q&A.

Vous voyez les informations de ressources sur le tableau de bord. Toutefois, aucune statistique de flux n’est présente. Les données sont peut-être manquantes en l’absence de flux de communication entre les ressources. Attendez 60 minutes et revérifiez l’état. Si le problème persiste et que vous êtes sûr que des flux de communication existent entre les ressources, expliquez votre problème sur Microsoft Q&A.

Vous pouvez configurer Traffic Analytics à l’aide de Windows PowerShell version 6.2.1 ou ultérieure. Pour configurer la journalisation de flux et Traffic Analytics pour un groupe de sécurité réseau spécifique à l’aide de PowerShell, consultez la section Activer les journaux de flux de groupe de sécurité réseau et Traffic Analytics.

Oui, vous pouvez utiliser un modèle Azure Resource Manager ou un fichier Bicep pour configurer l’analyse du trafic. Pour plus d’informations, consultez Configurer les journaux de flux NSG à l’aide d’un modèle Azure Resource Manager (ARM) et Configurer les journaux de flux NSG à l’aide d’un fichier Bicep.

L’analytique du trafic est mesurée. La mesure est basée sur le traitement des données de journal de flux brutes par le service. Pour plus d’informations, consultez Tarification Network Watcher.
Les journaux améliorés ingérés dans l’espace de travail Log Analytics peuvent être conservés sans frais pendant les 31 premiers jours (ou 90 jours si Microsoft Sentinel est activé sur l’espace de travail). Pour plus d’informations, consultez Tarification Azure Monitor.

L’intervalle de traitement par défaut de Traffic Analytics est de 60 minutes. Toutefois, vous pouvez sélectionner un traitement accéléré à intervalles de 10 minutes. Pour plus d’informations, consultez la section Agrégation de données dans Traffic Analytics.

Traffic Analytics s’appuie sur les systèmes internes de veille des menaces de Microsoft pour déterminer si une adresse IP est malveillante ou non. Ces systèmes utilisent diverses sources de télémétrie telles que les produits et services Microsoft, la Microsoft Digital Crimes Unit (DCU), le Microsoft Security Response Center (MSRC) et des flux externes, et créent des renseignements sur cette base. Certaines de ces données sont internes à Microsoft. Si une adresse IP connue est signalée comme étant malveillante, créez un ticket de support pour connaître les détails de ce signalement.

Traffic Analytics n’a pas de prise en charge intégrée des alertes. Cependant, comme les données de Traffic Analytics sont stockées dans Log Analytics, vous pouvez écrire des requêtes personnalisées et définir des alertes à leur sujet. Procédez comme suit :

• Vous pouvez utiliser le lien Log Analytics dans Traffic Analytics.
• Utilisez le schéma Traffic Analytics pour écrire vos requêtes.
• Sélectionnez Nouvelle règle d’alerte pour créer l’alerte.
• Consultez l’article Créer une règle d’alerte pour créer l’alerte.

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Pour les adresses IP, utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Pour l’heure, utilisez le format aaaa-mm-jj 00:00:00

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Pour les adresses IP :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Utilisez la requête suivante :

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s