Cet article fournit des réponses aux questions fréquemment posées sur l’analyse du trafic dans Azure Network Watcher.
Quelles conditions préalables sont nécessaires pour utiliser l’analytique du trafic ?
Consultez les conditions préalables de Traffic Analytics pour obtenir la liste des conditions préalables requises.
Comment puis-je vérifier si j’ai les rôles exigés ?
Pour apprendre à vérifier les rôles attribués à un utilisateur pour un abonnement, consultez Répertorier les attributions de rôles Azure à l’aide du Portail Azure. Si vous ne voyez pas les attributions de rôles, contactez l’administrateur des abonnements respectifs.
Puis-je activer les journaux de flux pour les groupes de sécurité réseau qui se trouvent dans des régions différentes de celle de mon espace de travail ?
Oui, les groupes de sécurité réseau peuvent se trouver dans des régions différentes de celle de votre espace de travail Log Analytics.
Est-il possible de configurer plusieurs groupes de sécurité réseau dans un seul espace de travail ?
Oui.
Les groupes de sécurité réseau classiques sont-ils pris en charge ?
Non, Traffic Analytics ne prend pas en charge les groupes de sécurité réseau classiques.
Pourquoi Traffic Analytics n’affiche-t-il pas les données de mes groupes de sécurité réseau compatibles Traffic Analytics ?
Dans la liste déroulante de sélection des ressources du tableau de bord Traffic Analytics, le groupe de ressources de la ressource Réseau virtuel doit être sélectionné, et non celui de la machine virtuelle ou du groupe de sécurité réseau.
Puis-je utiliser un espace de travail existant ?
Oui. Si vous sélectionnez un espace de travail existant, vérifiez qu’il a été migré vers le nouveau langage de requête. Si vous ne souhaitez pas mettre à niveau l’espace de travail, vous devez en créer un autre. Pour plus d’informations sur le langage de requête Kusto (KQL), consultez l’article Requêtes de journal dans Azure Monitor.
Mon compte de stockage Azure peut-il être dans un abonnement spécifique et mon espace de travail Log Analytics dans un autre abonnement ?
Oui, votre compte de stockage Azure peut être dans un abonnement spécifique et votre espace de travail Log Analytics dans un autre abonnement.
Puis-je stocker des journaux bruts dans un abonnement différent de celui utilisé pour les groupes de sécurité réseau ou les réseaux virtuels ?
Oui. Vous pouvez configurer les journaux de flux pour qu’ils soient envoyés à un compte de stockage situé dans un autre abonnement, à condition que vous disposiez des privilèges appropriés et que le compte de stockage se trouve dans la même région que le groupe de sécurité réseau (journaux de flux du groupe de sécurité réseau) ou du réseau virtuel (journaux de flux du réseau virtuel). Le compte de stockage de destination doit partager le même locataire Microsoft Entra du groupe de sécurité réseau ou du réseau virtuel.
Mes ressources et comptes de stockage du journal de flux peuvent-ils se trouver dans des locataires différents ?
Non. Toutes les ressources doivent se trouver dans le même locataire, y compris les groupes de sécurité réseau (journaux de flux des groupes de sécurité réseau), les réseaux virtuels (journaux de flux des réseaux virtuels), les journaux de flux, les comptes de stockage et les espaces de travail Log Analytics (si l’analyse du trafic est activée).
Puis-je configurer une stratégie de rétention différente pour le compte de stockage que l’espace de travail Log Analytics ?
Oui.
Vais-je perdre les données stockées dans l’espace de travail Log Analytics si je supprime le compte de stockage utilisé pour l’enregistrement des flux ?
Non. Si vous supprimez le compte de stockage utilisé pour les journaux de flux, les données stockées dans l’espace de travail Log Analytics ne seront pas affectées. Vous pouvez toujours consulter les données historiques dans l’espace de travail Log Analytics (certaines mesures seront affectées), mais l’analyse du trafic ne traitera plus les nouveaux journaux de flux supplémentaires jusqu’à ce que vous mettiez à jour les journaux de flux pour utiliser un compte de stockage différent.
Que faire si je ne peux pas configurer un groupe de sécurité réseau pour Traffic Analytics en raison d’une erreur « Introuvable » ?
Sélectionnez une région prise en charge. Si vous sélectionnez une région non prise en charge, vous recevez une erreur « Introuvable ». Pour plus d’informations, consultez l’article Régions prises en charge par Traffic Analytics.
Que faire si j’obtiens l’état : « Échec du chargement » dans la page de journaux de flux ?
Pour que la journalisation du flux fonctionne correctement, le fournisseur Microsoft.Insights
doit être inscrit. Si vous ne savez pas si le fournisseur Microsoft.Insights
est inscrit pour votre abonnement, consultez les instructions relatives à son inscription pour le portail Azure, PowerShell ou Azure CLI.
J’ai configuré la solution. Pourquoi ne vois-je rien sur le tableau de bord ?
L’affichage de rapports dans le tableau de bord peut prendre jusqu’à 30 minutes la première fois. La solution doit tout d’abord agréger suffisamment de données pour en dériver des informations utiles avant de générer des rapports.
Que faire si je reçois le message « Impossible de trouver des données dans cet espace de travail pour l’intervalle de temps sélectionné. Essayez de changer l’intervalle de temps ou de sélectionner un autre espace de travail. » ?
Tentez les opérations suivantes :
- Changez l’intervalle de temps dans la barre supérieure.
- Sélectionnez un autre espace de travail Log Analytics dans la barre supérieure.
- Essayez d’accéder à l’analytique du trafic après 30 minutes, si elle a été récemment activée.
Si les problèmes persistent, expliquez votre problème sur Microsoft Q&A.
Que faire si je reçois le message « Nous analysons peut-être vos journaux de flux NSG pour la première fois. Ce processus peut prendre de 20 à 30 minutes. Vérifiez ultérieurement. » ?
Ce message peut s’afficher pour les raisons suivantes :
- L’analytique du trafic a été récemment activée et peut ne pas avoir agrégé suffisamment de données pour qu’en ressortent des insights significatifs.
- Vous utilisez la version gratuite de l’espace de travail Log Analytics, et les limites de quota ont été dépassées. Vous devrez peut-être utiliser un espace de travail d’une capacité supérieure.
Essayez les solutions suggérées pour la question précédente. Si les problèmes persistent, expliquez votre problème sur Microsoft Q&A.
Que faire si je reçois le message « Il semble qu’il existe des données de ressources (topologie), mais aucune information de flux. Pour plus d’informations, cliquez ici pour afficher les données de ressources et reportez-vous au forum aux questions. » ?
Vous voyez les informations de ressources sur le tableau de bord. Toutefois, aucune statistique de flux n’est présente. Les données sont peut-être manquantes en l’absence de flux de communication entre les ressources. Attendez 60 minutes et revérifiez l’état. Si le problème persiste et que vous êtes sûr que des flux de communication existent entre les ressources, expliquez votre problème sur Microsoft Q&A.
Puis-je configurer Traffic Analytics à l’aide de PowerShell ?
Vous pouvez configurer Traffic Analytics à l’aide de Windows PowerShell version 6.2.1 ou ultérieure. Pour configurer la journalisation de flux et Traffic Analytics pour un groupe de sécurité réseau spécifique à l’aide de PowerShell, consultez la section Activer les journaux de flux de groupe de sécurité réseau et Traffic Analytics.
Puis-je configurer Traffic Analytics à l’aide d’un modèle Azure Resource Manager ou d’un fichier Bicep ?
Oui, vous pouvez utiliser un modèle Azure Resource Manager ou un fichier Bicep pour configurer l’analyse du trafic. Pour plus d’informations, consultez Configurer les journaux de flux NSG à l’aide d’un modèle Azure Resource Manager (ARM) et Configurer les journaux de flux NSG à l’aide d’un fichier Bicep.
Quel est le prix de l’analyse de trafic ?
L’analytique du trafic est mesurée. La mesure est basée sur le traitement des données de journal de flux brutes par le service. Pour plus d’informations, consultez Tarification Network Watcher.
Les journaux améliorés ingérés dans l’espace de travail Log Analytics peuvent être conservés sans frais pendant les 31 premiers jours (ou 90 jours si Microsoft Sentinel est activé sur l’espace de travail). Pour plus d’informations, consultez Tarification Azure Monitor.
Quelle est la fréquence de traitement des données de Traffic Analytics ?
L’intervalle de traitement par défaut de Traffic Analytics est de 60 minutes. Toutefois, vous pouvez sélectionner un traitement accéléré à intervalles de 10 minutes. Pour plus d’informations, consultez la section Agrégation de données dans Traffic Analytics.
Comment Traffic Analytics décide-t-il qu’une adresse IP est malveillante ?
Traffic Analytics s’appuie sur les systèmes internes de veille des menaces de Microsoft pour déterminer si une adresse IP est malveillante ou non. Ces systèmes tirent parti de diverses sources de télémétrie comme les produits et services Microsoft, la DCU (Digital Crimes Unit, soit « Unité de lutte contre la criminalité numérique ») de Microsoft, le Centre de réponse aux problèmes de sécurité Microsoft, ainsi que des flux externes, le tout pour développer des analyses poussées. Certaines de ces données sont internes à Microsoft. Si une adresse IP connue est signalée comme étant malveillante, créez un ticket de support pour connaître les détails de ce signalement.
Comment puis-je définir des alertes sur les données Traffic Analytics ?
Traffic Analytics n’a pas de prise en charge intégrée des alertes. Cependant, comme les données de Traffic Analytics sont stockées dans Log Analytics, vous pouvez écrire des requêtes personnalisées et définir des alertes à leur sujet. Procédez comme suit :
- Vous pouvez utiliser le lien Log Analytics dans Traffic Analytics.
- Utilisez le schéma Traffic Analytics pour écrire vos requêtes.
- Sélectionnez Nouvelle règle d’alerte pour créer l’alerte.
- Consultez l’article Créer une règle d’alerte pour créer l’alerte.
Comment déterminer les machines virtuelles qui reçoivent le plus de trafic local ?
Utilisez la requête suivante :
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Pour les adresses IP, utilisez la requête suivante :
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Pour l’heure, utilisez le format aaaa-mm-jj 00:00:00
Comment vérifier l’écart type du trafic reçu par mes machines virtuelles à partir de machines locales ?
Utilisez la requête suivante :
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Pour les adresses IP :
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Comment vérifier quels ports sont accessibles (ou bloqués) entre les paires d’adresses IP avec les règles du groupe de sécurité réseau ?
Utilisez la requête suivante :
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
Comment faire pour naviguer dans la vue de la carte géographique à l’aide du clavier ?
La page de la carte géographique contient deux sections principales :
- Bannière : la bannière en haut de la carte géographique fournit des boutons pour sélectionner les filtres de distribution du trafic (par exemple, Déploiement, Trafic en provenance de pays/régions et Malveillant). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la carte. Par exemple, si vous sélectionnez le bouton Actif, la carte met en surbrillance les centres de données actifs dans votre déploiement.
- Carte : Sous la bannière, la section de la carte montre la distribution du trafic entre les pays/régions et les centres de données Azure.
Navigation au clavier sur la bannière
- La sélection par défaut dans la bannière de la page de la carte géographique est le filtre « Contrôleurs de domaine Azure ».
- Pour passer à un autre filtre, utilisez la touche
Tab
ouRight arrow
. Pour vous déplacer vers l’arrière, utilisez la toucheShift+Tab
ouLeft arrow
. La navigation vers l’avant va de gauche à droite, puis de haut en bas. - Appuyez sur la touche de direction
Enter
ouDown
pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds sous la section de la carte sont mis en surbrillance. - Pour basculer entre la bannière et la carte, appuyez sur
Ctrl+F6
.
Navigation au clavier sur la carte
- Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur
Ctrl+F6
, le focus passe à l’un des nœuds en surbrillance (Centre de données Azure ou Pays/Région) dans la vue cartographique. - Pour passer à d’autres nœuds en surbrillance dans la carte, utilisez la touche
Tab
ouRight arrow
pour vous déplacer vers l’avant. Utilisez la toucheShift+Tab
ouLeft arrow
pour vous déplacer vers l’arrière. - Pour sélectionner n’importe quel nœud en surbrillance sur la carte, utilisez la touche
Enter
ouDown arrow
. - Lorsque vous sélectionnez ces nœuds, le focus se déplace vers la boîte à outils Informations du nœud. Par défaut, le focus se déplace sur le bouton Fermer de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches
Right arrow
etLeft arrow
pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer surEnter
a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations. - Quand vous appuyez sur
Tab
et que le focus est sur la boîte à outils Informations, le focus passe aux points de terminaison du même continent que le nœud sélectionné. Utilisez les touchesRight arrow
etLeft arrow
pour parcourir ces points de terminaison. - Pour passer à d’autres clusters de continents/points de terminaison de flux, utilisez
Tab
pour vous déplacer vers l’avant etShift+Tab
pour vous déplacer vers l’arrière. - Quand le focus est sur des clusters de continents, utilisez la touche de direction
Enter
ouDown
pour mettre en surbrillance les points de terminaison dans le cluster de continents. Pour parcourir les points de terminaison et accéder au bouton Fermer de la boîte d’informations du cluster de continents, utilisez les touchesRight arrow
etLeft arrow
pour vous déplacer vers l’avant et vers l’arrière, respectivement. Sur n’importe quel point de terminaison, vous pouvez utiliserShift+L
pour basculer vers la ligne de connexion à partir du nœud sélectionné pour le point de terminaison. Vous pouvez réappuyer surShift+L
pour passer au point de terminaison sélectionné.
Navigation au clavier à tout moment
- La clé
Esc
réduit la sélection développée. - La touche
Up-arrow
effectue la même action queEsc
. La toucheDown arrow
effectue la même action queEnter
. - Utilisez
Shift+Plus
pour effectuer un zoom avant etShift+Minus
pour effectuer un zoom arrière.
Comment faire pour naviguer dans la vue de la topologie des réseaux virtuels à l’aide du clavier ?
La page de la topologie des réseaux virtuels contient deux sections principales :
- Bannière : la bannière en haut de la topologie des réseaux virtuels fournit des boutons pour sélectionner les filtres de distribution du trafic (réseaux virtuels connectés, réseaux virtuels déconnectés, adresses IP publiques, etc.). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la topologie. Par exemple, si vous sélectionnez le bouton Actif, la topologie met en surbrillance les réseaux virtuels actifs dans votre déploiement.
- Topologie : sous la bannière, la section de la topologie montre la distribution du trafic entre les réseaux virtuels.
Navigation au clavier sur la bannière
- La sélection par défaut dans la bannière de la page de la topologie des réseaux virtuels est le filtre « Réseaux virtuels connectés ».
- Pour passer à un autre filtre, utilisez la touche
Tab
pour vous déplacer vers l’avant. Pour vous déplacer vers l’arrière, utilisez la toucheShift+Tab
. La navigation vers l’avant va de gauche à droite, puis de haut en bas. - Appuyez sur
Enter
pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds (réseau virtuel) sous la section de la topologie sont mis en surbrillance. - Pour basculer entre la bannière et la topologie, appuyez sur
Ctrl+F6
.
Navigation au clavier sur la topologie
- Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur
Ctrl+F6
, le focus passe à l’un des nœuds en surbrillance (VNet) dans la vue de la topologie. - Pour passer à d’autres nœuds en surbrillance dans la vue de la topologie, utilisez la touche
Shift+Right arrow
pour vous déplacer vers l’avant. - Sur les nœuds en surbrillance, le focus passe à la boîte à outils Informations du nœud. Par défaut, le focus passe au bouton Plus de détails de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches
Right arrow
etLeft arrow
pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer surEnter
a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations. - Si vous sélectionnez l’un de ces nœuds, appuyez sur la touche
Shift+Left arrow
pour visiter chacune de ses connexions. Le focus passe à la boîte à outils Informations de cette connexion. Vous pouvez à tout moment réappuyer surShift+Right arrow
pour faire revenir le focus sur le nœud.
Comment faire pour naviguer dans la vue de la topologie des sous-réseaux à l’aide du clavier ?
La page de la topologie des sous-réseaux virtuels contient deux sections principales :
- Bannière : la bannière en haut de la topologie des sous-réseaux virtuels fournit des boutons pour sélectionner les filtres de distribution du trafic (sous-réseaux actifs, moyens, de passerelle, etc.). Quand vous sélectionnez un bouton, le filtre correspondant est appliqué sur la topologie. Par exemple, si vous sélectionnez le bouton Actif, la topologie met en surbrillance le sous-réseau virtuel actif dans votre déploiement.
- Topologie : sous la bannière, la section de la topologie montre la distribution du trafic entre les sous-réseaux virtuels.
Navigation au clavier sur la bannière
- La sélection par défaut dans la bannière de la page de la topologie des sous-réseaux virtuels est le filtre « Sous-réseaux ».
- Pour passer à un autre filtre, utilisez la touche
Tab
pour vous déplacer vers l’avant. Pour vous déplacer vers l’arrière, utilisez la toucheShift+Tab
. La navigation vers l’avant va de gauche à droite, puis de haut en bas. - Appuyez sur
Enter
pour appliquer le filtre sélectionné. Selon la sélection de filtre et le déploiement, un ou plusieurs nœuds (sous-réseau) sous la section de la topologie sont mis en surbrillance. - Pour basculer entre la bannière et la topologie, appuyez sur
Ctrl+F6
.
Navigation au clavier sur la topologie
- Une fois que vous avez sélectionné un filtre sur la bannière et appuyé sur
Ctrl+F6
, le focus passe à l’un des nœuds en surbrillance (Sous-réseau) dans la vue de la topologie. - Pour passer à d’autres nœuds en surbrillance dans la vue de la topologie, utilisez la touche
Shift+Right arrow
pour vous déplacer vers l’avant. - Sur les nœuds en surbrillance, le focus passe à la boîte à outils Informations du nœud. Par défaut, le focus passe au bouton Plus de détails de la boîte à outils Informations. Pour vous déplacer davantage dans la vue de la boîte, utilisez les touches
Right arrow
etLeft arrow
pour vous déplacer vers l’avant et vers l’arrière, respectivement. Appuyer surEnter
a le même effet que cliquer sur le bouton actif dans la boîte à outils Informations. - Si vous sélectionnez l’un de ces nœuds, vous pouvez appuyer sur la touche
Shift+Left arrow
pour visiter chacune de ses connexions. Le focus passe à la boîte à outils Informations de cette connexion. Vous pouvez à tout moment réappuyer surShift+Right arrow
pour faire revenir le focus sur le nœud.