Este artículo proporciona respuestas a las preguntas más frecuentes sobre análisis de tráfico en Azure Network Watcher.
¿Qué requisitos previos se necesitan para usar el análisis de tráfico?
Consulte Requisitos previos del análisis de tráfico para ver una lista de los requisitos previos necesarios.
¿Cómo puedo comprobar si tengo los roles necesarios?
Para aprender a comprobar los roles asignados a un usuario en una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante Azure Portal. Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente.
¿Puedo habilitar los registros de flujo para los grupos de seguridad de red que se encuentran en regiones diferentes de mi región de área de trabajo?
Sí, los grupos de seguridad de red pueden estar en regiones diferentes a las del área de trabajo de Log Analytics.
¿Puede haber varios grupos de seguridad de red configurados en una única área de trabajo?
Sí.
¿Se admiten los grupos de seguridad de red clásicos?
No, el análisis de tráfico no admite grupos de seguridad de red clásicos.
¿Por qué el análisis de tráfico no muestra los datos de mis grupos de seguridad de red habilitados para el análisis de tráfico?
En la lista desplegable de selección de recursos del panel Análisis de tráfico, debe seleccionarse el grupo de recursos del recurso Virtual Network, no el grupo de recursos de la máquina virtual o el grupo de seguridad de red.
¿Puedo usar un área de trabajo existente?
Sí. Si selecciona un área de trabajo existente, asegúrese de que se ha migrado al nuevo lenguaje de consulta. Si no quiere actualizar el área de trabajo, debe crear una nueva. Para más información sobre Lenguaje de consulta Kusto (KQL), consulte Consultas de registro en Azure Monitor.
¿La cuenta de Azure Storage y el área de trabajo de Log Analytics pueden estar en suscripciones diferentes?
Sí, la cuenta de Azure Storage puede estar en una suscripción y el área de trabajo de Log Analytics puede estar en otra suscripción.
¿Puedo almacenar registros sin procesar en una suscripción diferente a la que se usa para grupos de seguridad de red o redes virtuales?
Sí. Puede configurar los registros de flujo que se enviarán a una cuenta de almacenamiento ubicada en una suscripción diferente, siempre que tenga los privilegios adecuados y que la cuenta de almacenamiento se encuentre en la misma región que el grupo de seguridad de red (registros de flujo del grupo de seguridad de red) o la red virtual (registros de flujo de red virtual). La cuenta de almacenamiento de destino debe compartir el mismo inquilino de Microsoft Entra del grupo de seguridad de red o la red virtual.
¿Pueden mis cuentas de almacenamiento y recursos de registro de flujo estar en distintos inquilinos?
No. Todos los recursos deben estar en el mismo inquilino, incluidos los grupos de seguridad de red (registros de flujo del grupo de seguridad de red), las redes virtuales (registros de flujo de red virtual), los registros de flujo, las cuentas de almacenamiento y las áreas de trabajo de Log Analytics (si el análisis de tráfico está habilitado).
¿Puedo configurar una directiva de retención diferente para la cuenta de almacenamiento que el área de trabajo de Log Analytics?
Sí.
¿Se perderán los datos almacenados en el área de trabajo de Log Analytics si elimino la cuenta de almacenamiento usada para el registro de flujo?
No. Si elimina la cuenta de almacenamiento que se usa para los registros de flujo, los datos almacenados en el área de trabajo de Log Analytics no se verán afectados. Todavía puede ver datos históricos en el área de trabajo de Log Analytics (algunas métricas se verán afectadas), pero el análisis de tráfico ya no procesará ningún nuevo registro de flujo adicional hasta que actualice los registros de flujo para usar una cuenta de almacenamiento diferente.
¿Qué sucede si no puedo configurar un grupo de seguridad de red para Análisis de tráfico debido a un error del tipo "No se encuentra"?
Seleccione una región compatible. Si selecciona una región que no es compatible, se producirá un error de tipo "No se encuentra". Para más información, consulte Análisis de tráfico de las regiones admitidas.
¿Qué ocurre si obtengo el estado: “No se pudo cargar” en la página de registros de flujo?
Para que los registros de flujo funcionen correctamente, el proveedor Microsoft.Insights
debe estar registrado. Si no está seguro de si el proveedor Microsoft.Insights
está registrado para su suscripción, consulte Azure Portal, PowerShell o las instrucciones de la CLI de Azure sobre cómo registrarlo.
He configurado la solución. ¿Por qué no veo nada en el panel?
La primera vez, el panel puede tardar hasta 30 minutos en mostrar informes. Antes de generar informes, la solución tiene que agregar datos suficientes para poder inferir información detallada relevante.
¿Qué sucede si aparece un mensaje similar al siguiente: "No se encontró ningún dato en el área de trabajo para el intervalo de tiempo seleccionado. Intente cambiar el intervalo de tiempo o seleccione otra área de trabajo"?
Pruebe lo siguiente:
- Cambie el intervalo de tiempo en la barra superior.
- Seleccione otra área de trabajo de Log Analytics en la barra superior.
- Intente acceder a Análisis de tráfico después de 30 minutos, si se ha habilitado recientemente.
Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.
¿Qué sucede si aparece este mensaje: "Analizando registros de flujo de grupos de seguridad de red por primera vez. Este proceso puede tardar de 20 a 30 minutos en completarse. Compruébelo de nuevo más tarde."?
Puede que aparezca este mensaje porque:
- Análisis de tráfico se ha habilitado hace poco tiempo y todavía no se han agregado datos suficientes para inferir información detallada relevante.
- Está utilizando la versión gratuita del área de trabajo de Log Analytics, que ha superado los límites de cuota. Puede que necesite usar un área de trabajo con una mayor capacidad.
Pruebe las soluciones sugeridas para la pregunta anterior. Si los problemas persisten, generen preocupaciones en preguntas y respuestas de Microsoft.
¿Qué sucede si aparece un mensaje similar al siguiente: "Parece que tenemos información sobre los datos del recurso (topología), pero no sobre los flujos. Para más información, pulse aquí para ver los datos de los recursos y consulte las preguntas frecuentes"?
Puede ver información sobre los recursos en el panel; sin embargo, no aparece ninguna estadística relacionada con los flujos. Es posible que estos datos no aparezcan porque no hay flujos de comunicación entre los recursos. Espere 60 minutos y vuelva a comprobar el estado. Si el problema persiste y está seguro de que existen flujos de comunicación entre los recursos, plantea preocupaciones en Microsoft Q&A.
¿Puedo configurar el análisis de tráfico mediante PowerShell?
Puede configurar Análisis de tráfico con Windows PowerShell versión 6.2.1 en adelante. Para configurar el registro de flujo y el análisis de tráfico para un grupo de seguridad de red específico mediante PowerShell, consulte Habilitación de los registros de flujo del grupo de seguridad de red y el análisis de tráfico.
¿Es posible configurar el análisis de tráfico mediante una plantilla de Azure Resource Manager o un archivo de Bicep?
Sí, se puede usar una plantilla de Azure Resource Manager o un archivo de Bicep para configurar el análisis de tráfico. Para obtener más información, consulte Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM) y Configuración de registros de flujo de NSG mediante un archivo de Bicep.
¿Qué precio tiene Análisis de tráfico?
El análisis de tráfico se puede medir. La medición se basa en el procesamiento de los datos de registro de flujo sin procesar por el servicio. Para más información, consulte Precios de Network Watcher.
Los registros mejorados ingeridos en el área de trabajo de Log Analytics se pueden conservar sin cargo por un máximo de 31 días (o 90 días si Microsoft Sentinel está habilitado en el área de trabajo). Para obtener más información, consulte Precios de Azure Monitor.
¿Con qué frecuencia procesa datos de análisis de tráfico?
El intervalo de procesamiento predeterminado del análisis de tráfico es de 60 minutos; sin embargo, puede seleccionar el procesamiento acelerado en intervalos de 10 minutos. Para más información, consulte Agregación de datos en análisis de tráfico.
¿Cómo decide análisis de tráfico si una dirección IP es malintencionada?
Análisis de tráfico se basa en los sistemas de inteligencia de amenazas internos de Microsoft para considerar una dirección IP como malintencionada. Estos sistemas aprovechan diversos orígenes de telemetría, como los productos y servicios de Microsoft, la Unidad de crímenes digitales de Microsoft, el Centro de respuestas de seguridad de Microsoft (MSRC) y fuentes externas, sobre les que crean una gran cantidad de inteligencia. Algunos de estos datos son internos de Microsoft. Si una dirección IP conocida se marca como malintencionada, genere una incidencia de soporte técnico para conocer los detalles.
¿Cómo puedo establecer alertas en los datos de análisis de tráfico?
El análisis de tráfico no tiene compatibilidad integrada con las alertas. Sin embargo, dado que los datos de análisis de tráfico se almacenan en Log Analytics, puede escribir consultas personalizadas y establecer alertas en estas. Siga estos pasos:
- Puede usar el vínculo de Log Analytics en análisis de tráfico.
- Use el esquema de análisis de tráfico para escribir las consultas.
- Seleccione Nueva regla de alertas para crear la alerta.
- Consulte Crear regla de alerta para crear la alerta.
¿Cómo puedo comprobar cuáles máquinas virtuales reciben más tráfico local?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Para las IP, puede usar la siguiente consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Para las horas, use el formato: aaaa-mm-dd 00:00:00
¿Cómo puedo comprobar la desviación estándar del tráfico que reciben las máquinas virtuales desde máquinas locales?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Para las direcciones IP:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
¿Cómo puedo comprobar qué puertos son accesibles (o están bloqueados) entre pares de direcciones IP con reglas de NSG?
Use la consulta siguiente:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
¿Cómo puedo navegar con el teclado en la vista del mapa geográfico?
La página del mapa geográfico se compone de dos secciones principales:
- Banner: el banner de la parte superior del mapa geográfico proporciona botones para seleccionar los filtros de distribución de tráfico (por ejemplo, Implementación, Tráfico de países o regiones y Malintencionado). Si selecciona un botón, se aplica el filtro correspondiente en el mapa. Por ejemplo, si selecciona el botón Activo, el mapa resalta los centros de datos activos de la implementación.
- Mapa: la sección del mapa situada bajo el banner muestra la distribución del tráfico entre los centros de datos y los países o regiones de Azure.
Navegación por el banner con el teclado
- De forma predeterminada, el filtro seleccionado para el banner en la página del mapa geográfico es el filtro "Centros de datos de Azure".
- Para cambiar de filtro, use la tecla
Tab
o la teclaRight arrow
. Para volver al filtro anterior, use la teclaShift+Tab
o la teclaLeft arrow
. La navegación hacia delante es de izquierda a derecha y de arriba abajo. - Presione la tecla de dirección
Enter
oDown
para aplicar el filtro seleccionado. En función del filtro y de la implementación, se resaltarán uno o varios nodos de la sección del mapa. - Para cambiar entre el banner y el mapa, presione
Ctrl+F6
.
Navegación por el mapa con el teclado
- Si selecciona un filtro en el banner y presiona
Ctrl+F6
, el foco se mueve a uno de los nodos resaltados (Centro de datos de Azure o País o región) de la vista del mapa. - Para moverse a otros nodos resaltados del mapa, use la tecla
Tab
oRight arrow
para avanzar hacia delante. Use la teclaShift+Tab
oLeft arrow
para el volver hacia atrás. - Para seleccionar un nodo resaltado del mapa, utilice la tecla
Enter
oDown arrow
. - Cuando se selecciona uno de estos nodos, el foco se desplaza al cuadro de herramientas de información del nodo. De forma predeterminada, el foco se desplaza al botón Cerrar del cuadro de herramientas de información. Si desea moverse dentro de la vista del cuadro, utilice las teclas
Right arrow
yLeft arrow
para moverse hacia delante y hacia atrás, respectivamente. Si presionaEnter
, conseguirá el mismo efecto que si selecciona el botón con el foco en el cuadro de herramientas de información. - Si presiona
Tab
mientras el foco se encuentra en el cuadro de herramientas de información, el foco se desplazará a los puntos de conexión que están en el mismo continente que el nodo seleccionado. Use las teclasRight arrow
yLeft arrow
para moverse por estos puntos de conexión. - Si desea moverse a otros puntos de conexión del flujo o a otros clústeres del continente, utilice
Tab
para moverse hacia delante yShift+Tab
para moverse hacia atrás. - Una vez que el foco esté en los clústeres de continentes utilice las teclas de dirección
Enter
oDown
para resaltar los puntos de conexión del clúster de continentes. Si desea moverse por los puntos de conexión y el botón Cerrar del cuadro informativo del clúster de continentes, utilice la teclaRight arrow
oLeft arrow
para moverse hacia delante y hacia atrás, respectivamente. Puede utilizarShift+L
en cualquier punto de conexión para cambiar a la línea de conexión que une el nodo seleccionado con el punto de conexión. Puede presionarShift+L
de nuevo para moverse al punto de conexión seleccionado.
Navegación mediante el teclado en cualquier etapa
- La clave
Esc
contrae la selección expandida. - La tecla
Up-arrow
realiza la misma acción queEsc
. La teclaDown arrow
realiza la misma acción queEnter
. - Use
Shift+Plus
para acercar el zoom yShift+Minus
para alejarlo.
¿Cómo puedo navegar con el teclado en la vista de la topología de red virtual?
La página de topología de redes virtuales contiene dos secciones principales:
- Banner: el banner situado en la parte superior de la topología de redes virtuales proporciona botones para seleccionar los filtros de distribución de tráfico (por ejemplo, Redes virtuales conectadas, Redes virtuales desconectadas y Direcciones IP públicas). Si selecciona un botón, se aplica el filtro correspondiente en la topología. Por ejemplo, si selecciona el botón Activo, la topología resalta las redes virtuales activas de la implementación.
- Topología: la sección de topología, situada por debajo del banner, muestra la distribución del tráfico entre redes virtuales.
Navegación por el banner con el teclado
- De forma predeterminada, la opción seleccionada en la página de topología de redes virtuales para el banner es el filtro "Redes virtuales conectadas".
- Para cambiar de filtro, use la tecla
Tab
para moverse hacia delante. Para hacerlo hacia atrás, use la teclaShift+Tab
. La navegación hacia delante es de izquierda a derecha y de arriba abajo. - Presione
Enter
para aplicar el filtro seleccionado. En función del filtro y de la implementación, se resaltarán uno o varios nodos (redes virtuales) en la sección de topología. - Para cambiar entre el banner y la topología, presione
Ctrl+F6
.
Navegación por la topología con el teclado
- Si hay un filtro seleccionado en el banner y se presiona
Ctrl+F6
, el foco se mueve a uno de los nodos resaltados (Red virtual) de la vista de la topología. - Para moverse a otros nodos resaltados de la vista de topología, use la tecla
Shift+Right arrow
para avanzar hacia delante. - Cuando se selecciona uno de estos nodos, el foco se desplaza al cuadro de herramientas de información del nodo. De forma predeterminada, el foco se desplaza al botón Más información del cuadro de herramientas de información. Si desea moverse dentro de la vista del cuadro, utilice las teclas
Right arrow
yLeft arrow
para moverse hacia delante y hacia atrás, respectivamente. Si presionaEnter
, conseguirá el mismo efecto que si selecciona el botón con el foco en el cuadro de herramientas de información. - En la selección de cualquiera de estos nodos, puede visitar todas sus conexiones, una a una, presionando la tecla
Shift+Left arrow
. El foco se mueve al cuadro de herramientas de información de esa conexión. En cualquier momento, el foco se puede desplazar hacia el nodo presionandoShift+Right arrow
de nuevo.
¿Cómo puedo navegar con el teclado en la vista de la topología de subred?
La página de topología de subredes virtuales contiene dos secciones principales:
- Banner: el banner de la parte superior de la topología de subredes virtuales proporciona botones para seleccionar filtros de distribución de tráfico (por ejemplo, Activo, Medio y Subredes de puerta de enlace). Si selecciona un botón, se aplica el filtro correspondiente en la topología. Por ejemplo, si selecciona el botón Activo, la topología resalta las subredes virtuales activas de la implementación.
- Topología: la sección de topología, situada por debajo del banner, muestra la distribución del tráfico entre subredes virtuales.
Navegación por el banner con el teclado
- De forma predeterminada, la opción seleccionada en la página de topología de subredes virtuales para el banner es el filtro "Subredes virtuales".
- Para cambiar de filtro, use la tecla
Tab
para moverse hacia delante. Para hacerlo hacia atrás, use la teclaShift+Tab
. La navegación hacia delante es de izquierda a derecha y de arriba abajo. - Presione
Enter
para aplicar el filtro seleccionado. En función del filtro y de la implementación, se resaltarán uno o varios nodos (subred) de la sección de topología. - Para cambiar entre el banner y la topología, presione
Ctrl+F6
.
Navegación por la topología con el teclado
- Si hay un filtro seleccionado en el banner y se presiona
Ctrl+F6
, el foco se mueve a uno de los nodos resaltados (Subred) de la vista de la topología. - Para moverse a otros nodos resaltados de la vista de topología, use la tecla
Shift+Right arrow
para avanzar hacia delante. - Cuando se selecciona uno de estos nodos, el foco se desplaza al cuadro de herramientas de información del nodo. De forma predeterminada, el foco se desplaza al botón Más información del cuadro de herramientas de información. Si desea moverse dentro de la vista del cuadro, utilice las teclas
Right arrow
yLeft arrow
para moverse hacia delante y hacia atrás, respectivamente. Si presionaEnter
, conseguirá el mismo efecto que si selecciona el botón con el foco en el cuadro de herramientas de información. - En la selección de cualquiera de estos nodos, puede visitar todas sus conexiones, una a una, presionando la tecla
Shift+Left arrow
. El foco se mueve al cuadro de herramientas de información de esa conexión. En cualquier momento, el foco se puede desplazar hacia el nodo presionandoShift+Right arrow
de nuevo.