Szerkesztés

Megosztás a következőn keresztül:

Traffic Analytics – gyakori kérdések (GYIK)

  • GYIK

Ez a cikk az Azure Network Watcher forgalomelemzésével kapcsolatos leggyakoribb kérdésekre ad választ.

Milyen előfeltételek szükségesek a forgalomelemzés használatához?

A szükséges előfeltételek listájához tekintse meg a Traffic Analytics előfeltételeit.

Hogyan ellenőrizhetim, hogy rendelkezem-e a szükséges szerepkörök használatával?

Ha tudni szeretné, hogyan ellenőrizheti a felhasználóhoz hozzárendelt szerepköröket egy előfizetéshez, olvassa el az Azure-szerepkör-hozzárendelések listázása az Azure Portalon című témakört. Ha nem látja a szerepkör-hozzárendeléseket, forduljon az adott előfizetés rendszergazdájához.

Engedélyezhetim a folyamatnaplókat olyan hálózati biztonsági csoportok számára, amelyek a munkaterületi régiómtól eltérő régiókban találhatók?

Igen, a hálózati biztonsági csoportok különböző régiókban lehetnek, mint a Log Analytics-munkaterület régiója.

Több hálózati biztonsági csoport is konfigurálható egyetlen munkaterületen belül?

Igen.

Támogatottak a klasszikus hálózati biztonsági csoportok?

Nem, a forgalomelemzés nem támogatja a klasszikus hálózati biztonsági csoportokat.

Miért nem jeleníti meg a forgalomelemzés a forgalomelemzés által engedélyezett hálózati biztonsági csoportok adatait?

A forgalomelemzési irányítópult erőforrás-kiválasztási legördülő listájában a virtuális hálózati erőforrás erőforráscsoportját kell kijelölni, nem pedig a virtuális gép vagy a hálózati biztonsági csoport erőforráscsoportját.

Használhatok meglévő munkaterületet?

Igen. Ha kiválaszt egy meglévő munkaterületet, győződjön meg arról, hogy az át lett migrálva az új lekérdezési nyelvre. Ha nem szeretné frissíteni a munkaterületet, létre kell hoznia egy újat. A Kusto lekérdezésnyelv (KQL) kapcsolatos további információkért lásd: Naplólekérdezések az Azure Monitorban.

Az Azure Storage-fiókom lehet egy előfizetésben, a Log Analytics-munkaterületem pedig egy másik előfizetésben?

Igen, az Azure Storage-fiókja egy előfizetésben lehet, a Log Analytics-munkaterület pedig egy másik előfizetésben.

Tárolhatok nyers naplókat egy másik előfizetésben, mint a hálózati biztonsági csoportokhoz vagy virtuális hálózatokhoz használt előfizetés?

Igen. Konfigurálhatja, hogy a folyamatnaplók egy másik előfizetésben található tárfiókba legyenek elküldve, feltéve, hogy rendelkezik a megfelelő jogosultságokkal, és hogy a tárfiók ugyanabban a régióban található, mint a hálózati biztonsági csoport (hálózati biztonsági csoport folyamatnaplói) vagy a virtuális hálózat (virtuális hálózati folyamatnaplók). A céltárfióknak a hálózati biztonsági csoport vagy virtuális hálózat ugyanazon Microsoft Entra-bérlőjével kell rendelkeznie.

A folyamatnapló erőforrásai és tárfiókjaim különböző bérlőkben lehetnek?

Szám Minden erőforrásnak ugyanabban a bérlőben kell lennie, beleértve a hálózati biztonsági csoportokat (hálózati biztonsági csoport folyamatnaplóit), a virtuális hálózatokat (virtuális hálózati folyamatnaplókat), a folyamatnaplókat, a tárfiókokat és a Log Analytics-munkaterületeket (ha a forgalomelemzés engedélyezve van).

Konfigurálhatok más adatmegőrzési szabályzatot a tárfiókhoz, mint a Log Analytics-munkaterülethez?

Igen.

Elveszítem a Log Analytics-munkaterületen tárolt adatokat, ha törlim a folyamatnaplózáshoz használt tárfiókot?

Szám Ha törli a folyamatnaplókhoz használt tárfiókot, a Log Analytics-munkaterületen tárolt adatokra nem lesz hatással. Továbbra is megtekintheti az előzményadatokat a Log Analytics-munkaterületen (egyes metrikákra hatással lesz), de a forgalomelemzés nem dolgoz fel új további folyamatnaplókat, amíg nem frissíti a folyamatnaplókat egy másik tárfiók használatára.

Mi a teendő, ha nem tudok hálózati biztonsági csoportot konfigurálni a forgalomelemzéshez a "Nem található" hiba miatt?

Válasszon egy támogatott régiót. Ha nem támogatott régiót választ, "Nem található" hibaüzenet jelenik meg. További információ: Traffic Analytics által támogatott régiók.

Mi a teendő, ha a folyamatnaplók lapon a "Nem sikerült betölteni" állapotot kapom?

A Microsoft.Insights szolgáltatónak regisztrálnia kell a folyamatnaplózás megfelelő működéséhez. Ha nem biztos abban, hogy a Microsoft.Insights szolgáltató regisztrálva van-e az előfizetéséhez, olvassa el az Azure Portalon, a PowerShellben vagy az Azure CLI-ben a regisztrációval kapcsolatos utasításokat.

Konfiguráltam a megoldást. Miért nem látok semmit az irányítópulton?

Az irányítópult első alkalommal akár 30 percet is igénybe vehet a jelentések megjelenítéséhez. A megoldásnak először elegendő adatot kell összesítenie ahhoz, hogy értelmes megállapításokat nyerjen, majd jelentéseket hoz létre.

Mi történik, ha a következő üzenet jelenik meg: "A munkaterületen nem található adat a kiválasztott időintervallumhoz. Próbálja meg módosítani az időintervallumot, vagy válasszon másik munkaterületet."?

Próbálja ki a következő lehetőségeket:

  • Módosítsa az időintervallumot a felső sávon.
  • Válasszon egy másik Log Analytics-munkaterületet a felső sávon.
  • Próbálja meg elérni a forgalomelemzést 30 perc után, ha nemrég engedélyezve volt.

Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.

Mi a teendő, ha a következő üzenet jelenik meg: "Az NSG-folyamatnaplók első elemzése. Ez a folyamat 20-30 percet is igénybe vehet. Vissza egy kis idő után."?

Ez az üzenet a következő esetekben jelenhet meg:

  • A traffic analytics nemrég engedélyezve lett, és lehet, hogy még nem összesít elegendő adatot ahhoz, hogy értelmes megállapításokat nyerjen.
  • A Log Analytics-munkaterület ingyenes verzióját használja, és túllépte a kvótakorlátokat. Előfordulhat, hogy nagyobb kapacitású munkaterületet kell használnia.

Próbálja ki az előző kérdés javasolt megoldásait. Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.

Mi a teendő, ha a következő üzenet jelenik meg: "Úgy tűnik, hogy erőforrásadatokkal (topológiával) rendelkezünk, és nincsenek folyamatinformációk. További információkért kattintson ide az erőforrások adatainak megtekintéséhez, és tekintse meg a gyakori kérdéseket."?

Az erőforrások adatait az irányítópulton látja; azonban nincsenek áramlással kapcsolatos statisztikák. Előfordulhat, hogy az adatok nem lehetnek jelen, mert nincsenek kommunikációs folyamatok az erőforrások között. Várjon 60 percet, és ellenőrizze újra az állapotot. Ha a probléma továbbra is fennáll, és biztos benne, hogy az erőforrások közötti kommunikációs folyamatok léteznek, aggályokat vethet fel a Microsoft Q&A-ban.

Konfigurálhatom a forgalomelemzést a PowerShell használatával?

A forgalomelemzést a Windows PowerShell 6.2.1-es és újabb verziójával konfigurálhatja. Ha egy adott hálózati biztonsági csoport folyamatnaplózását és forgalomelemzését szeretné konfigurálni a PowerShell használatával, olvassa el a hálózati biztonsági csoportok folyamatnaplóinak és forgalomelemzésének engedélyezése című témakört.

Konfigurálhatok forgalomelemzést Azure Resource Manager-sablon vagy Bicep-fájl használatával?

Igen, használhat egy Azure Resource Manager-sablont vagy egy Bicep-fájlt a forgalomelemzés konfigurálásához. További információ: NSG-folyamatnaplók konfigurálása Azure Resource Manager-sablonnal (ARM) és NSG-folyamatnaplók konfigurálása Bicep-fájl használatával.

Hogyan történik a forgalomelemzés ára?

A forgalomelemzés mérése történik. A mérés a folyamatnapló-adatok szolgáltatás általi feldolgozásán és az eredményként kapott továbbfejlesztett naplók Log Analytics-munkaterületen való tárolásán alapul.

Például a Network Watcher díjszabása és az Azure Monitor díjszabása szerint, figyelembe véve az USA nyugati középső régióját, ha a forgalomnaplók adatai a forgalomelemzés által feldolgozott tárfiókban tárolt adatok 10 GB, a Log Analytics-munkaterületen betöltött bővített naplók pedig 1 GB, akkor a vonatkozó díjak a következők: 10 x 2,3$ + 1 x 2,76$ = 25,76$

Milyen gyakran dolgozza fel a forgalomelemzés az adatokat?

A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, de a gyorsított feldolgozást 10 perces időközönként választhatja ki. További információ: Adatösszesítés a forgalomelemzésben.

Hogyan dönti el a forgalomelemzés, hogy az IP-cím rosszindulatú?

A traffic analytics a Microsoft belső fenyegetésintelligencia-rendszereire támaszkodik, hogy rosszindulatúnak minősítse az IP-címet. Ezek a rendszerek különféle telemetriai forrásokat használnak, például a Microsoft-termékeket és -szolgáltatásokat, a Microsoft Digital Crimes Unit (DCU), a Microsoft Security Response Centert (MSRC) és a külső hírcsatornákat, és sok intelligenciát építenek ki rá. Ezen adatok némelyike a Microsoft Internal. Ha egy ismert IP-címet rosszindulatúként jelölnek meg, a részletek megismeréséhez támogatási jegyet kell létrehoznia.

Hogyan állíthatok be riasztásokat a forgalomelemzési adatokkal kapcsolatban?

A Traffic Analytics nem támogatja a riasztásokat. Mivel azonban a forgalomelemzési adatok a Log Analyticsben vannak tárolva, egyéni lekérdezéseket írhat, és riasztásokat állíthat be rajtuk. Tegye a következők egyikét:

  • A Log Analytics-hivatkozást a forgalomelemzésben használhatja.
  • A lekérdezések írásához használja a traffic analytics sémát .
  • Válassza az Új riasztási szabály lehetőséget a riasztás létrehozásához.
  • A riasztás létrehozásához lásd : Új riasztási szabály létrehozása.

Hogyan ellenőrizze, hogy mely virtuális gépek kapják a legtöbb helyszíni forgalmat?

Használja a következő lekérdezést:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

IP-címek esetén használja a következő lekérdezést:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Idő szerint használja a következő formátumot: yyyy-mm-dd 00:00:00

Hogyan ellenőrizze a virtuális gépek által a helyszíni gépekről érkező forgalom szórását?

Használja a következő lekérdezést:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

IP-címek esetén:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Hogyan ellenőrizze, hogy mely portok érhetők el (vagy tilthatók le) az NSG-szabályokkal rendelkező IP-párok között?

Használja a következő lekérdezést:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Hogyan navigálhatok a billentyűzettel a geotérkép nézetben?

A geotérkép oldal két fő szakaszt tartalmaz:

  • Szalagcím: A geotérkép tetején látható szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például üzembe helyezés, országokból/régiókból érkező forgalom és rosszindulatú). Amikor kiválaszt egy gombot, a megfelelő szűrő lesz alkalmazva a térképen. Ha például az Aktív gombot választja, a térkép kiemeli az üzemelő példány aktív adatközpontjait.
  • Térkép: A transzparens alatt a térképszakasz az Azure-adatközpontok és országok/régiók közötti forgalomeloszlást mutatja be.

Billentyűzet-navigáció a szalagcímen

  • Alapértelmezés szerint a transzparens geotérkép oldalán az "Azure DCs" szűrő van kiválasztva.
  • Ha másik szűrőre szeretne lépni, használja a kulcsot vagy a TabRight arrow kulcsot. Ha visszafelé szeretne lépni, használja a kulcsot vagy a Shift+TabLeft arrow kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad.
  • A kijelölt szűrő alkalmazásához nyomja Enter le vagy Down nyomja le a nyílbillentyűt. A szűrőkijelölés és az üzembe helyezés alapján a térképszakaszban egy vagy több csomópont van kiemelve.
  • A transzparens és a térkép közötti váltáshoz nyomja le a gombot Ctrl+F6.

Billentyűzet-navigáció a térképen

  • Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta a billentyűt Ctrl+F6, a fókusz a térképnézetben az egyik kiemelt csomópontra (Azure-adatközpontra vagy országra/régióra) kerül.
  • Ha a térkép más kiemelt csomópontjaira szeretne lépni, használja Tab vagy a kulcsot a Right arrow továbbításhoz. A visszafelé irányuló mozgáshoz használja Shift+Tab vagy használja a Left arrow kulcsot.
  • A kijelölt csomópontok térképen való kijelöléséhez használja a vagy a EnterDown arrow kulcsot.
  • Az ilyen csomópontok kiválasztása során a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező zárt gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, a billentyűkkel Right arrowLeft arrow előre és hátrafelé haladhat. A gomb lenyomása Enter ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben.
  • Amikor lenyomja Tab , amíg a fókusz az Információs eszközmezőn van, a fókusz a kijelölt csomóponttal azonos kontinens végpontjára kerül. A végpontok között az és Left arrow a Right arrow kulcsok használatával mozoghat.
  • Ha más folyamatvégpontokra vagy kontinensfürtökre szeretne áttérni, használja Tab az előre és Shift+Tab a hátrafelé irányuló mozgáshoz.
  • Ha a fókusz a kontinensfürtökön van, az vagy Down a Enter nyílbillentyűkkel jelölje ki a kontinensfürtön belüli végpontokat. A végpontok és a kontinensfürt információs mezőjének bezárás gombja közötti mozgáshoz használja az előre- és hátrafelé irányuló mozgást vagy a Right arrowLeft arrow kulcsot. Bármely végponton átválthat Shift+L a kapcsolati vonalra a kijelölt csomópontról a végpontra. Ismét lenyomva Shift+L léphet a kijelölt végpontra.

Billentyűzet navigáció bármely szakaszában

  • A Esc kulcs összecsukja a kibontott kijelölést.
  • A Up-arrow kulcs ugyanazt a műveletet hajtja végre, mint a Esc. A Down arrow kulcs ugyanazt a műveletet hajtja végre, mint a Enter.
  • A nagyításhoz és Shift+Minus a kicsinyítéshez használhatóShift+Plus.

Hogyan navigálhatok a billentyűzettel a virtuális hálózati topológia nézetben?

A virtuális hálózatok topológiaoldala két fő szakaszt tartalmaz:

  • Szalagcím: A virtuális hálózatok topológiájának tetején található szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például Csatlakozás virtuális hálózatokat, leválasztott virtuális hálózatokat és nyilvános IP-címeket). Amikor kiválaszt egy gombot, a rendszer a megfelelő szűrőt alkalmazza a topológiára. Ha például az Aktív gombot választja, a topológia kiemeli az üzemelő példány aktív virtuális hálózatait.
  • Topológia: A szalagcím alatt a topológia szakasz a virtuális hálózatok közötti forgalomeloszlást mutatja.

Billentyűzet-navigáció a szalagcímen

  • Alapértelmezés szerint a szalagcím virtuális hálózatok topológia lapján a "Csatlakozás virtuális hálózatok" szűrő van kiválasztva.
  • Ha másik szűrőre szeretne lépni, a Tab kulccsal lépjen tovább. A visszalépéshez használja a Shift+Tab kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad.
  • Nyomja le Enter a kijelölt szűrő alkalmazását. A szűrő kiválasztása és üzembe helyezése alapján a topológia szakaszban egy vagy több csomópont (virtuális hálózat) lesz kiemelve.
  • A transzparens és a topológia közötti váltáshoz nyomja le a következőt Ctrl+F6: .

Billentyűzet-navigáció a topológián

  • Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta Ctrl+F6, a fókusz a topológia nézetben az egyik kiemelt csomópontra (VNet) kerül.
  • Ha a topológia nézetben más kiemelt csomópontokra szeretne lépni, használja a kulcsot a Shift+Right arrow továbbításhoz.
  • A kiemelt csomópontokon a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező További részletek gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, az és Left arrow a Right arrow billentyűkkel lépjen előre és hátra. A gomb lenyomása Enter ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben.
  • Az ilyen csomópontok kiválasztásával egyenként felkeresheti az összes kapcsolatát a Shift+Left arrow kulcs lenyomásával. A fókusz a kapcsolat Információs eszköz mezőjére kerül. A fókusz bármikor visszahelyezhető a csomópontra az újranyomással Shift+Right arrow .

Hogyan navigálhatok a billentyűzettel az alhálózati topológia nézetben?

A virtuális alhálózatok topológiaoldala két fő szakaszt tartalmaz:

  • Szalagcím: A virtuális alhálózatok topológiájának tetején található szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például aktív, közepes és átjáró alhálózatokat). Amikor kiválaszt egy gombot, a rendszer a megfelelő szűrőt alkalmazza a topológiára. Ha például az Aktív gombot választja, a topológia kiemeli az üzemelő példány aktív virtuális alhálózatát.
  • Topológia: A szalagcím alatt a topológia szakasz a virtuális alhálózatok közötti forgalomeloszlást mutatja.

Billentyűzet-navigáció a szalagcímen

  • Alapértelmezés szerint a szalagcím virtuális alhálózati topológia lapján az "Alhálózatok" szűrő van kiválasztva.
  • Ha másik szűrőre szeretne lépni, a Tab kulccsal lépjen tovább. A visszalépéshez használja a Shift+Tab kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad.
  • Nyomja le Enter a kijelölt szűrő alkalmazását. A szűrőkijelölés és az üzembe helyezés alapján a topológia szakaszban egy vagy több csomópont (alhálózat) lesz kiemelve.
  • A transzparens és a topológia közötti váltáshoz nyomja le a következőt Ctrl+F6: .

Billentyűzet-navigáció a topológián

  • Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta Ctrl+F6, a fókusz a topológia nézetben az egyik kiemelt csomópontra (Alhálózatra) kerül.
  • Ha a topológia nézetben más kiemelt csomópontokra szeretne lépni, használja a kulcsot a Shift+Right arrow továbbításhoz.
  • A kiemelt csomópontokon a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező További részletek gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, a billentyűkkel Right arrowLeft arrow előre és hátrafelé haladhat. A gomb lenyomása Enter ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben.
  • Az ilyen csomópontok kiválasztása esetén a kulcs lenyomásával Shift+Left arrow egyenként felkeresheti az összes kapcsolatát. A fókusz a kapcsolat Információs eszköz mezőjére kerül. A fókusz bármikor visszahelyezhető a csomópontra az újranyomással Shift+Right arrow .