Ez a cikk az Azure Network Watcher forgalomelemzésével kapcsolatos leggyakoribb kérdésekre ad választ.
Milyen előfeltételek szükségesek a forgalomelemzés használatához?
A szükséges előfeltételek listájához tekintse meg a Traffic Analytics előfeltételeit.
Hogyan ellenőrizhetim, hogy rendelkezem-e a szükséges szerepkörök használatával?
Ha tudni szeretné, hogyan ellenőrizheti a felhasználóhoz hozzárendelt szerepköröket egy előfizetéshez, olvassa el az Azure-szerepkör-hozzárendelések listázása az Azure Portalon című témakört. Ha nem látja a szerepkör-hozzárendeléseket, forduljon az adott előfizetés rendszergazdájához.
Engedélyezhetim a folyamatnaplókat olyan hálózati biztonsági csoportok számára, amelyek a munkaterületi régiómtól eltérő régiókban találhatók?
Igen, a hálózati biztonsági csoportok különböző régiókban lehetnek, mint a Log Analytics-munkaterület régiója.
Több hálózati biztonsági csoport is konfigurálható egyetlen munkaterületen belül?
Igen.
Támogatottak a klasszikus hálózati biztonsági csoportok?
Nem, a forgalomelemzés nem támogatja a klasszikus hálózati biztonsági csoportokat.
Miért nem jeleníti meg a forgalomelemzés a forgalomelemzés által engedélyezett hálózati biztonsági csoportok adatait?
A forgalomelemzési irányítópult erőforrás-kiválasztási legördülő listájában a virtuális hálózati erőforrás erőforráscsoportját kell kijelölni, nem pedig a virtuális gép vagy a hálózati biztonsági csoport erőforráscsoportját.
Használhatok meglévő munkaterületet?
Igen. Ha kiválaszt egy meglévő munkaterületet, győződjön meg arról, hogy az át lett migrálva az új lekérdezési nyelvre. Ha nem szeretné frissíteni a munkaterületet, létre kell hoznia egy újat. A Kusto lekérdezésnyelv (KQL) kapcsolatos további információkért lásd: Naplólekérdezések az Azure Monitorban.
Az Azure Storage-fiókom lehet egy előfizetésben, a Log Analytics-munkaterületem pedig egy másik előfizetésben?
Igen, az Azure Storage-fiókja egy előfizetésben lehet, a Log Analytics-munkaterület pedig egy másik előfizetésben.
Tárolhatok nyers naplókat egy másik előfizetésben, mint a hálózati biztonsági csoportokhoz vagy virtuális hálózatokhoz használt előfizetés?
Igen. Konfigurálhatja, hogy a folyamatnaplók egy másik előfizetésben található tárfiókba legyenek elküldve, feltéve, hogy rendelkezik a megfelelő jogosultságokkal, és hogy a tárfiók ugyanabban a régióban található, mint a hálózati biztonsági csoport (hálózati biztonsági csoport folyamatnaplói) vagy a virtuális hálózat (virtuális hálózati folyamatnaplók). A céltárfióknak a hálózati biztonsági csoport vagy virtuális hálózat ugyanazon Microsoft Entra-bérlőjével kell rendelkeznie.
A folyamatnapló erőforrásai és tárfiókjaim különböző bérlőkben lehetnek?
Szám Minden erőforrásnak ugyanabban a bérlőben kell lennie, beleértve a hálózati biztonsági csoportokat (hálózati biztonsági csoport folyamatnaplóit), a virtuális hálózatokat (virtuális hálózati folyamatnaplókat), a folyamatnaplókat, a tárfiókokat és a Log Analytics-munkaterületeket (ha a forgalomelemzés engedélyezve van).
Konfigurálhatok más adatmegőrzési szabályzatot a tárfiókhoz, mint a Log Analytics-munkaterülethez?
Igen.
Elveszítem a Log Analytics-munkaterületen tárolt adatokat, ha törlim a folyamatnaplózáshoz használt tárfiókot?
Szám Ha törli a folyamatnaplókhoz használt tárfiókot, a Log Analytics-munkaterületen tárolt adatokra nem lesz hatással. Továbbra is megtekintheti az előzményadatokat a Log Analytics-munkaterületen (egyes metrikákra hatással lesz), de a forgalomelemzés nem dolgoz fel új további folyamatnaplókat, amíg nem frissíti a folyamatnaplókat egy másik tárfiók használatára.
Mi a teendő, ha nem tudok hálózati biztonsági csoportot konfigurálni a forgalomelemzéshez a "Nem található" hiba miatt?
Válasszon egy támogatott régiót. Ha nem támogatott régiót választ, "Nem található" hibaüzenet jelenik meg. További információ: Traffic Analytics által támogatott régiók.
Mi a teendő, ha a folyamatnaplók lapon a "Nem sikerült betölteni" állapotot kapom?
A Microsoft.Insights
szolgáltatónak regisztrálnia kell a folyamatnaplózás megfelelő működéséhez. Ha nem biztos abban, hogy a Microsoft.Insights
szolgáltató regisztrálva van-e az előfizetéséhez, olvassa el az Azure Portalon, a PowerShellben vagy az Azure CLI-ben a regisztrációval kapcsolatos utasításokat.
Konfiguráltam a megoldást. Miért nem látok semmit az irányítópulton?
Az irányítópult első alkalommal akár 30 percet is igénybe vehet a jelentések megjelenítéséhez. A megoldásnak először elegendő adatot kell összesítenie ahhoz, hogy értelmes megállapításokat nyerjen, majd jelentéseket hoz létre.
Mi történik, ha a következő üzenet jelenik meg: "A munkaterületen nem található adat a kiválasztott időintervallumhoz. Próbálja meg módosítani az időintervallumot, vagy válasszon másik munkaterületet."?
Próbálja ki a következő lehetőségeket:
- Módosítsa az időintervallumot a felső sávon.
- Válasszon egy másik Log Analytics-munkaterületet a felső sávon.
- Próbálja meg elérni a forgalomelemzést 30 perc után, ha nemrég engedélyezve volt.
Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.
Mi a teendő, ha a következő üzenet jelenik meg: "Az NSG-folyamatnaplók első elemzése. Ez a folyamat 20-30 percet is igénybe vehet. Vissza egy kis idő után."?
Ez az üzenet a következő esetekben jelenhet meg:
- A traffic analytics nemrég engedélyezve lett, és lehet, hogy még nem összesít elegendő adatot ahhoz, hogy értelmes megállapításokat nyerjen.
- A Log Analytics-munkaterület ingyenes verzióját használja, és túllépte a kvótakorlátokat. Előfordulhat, hogy nagyobb kapacitású munkaterületet kell használnia.
Próbálja ki az előző kérdés javasolt megoldásait. Ha a problémák továbbra is fennállnak, aggályokat vet fel a Microsoft Q&A-ban.
Mi a teendő, ha a következő üzenet jelenik meg: "Úgy tűnik, hogy erőforrásadatokkal (topológiával) rendelkezünk, és nincsenek folyamatinformációk. További információkért kattintson ide az erőforrások adatainak megtekintéséhez, és tekintse meg a gyakori kérdéseket."?
Az erőforrások adatait az irányítópulton látja; azonban nincsenek áramlással kapcsolatos statisztikák. Előfordulhat, hogy az adatok nem lehetnek jelen, mert nincsenek kommunikációs folyamatok az erőforrások között. Várjon 60 percet, és ellenőrizze újra az állapotot. Ha a probléma továbbra is fennáll, és biztos benne, hogy az erőforrások közötti kommunikációs folyamatok léteznek, aggályokat vethet fel a Microsoft Q&A-ban.
Konfigurálhatom a forgalomelemzést a PowerShell használatával?
A forgalomelemzést a Windows PowerShell 6.2.1-es és újabb verziójával konfigurálhatja. Ha egy adott hálózati biztonsági csoport folyamatnaplózását és forgalomelemzését szeretné konfigurálni a PowerShell használatával, olvassa el a hálózati biztonsági csoportok folyamatnaplóinak és forgalomelemzésének engedélyezése című témakört.
Konfigurálhatok forgalomelemzést Azure Resource Manager-sablon vagy Bicep-fájl használatával?
Igen, használhat egy Azure Resource Manager-sablont vagy egy Bicep-fájlt a forgalomelemzés konfigurálásához. További információ: NSG-folyamatnaplók konfigurálása Azure Resource Manager-sablonnal (ARM) és NSG-folyamatnaplók konfigurálása Bicep-fájl használatával.
Hogyan történik a forgalomelemzés ára?
A forgalomelemzés mérése történik. A mérés a folyamatnapló-adatok szolgáltatás általi feldolgozásán és az eredményként kapott továbbfejlesztett naplók Log Analytics-munkaterületen való tárolásán alapul.
Például a Network Watcher díjszabása és az Azure Monitor díjszabása szerint, figyelembe véve az USA nyugati középső régióját, ha a forgalomnaplók adatai a forgalomelemzés által feldolgozott tárfiókban tárolt adatok 10 GB, a Log Analytics-munkaterületen betöltött bővített naplók pedig 1 GB, akkor a vonatkozó díjak a következők: 10 x 2,3$ + 1 x 2,76$ = 25,76$
Milyen gyakran dolgozza fel a forgalomelemzés az adatokat?
A forgalomelemzés alapértelmezett feldolgozási időköze 60 perc, de a gyorsított feldolgozást 10 perces időközönként választhatja ki. További információ: Adatösszesítés a forgalomelemzésben.
Hogyan dönti el a forgalomelemzés, hogy az IP-cím rosszindulatú?
A traffic analytics a Microsoft belső fenyegetésintelligencia-rendszereire támaszkodik, hogy rosszindulatúnak minősítse az IP-címet. Ezek a rendszerek különféle telemetriai forrásokat használnak, például a Microsoft-termékeket és -szolgáltatásokat, a Microsoft Digital Crimes Unit (DCU), a Microsoft Security Response Centert (MSRC) és a külső hírcsatornákat, és sok intelligenciát építenek ki rá. Ezen adatok némelyike a Microsoft Internal. Ha egy ismert IP-címet rosszindulatúként jelölnek meg, a részletek megismeréséhez támogatási jegyet kell létrehoznia.
Hogyan állíthatok be riasztásokat a forgalomelemzési adatokkal kapcsolatban?
A Traffic Analytics nem támogatja a riasztásokat. Mivel azonban a forgalomelemzési adatok a Log Analyticsben vannak tárolva, egyéni lekérdezéseket írhat, és riasztásokat állíthat be rajtuk. Tegye a következők egyikét:
- A Log Analytics-hivatkozást a forgalomelemzésben használhatja.
- A lekérdezések írásához használja a traffic analytics sémát .
- Válassza az Új riasztási szabály lehetőséget a riasztás létrehozásához.
- A riasztás létrehozásához lásd : Új riasztási szabály létrehozása.
Hogyan ellenőrizze, hogy mely virtuális gépek kapják a legtöbb helyszíni forgalmat?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
IP-címek esetén használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Idő szerint használja a következő formátumot: yyyy-mm-dd 00:00:00
Hogyan ellenőrizze a virtuális gépek által a helyszíni gépekről érkező forgalom szórását?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
IP-címek esetén:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Hogyan ellenőrizze, hogy mely portok érhetők el (vagy tilthatók le) az NSG-szabályokkal rendelkező IP-párok között?
Használja a következő lekérdezést:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
Hogyan navigálhatok a billentyűzettel a geotérkép nézetben?
A geotérkép oldal két fő szakaszt tartalmaz:
- Szalagcím: A geotérkép tetején látható szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például üzembe helyezés, országokból/régiókból érkező forgalom és rosszindulatú). Amikor kiválaszt egy gombot, a megfelelő szűrő lesz alkalmazva a térképen. Ha például az Aktív gombot választja, a térkép kiemeli az üzemelő példány aktív adatközpontjait.
- Térkép: A transzparens alatt a térképszakasz az Azure-adatközpontok és országok/régiók közötti forgalomeloszlást mutatja be.
Billentyűzet-navigáció a szalagcímen
- Alapértelmezés szerint a transzparens geotérkép oldalán az "Azure DCs" szűrő van kiválasztva.
- Ha másik szűrőre szeretne lépni, használja a kulcsot vagy a
Tab
Right arrow
kulcsot. Ha visszafelé szeretne lépni, használja a kulcsot vagy aShift+Tab
Left arrow
kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad. - A kijelölt szűrő alkalmazásához nyomja
Enter
le vagyDown
nyomja le a nyílbillentyűt. A szűrőkijelölés és az üzembe helyezés alapján a térképszakaszban egy vagy több csomópont van kiemelve. - A transzparens és a térkép közötti váltáshoz nyomja le a gombot
Ctrl+F6
.
Billentyűzet-navigáció a térképen
- Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta a billentyűt
Ctrl+F6
, a fókusz a térképnézetben az egyik kiemelt csomópontra (Azure-adatközpontra vagy országra/régióra) kerül. - Ha a térkép más kiemelt csomópontjaira szeretne lépni, használja
Tab
vagy a kulcsot aRight arrow
továbbításhoz. A visszafelé irányuló mozgáshoz használjaShift+Tab
vagy használja aLeft arrow
kulcsot. - A kijelölt csomópontok térképen való kijelöléséhez használja a vagy a
Enter
Down arrow
kulcsot. - Az ilyen csomópontok kiválasztása során a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező zárt gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, a billentyűkkel
Right arrow
Left arrow
előre és hátrafelé haladhat. A gomb lenyomásaEnter
ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben. - Amikor lenyomja
Tab
, amíg a fókusz az Információs eszközmezőn van, a fókusz a kijelölt csomóponttal azonos kontinens végpontjára kerül. A végpontok között az ésLeft arrow
aRight arrow
kulcsok használatával mozoghat. - Ha más folyamatvégpontokra vagy kontinensfürtökre szeretne áttérni, használja
Tab
az előre ésShift+Tab
a hátrafelé irányuló mozgáshoz. - Ha a fókusz a kontinensfürtökön van, az vagy
Down
aEnter
nyílbillentyűkkel jelölje ki a kontinensfürtön belüli végpontokat. A végpontok és a kontinensfürt információs mezőjének bezárás gombja közötti mozgáshoz használja az előre- és hátrafelé irányuló mozgást vagy aRight arrow
Left arrow
kulcsot. Bármely végponton átválthatShift+L
a kapcsolati vonalra a kijelölt csomópontról a végpontra. Ismét lenyomvaShift+L
léphet a kijelölt végpontra.
Billentyűzet navigáció bármely szakaszában
- A
Esc
kulcs összecsukja a kibontott kijelölést. - A
Up-arrow
kulcs ugyanazt a műveletet hajtja végre, mint aEsc
. ADown arrow
kulcs ugyanazt a műveletet hajtja végre, mint aEnter
. - A nagyításhoz és
Shift+Minus
a kicsinyítéshez használhatóShift+Plus
.
Hogyan navigálhatok a billentyűzettel a virtuális hálózati topológia nézetben?
A virtuális hálózatok topológiaoldala két fő szakaszt tartalmaz:
- Szalagcím: A virtuális hálózatok topológiájának tetején található szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például Csatlakozás virtuális hálózatokat, leválasztott virtuális hálózatokat és nyilvános IP-címeket). Amikor kiválaszt egy gombot, a rendszer a megfelelő szűrőt alkalmazza a topológiára. Ha például az Aktív gombot választja, a topológia kiemeli az üzemelő példány aktív virtuális hálózatait.
- Topológia: A szalagcím alatt a topológia szakasz a virtuális hálózatok közötti forgalomeloszlást mutatja.
Billentyűzet-navigáció a szalagcímen
- Alapértelmezés szerint a szalagcím virtuális hálózatok topológia lapján a "Csatlakozás virtuális hálózatok" szűrő van kiválasztva.
- Ha másik szűrőre szeretne lépni, a
Tab
kulccsal lépjen tovább. A visszalépéshez használja aShift+Tab
kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad. - Nyomja le
Enter
a kijelölt szűrő alkalmazását. A szűrő kiválasztása és üzembe helyezése alapján a topológia szakaszban egy vagy több csomópont (virtuális hálózat) lesz kiemelve. - A transzparens és a topológia közötti váltáshoz nyomja le a következőt
Ctrl+F6
: .
Billentyűzet-navigáció a topológián
- Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta
Ctrl+F6
, a fókusz a topológia nézetben az egyik kiemelt csomópontra (VNet) kerül. - Ha a topológia nézetben más kiemelt csomópontokra szeretne lépni, használja a kulcsot a
Shift+Right arrow
továbbításhoz. - A kiemelt csomópontokon a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező További részletek gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, az és
Left arrow
aRight arrow
billentyűkkel lépjen előre és hátra. A gomb lenyomásaEnter
ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben. - Az ilyen csomópontok kiválasztásával egyenként felkeresheti az összes kapcsolatát a
Shift+Left arrow
kulcs lenyomásával. A fókusz a kapcsolat Információs eszköz mezőjére kerül. A fókusz bármikor visszahelyezhető a csomópontra az újranyomássalShift+Right arrow
.
Hogyan navigálhatok a billentyűzettel az alhálózati topológia nézetben?
A virtuális alhálózatok topológiaoldala két fő szakaszt tartalmaz:
- Szalagcím: A virtuális alhálózatok topológiájának tetején található szalagcím gombokkal választja ki a forgalomelosztási szűrőket (például aktív, közepes és átjáró alhálózatokat). Amikor kiválaszt egy gombot, a rendszer a megfelelő szűrőt alkalmazza a topológiára. Ha például az Aktív gombot választja, a topológia kiemeli az üzemelő példány aktív virtuális alhálózatát.
- Topológia: A szalagcím alatt a topológia szakasz a virtuális alhálózatok közötti forgalomeloszlást mutatja.
Billentyűzet-navigáció a szalagcímen
- Alapértelmezés szerint a szalagcím virtuális alhálózati topológia lapján az "Alhálózatok" szűrő van kiválasztva.
- Ha másik szűrőre szeretne lépni, a
Tab
kulccsal lépjen tovább. A visszalépéshez használja aShift+Tab
kulcsot. Az előre navigálás balról jobbra, majd felülről lefelé halad. - Nyomja le
Enter
a kijelölt szűrő alkalmazását. A szűrőkijelölés és az üzembe helyezés alapján a topológia szakaszban egy vagy több csomópont (alhálózat) lesz kiemelve. - A transzparens és a topológia közötti váltáshoz nyomja le a következőt
Ctrl+F6
: .
Billentyűzet-navigáció a topológián
- Miután kiválasztott egy szűrőt a szalagcímen, és lenyomta
Ctrl+F6
, a fókusz a topológia nézetben az egyik kiemelt csomópontra (Alhálózatra) kerül. - Ha a topológia nézetben más kiemelt csomópontokra szeretne lépni, használja a kulcsot a
Shift+Right arrow
továbbításhoz. - A kiemelt csomópontokon a fókusz a csomópont Információs eszköz mezőjére kerül. Alapértelmezés szerint a fókusz az Információs eszközmező További részletek gombjára kerül. Ha tovább szeretne lépni a Box nézeten belül, a billentyűkkel
Right arrow
Left arrow
előre és hátrafelé haladhat. A gomb lenyomásaEnter
ugyanolyan hatással van, mint a szűrt gombra az Információs eszközmezőben. - Az ilyen csomópontok kiválasztása esetén a kulcs lenyomásával
Shift+Left arrow
egyenként felkeresheti az összes kapcsolatát. A fókusz a kapcsolat Információs eszköz mezőjére kerül. A fókusz bármikor visszahelyezhető a csomópontra az újranyomássalShift+Right arrow
.