Edit

Tanya jawab umum (FAQ) analitik lalu lintas

  • FAQ

Artikel ini memberikan jawaban atas pertanyaan yang sering diajukan terkait analitik lalu lintas di Azure Network Watcher.

Prasyarat apa yang diperlukan untuk menggunakan analitik lalu lintas?

Lihat Prasyarat analitik lalu lintas untuk daftar prasyarat yang diperlukan.

Bagaimana cara memeriksa apakah saya memiliki peran yang diperlukan?

Untuk mempelajari cara memeriksa peran yang ditetapkan kepada pengguna untuk langganan, lihat Mencantumkan penetapan peran Azure menggunakan portal Azure. Jika Anda tidak dapat melihat penetapan peran, hubungi admin langganan masing-masing.

Dapatkah saya mengaktifkan log alur untuk grup keamanan jaringan yang berada di wilayah yang berbeda dari wilayah ruang kerja saya?

Ya, grup keamanan jaringan dapat berada di wilayah yang berbeda dari wilayah ruang kerja Analitik Log Anda.

Dapatkah beberapa grup keamanan jaringan dikonfigurasi dalam satu ruang kerja?

Ya.

Apakah grup keamanan jaringan Klasik didukung?

Tidak, analitik lalu lintas tidak mendukung kelompok keamanan jaringan klasik.

Mengapa analitik lalu lintas tidak menampilkan data untuk grup keamanan jaringan yang diaktifkan analitik lalu lintas saya?

Dalam dropdown pemilihan sumber daya di dasbor analitik lalu lintas, grup sumber daya sumber daya sumber daya Virtual Network harus dipilih, bukan grup sumber daya komputer virtual atau grup keamanan jaringan.

Apakah saya dapat menggunakan ruang kerja yang sudah ada?

Ya. Jika Anda memilih ruang kerja yang sudah ada, maka pastikan ruang kerja tersebut telah dimigrasikan ke bahasa kueri baru. Jika Anda tidak ingin memutakhirkan ruang kerja, Anda perlu membuat ruang kerja baru. Untuk informasi selengkapnya tentang Bahasa Kueri Kusto (KQL), lihat Kueri log di Azure Monitor.

Bisakah akun penyimpanan Azure saya berada dalam satu langganan dan ruang kerja Analitik Log saya berada di langganan yang berbeda?

Ya, akun penyimpanan Azure Anda dapat berada dalam satu langganan, dan ruang kerja Analitik Log Anda dapat berada di langganan yang berbeda.

Bisakah saya menyimpan log mentah dalam langganan yang berbeda dari langganan yang digunakan untuk grup keamanan jaringan atau jaringan virtual?

Ya. Anda dapat mengonfigurasi log alur untuk dikirim ke akun penyimpanan yang terletak di langganan yang berbeda, asalkan Anda memiliki hak istimewa yang sesuai, dan bahwa akun penyimpanan terletak di wilayah yang sama dengan kelompok keamanan jaringan (log alur kelompok keamanan jaringan) atau jaringan virtual (log alur jaringan virtual). Akun penyimpanan tujuan harus berbagi penyewa Microsoft Entra yang sama dari grup keamanan jaringan atau jaringan virtual.

Dapatkah sumber daya log alur dan akun penyimpanan saya berada di penyewa yang berbeda?

Tidak. Semua sumber daya harus berada di penyewa yang sama termasuk grup keamanan jaringan (log alur kelompok keamanan jaringan), jaringan virtual (log alur jaringan virtual), log alur, akun penyimpanan, dan ruang kerja Analitik Log (jika analitik lalu lintas diaktifkan).

Dapatkah saya mengonfigurasi kebijakan penyimpanan yang berbeda untuk akun penyimpanan daripada ruang kerja Analitik Log?

Ya.

Apakah saya akan kehilangan data yang disimpan di ruang kerja Analitik Log jika saya menghapus akun penyimpanan yang digunakan untuk pengelogan alur?

Tidak. Jika Anda menghapus akun penyimpanan yang digunakan untuk log alur, data yang disimpan di ruang kerja Analitik Log tidak akan terpengaruh. Anda masih dapat melihat data historis di ruang kerja Analitik Log (beberapa metrik akan terpengaruh) tetapi analitik lalu lintas tidak akan lagi memproses log alur tambahan baru hingga Anda memperbarui log alur untuk menggunakan akun penyimpanan yang berbeda.

Bagaimana jika saya tidak dapat mengonfigurasi grup keamanan jaringan untuk analitik lalu lintas karena kesalahan "Tidak ditemukan"?

Pilih wilayah yang didukung. Jika Anda memilih wilayah yang tidak didukung, Anda akan mendapatkan kesalahan "Tidak ditemukan". Untuk informasi selengkapnya, lihat Wilayah yang didukung analitik lalu lintas.

Bagaimana jika saya mendapatkan status: "Gagal memuat" di halaman log alur?

Penyedia Microsoft.Insights harus terdaftar agar pengelogan alur berfungsi dengan baik. Jika Anda tidak yakin apakah Microsoft.Insights penyedia terdaftar untuk langganan Anda, lihat instruksi portal Azure, PowerShell, atau Azure CLI tentang cara mendaftarkannya.

Saya telah mengkonfigurasi solusi. Mengapa saya tidak melihat apa-apa di dasbor?

Dasbor mungkin membutuhkan waktu hingga 30 menit untuk menampilkan laporan untuk pertama kalinya. Solusinya harus terlebih dahulu mengagregasi data yang cukup untuk mendapatkan wawasan yang bermakna, lalu menghasilkan laporan.

Bagaimana jika saya mendapatkan pesan ini: "Kami tidak dapat menemukan data apa pun di ruang kerja ini untuk interval waktu yang dipilih. Cobalah ubah interval waktunya atau pilih ruang kerja yang berbeda."?

Cobalah opsi berikut ini:

  • Ubah interval waktu di bar atas.
  • Pilih ruang kerja Log Analytics yang berbeda di bar atas.
  • Coba akses analitik lalu lintas setelah 30 menit, jika baru saja diaktifkan.

Jika masalah berlanjut, ajukan kekhawatiran di Microsoft Q&A.

Bagaimana jika saya mendapatkan pesan ini: "Menganalisis log alur NSG Anda untuk pertama kalinya. Proses ini mungkin membutuhkan waktu 20-30 menit untuk menyelesaikan. Periksa kembali setelah beberapa waktu."?

Anda mungkin melihat pesan ini karena:

  • Analitik lalu lintas baru-baru ini diaktifkan, dan mungkin belum memiliki data yang cukup agregat untuk mendapatkan wawasan yang bermakna.
  • Anda menggunakan versi gratis ruang kerja Analitik Log, dan melebihi batas kuota. Anda mungkin perlu untuk menggunakan ruang kerja dengan kapasitas yang lebih besar.

Coba solusi yang disarankan untuk pertanyaan sebelumnya. Jika masalah berlanjut, ajukan kekhawatiran di Microsoft Q&A.

Bagaimana jika saya mendapatkan pesan ini: "Sepertinya kami memiliki data sumber daya (Topologi) dan tidak ada informasi alur. Untuk informasi selengkapnya, klik di sini untuk melihat data sumber daya dan merujuk ke FAQ."?

Anda melihat informasi sumber daya di dasbor; namun, tidak ada statistik terkait alur yang ada. Data mungkin tidak ada karena tidak ada alur komunikasi antara sumber daya. Tunggu selama 60 menit, dan periksa ulang status. Jika masalah berlanjut, dan Anda yakin bahwa alur komunikasi di antara sumber daya ada, ajukan kekhawatiran di Tanya Jawab Microsoft.

Bisakah saya mengonfigurasi analitik lalu lintas menggunakan PowerShell?

Anda dapat mengonfigurasi analitik lalu lintas menggunakan Windows PowerShell versi 6.2.1 dan yang lebih tinggi. Untuk mengonfigurasi pengelogan alur dan analitik lalu lintas untuk grup keamanan jaringan tertentu menggunakan PowerShell, lihat Mengaktifkan log alur grup keamanan jaringan dan analitik lalu lintas.

Bisakah saya mengonfigurasi analitik lalu lintas menggunakan templat Azure Resource Manager atau file Bicep?

Ya, Anda dapat menggunakan templat Azure Resource Manager atau file Bicep untuk mengonfigurasi analitik lalu lintas. Untuk informasi selengkapnya, lihat Mengonfigurasi log alur NSG menggunakan templat Azure Resource Manager (ARM) dan Mengonfigurasi log alur NSG menggunakan file Bicep.

Bagaimana analitik lalu lintas dihargai?

Analitik lalu lintas diukur. Pengukuran didasarkan pada pemrosesan data log alur oleh layanan, dan menyimpan hasil log yang ditingkatkan di ruang kerja Analitik Log.

Misalnya, sesuai harga Network Watcher dan harga Azure Monitor, mengingat wilayah US Tengah Barat, jika data log alur yang disimpan di akun penyimpanan yang diproses oleh analitik lalu lintas adalah 10 GB dan log yang ditingkatkan yang diserap di ruang kerja Log Analytics adalah 1 GB, biaya yang berlaku adalah: 10 x 2,3$ + 1 x 2,76$ = 25,76$

Seberapa sering analitik lalu lintas memproses data?

Interval pemrosesan default analitik lalu lintas adalah 60 menit, namun, Anda dapat memilih pemrosesan yang dipercepat pada interval 10 menit. Untuk informasi selengkapnya, lihat Agregasi data dalam analitik lalu lintas.

Bagaimana analitik lalu lintas memutuskan bahwa IP berbahaya?

Analitik lalu lintas bergantung pada sistem inteligensi ancaman internal Microsoft untuk dianggap sebagai IP berbahaya. Sistem ini memanfaatkan beragam sumber telemetri seperti produk dan layanan Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC), dan umpan eksternal, dan yang terpenting membangun banyak kecerdasan. Beberapa data ini adalah Microsoft Internal. Jika IP yang diketahui ditandai sebagai berbahaya, ajukan tiket dukungan untuk mengetahui detailnya.

Bagaimana cara mengatur pemberitahuan pada data analitik lalu lintas?

Analitik lalu lintas tidak memiliki dukungan bawaan untuk pemberitahuan. Namun, karena data analitik lalu lintas disimpan di Analitik Log, Anda dapat menulis kueri kustom dan mengatur pemberitahuan di dalamnya. Ikuti langkah-langkah ini:

  • Anda dapat menggunakan tautan Analitik Log di analitik lalu lintas.
  • Gunakan skema analitik lalu lintas untuk menulis kueri Anda.
  • Pilih Aturan pemberitahuan baru untuk membuat pemberitahuan.
  • Lihat Membuat aturan pemberitahuan baru untuk membuat pemberitahuan.

Bagaimana cara memeriksa komputer virtual mana yang menerima sebagian besar lalu lintas lokal?

Gunakan kueri berikut:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Untuk IP, gunakan kueri berikut:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Untuk waktu, gunakan format: tttt-bb-hh 00:00:00

Bagaimana cara memeriksa penyimpangan standar dalam lalu lintas yang diterima oleh komputer virtual saya dari komputer lokal?

Gunakan kueri berikut:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Untuk Protokol Internet (IP/Internet Protocol):

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Bagaimana cara saya memeriksa port mana yang dapat dijangkau (atau diblokir) antara pasangan Protokol Internet (IP/Internet Protocol) dengan aturan NSG?

Gunakan kueri berikut:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Bagaimana cara menavigasi menggunakan keyboard dalam tampilan peta geografis?

Halaman peta geo berisi dua bagian utama:

  • Spanduk: Spanduk di bagian atas peta geografis menyediakan tombol untuk memilih filter distribusi lalu lintas (misalnya, Penyebaran, Lalu Lintas dari negara/wilayah, dan Berbahaya). Saat Anda memilih tombol, masing-masing filter diterapkan di peta. Misalnya, jika Anda memilih tombol Aktif, peta akan menyoroti pusat data yang aktif dalam penyebaran Anda.
  • Peta: Di bawah spanduk, bagian peta menunjukkan distribusi lalu lintas di antara pusat data Azure dan negara/wilayah.

Navigasi papan ketik pada spanduk

  • Secara default, pilihan pada halaman peta geo untuk spanduk adalah filter "Azure DC".
  • Untuk berpindah ke filter lain, gunakan salah satu tombol Tab atau Right arrow. Untuk mundur, gunakan tombol Shift+Tab atau Left arrow tombol. Navigasi maju adalah kiri ke kanan, diikuti dengan atas ke bawah.
  • Tekan tombol panah Enter atau tombol panah Down untuk menerapkan filter yang dipilih. Berdasarkan pemilihan dan penyebaran filter, satu atau beberapa simpul di bawah bagian peta disorot.
  • Untuk beralih antara spanduk dan peta, tekan Ctrl+F6.

Navigasi papan ketik di peta

  • Setelah Anda memilih filter apa pun pada spanduk dan menekan Ctrl+F6, fokus berpindah ke salah satu simpul yang disorot (Pusat data Azure atau Negara/Wilayah) dalam tampilan peta.
  • Untuk berpindah ke simpul yang disorot di peta, gunakan salah satu tombol Tab atau tombol Right arrow untuk gerakan maju. Gunakan tombol Shift+Tab atau tombol Left arrow untuk gerakan mundur.
  • Untuk memilih simpul yang disorot di peta, gunakan tombol Enter atau Down arrow.
  • Pada pemilihan simpul apa pun, fokus berpindah ke Kotak Alat Informasi untuk simpul. Secara default, fokus berpindah ke tombol tertutup pada Kotak Alat Informasi. Untuk lebih jauh berpindah ke dalam tampilan Kotak, gunakan tombol Right arrow dan Left arrow untuk bergerak maju dan mundur, secara berurutan. Menekan Enter memiliki efek yang sama seperti memilih tombol terfokus di Kotak Alat Informasi.
  • Ketika Anda menekan Tab saat fokus berada pada Kotak Alat Informasi, fokus berpindah ke titik akhir di benua yang sama sebagai simpul yang dipilih. Gunakan tombol Right arrow dan Left arrow untuk melewati titik akhir ini.
  • Untuk berpindah ke titik akhir alur atau kluster benua lain, gunakan Tab untuk gerakan maju dan Shift+Tab untuk gerakan mundur.
  • Saat fokus berada pada kluster Benua, gunakan tombol panah Enter atau Down tombol panah untuk menyoroti titik akhir di dalam kluster benua. Untuk berpindah melalui titik akhir dan tombol tutup pada kotak informasi kluster benua, gunakan baik tombol Right arrow atau Left arrow tombol untuk gerakan maju dan mundur, secara berurutan. Pada setiap titik akhir, Anda dapat menggunakan Shift+L untuk beralih ke baris koneksi dari node yang dipilih ke titik akhir. Anda bisa menekan Shift+L lagi untuk berpindah ke titik akhir yang dipilih.

Navigasi papan ketik pada tahap apa pun

  • Kunci Esc menciutkan pilihan yang diperluas.
  • Up-arrowTombol melakukan tindakan yang sama seperti Esc. Down arrowTombol melakukan tindakan yang sama seperti Enter.
  • Gunakan Shift+Plus untuk memperbesar, dan Shift+Minus untuk memperkecil.

Bagaimana cara menavigasi menggunakan keyboard dalam tampilan topologi jaringan virtual?

Halaman topologi jaringan virtual berisi dua bagian utama:

  • Spanduk: Spanduk di bagian atas topologi jaringan virtual menyediakan tombol untuk memilih filter distribusi lalu lintas (misalnya, Jaringan koneksi virtual, Jaringan virtual yang terputus, dan Protokol Internet (IP/Internet Protocol) Publik). Saat Anda memilih tombol, masing-masing filter diterapkan pada topologi. Misalnya, jika Anda memilih tombol Aktif, topologi menyoroti jaringan virtual aktif dalam penyebaran Anda.
  • Topologi: Di bawah spanduk, bagian topologi menunjukkan distribusi lalu lintas di antara jaringan virtual.

Navigasi papan ketik pada spanduk

  • Secara default, pilihan pada halaman topologi jaringan virtual untuk spanduk adalah filter "Connected VNet".
  • Untuk berpindah ke filter lain, gunakan Tab tombol untuk bergerak maju. Untuk mundur, gunakan Shift+Tab tombol. Navigasi maju adalah kiri ke kanan, diikuti dengan atas ke bawah.
  • Tekan Enter untuk menerapkan filter yang dipilih. Berdasarkan pemilihan dan penyebaran filter, satu atau beberapa simpul (jaringan virtual) di bawah bagian topologi disorot.
  • Untuk beralih antara banner dan topologi, tekan Ctrl+F6.

Navigasi papan ketik di topologi

  • Setelah Anda memilih filter apa pun di spanduk dan menekan Ctrl+F6, fokus berpindah ke salah satu simpul yang disorot (VNet) dalam tampilan topologi.
  • Untuk berpindah ke simpul lain yang disorot dalam tampilan topologi, gunakan Shift+Right arrow tombol untuk gerakan maju.
  • Pada simpul yang disorot, fokus berpindah ke Kotak Alat Informasi untuk simpul tersebut. Secara default, fokus berpindah ke tombol Detail selengkapnya pada Kotak Alat Informasi. Untuk memindahkan lebih jauh ke dalam tampilan Kotak, gunakan tombol Right arrow dan Left arrow untuk bergerak maju dan mundur, secara berurutan. Menekan Enter memiliki efek yang sama seperti memilih tombol terfokus di Kotak Alat Informasi.
  • Pada pemilihan simpul apa pun, Anda dapat mengunjungi semua koneksinya, satu per satu, dengan menekan tombol Shift+Left arrow. Fokus berpindah ke Kotak Alat Informasi pada koneksi tersebut. Pada titik mana pun, fokus dapat digeser kembali ke node dengan menekan Shift+Right arrow lagi.

Bagaimana cara menavigasi menggunakan keyboard dalam tampilan topologi subnet?

Halaman topologi subjaringan virtual berisi dua bagian utama:

  • Spanduk: Spanduk di bagian atas topologi subjaringan virtual menyediakan tombol untuk memilih filter distribusi lalu lintas (misalnya, subjaringan Aktif, Sedang, dan Gateway). Saat Anda memilih tombol, masing-masing filter diterapkan pada topologi. Misalnya, jika Anda memilih tombol Aktif, topologi menyoroti subjaringan virtual aktif dalam penyebaran Anda.
  • Topologi: Di bawah spanduk, bagian topologi menunjukkan distribusi lalu lintas di antara subjaringan virtual.

Navigasi papan ketik pada spanduk

  • Secara default, pilihan pada halaman topologi subjaringan virtual untuk spanduk adalah filter "Subnet".
  • Untuk berpindah ke filter lain, gunakan Tab tombol untuk bergerak maju. Untuk mundur, gunakan Shift+Tab tombol. Navigasi maju adalah kiri ke kanan, diikuti dengan atas ke bawah.
  • Tekan Enter untuk menerapkan filter yang dipilih. Berdasarkan pemilihan dan penyebaran filter, satu atau beberapa simpul (Subjaringan) di bawah bagian topologi disorot.
  • Untuk beralih antara banner dan topologi, tekan Ctrl+F6.

Navigasi papan ketik di topologi

  • Setelah Anda memilih filter apa pun pada spanduk dan menekan Ctrl+F6, fokus berpindah ke salah satu simpul yang disorot (Subjaringan) dalam tampilan topologi.
  • Untuk berpindah ke simpul lain yang disorot dalam tampilan topologi, gunakan Shift+Right arrow tombol untuk gerakan maju.
  • Pada simpul yang disorot, fokus berpindah ke Kotak Alat Informasi untuk simpul tersebut. Secara default, fokus berpindah ke tombol Detail selengkapnya pada Kotak Alat Informasi. Untuk lebih jauh berpindah ke dalam tampilan Kotak, gunakan tombol Right arrow dan Left arrow untuk bergerak maju dan mundur, secara berurutan. Menekan Enter memiliki efek yang sama seperti memilih tombol terfokus di Kotak Alat Informasi.
  • Pada pemilihan simpul apa pun, Anda dapat mengunjungi semua koneksinya, satu per satu, dengan menekan tombol Shift+Left arrow. Fokus berpindah ke Kotak Alat Informasi pada koneksi tersebut. Pada titik mana pun, fokus dapat digeser kembali ke node dengan menekan Shift+Right arrow lagi.