Domande frequenti sull’analisi del traffico

Questo articolo fornisce risposte alle domande più frequenti sull'analisi del traffico in Network Watcher di Azure.

Quali sono i prerequisiti necessari per usare l'analisi del traffico?

Per un elenco dei prerequisiti necessari, vedere prerequisiti di Analisi del traffico.

Come è possibile verificare se si dispone dei ruoli necessari?

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

È possibile abilitare i log dei flussi per i gruppi di sicurezza di rete situati in aree diverse dall'area di lavoro?

Sì, i gruppi di sicurezza di rete possono trovarsi in aree diverse rispetto a dove si trova l'area di lavoro Log Analytics.

È possibile configurare più gruppi di sicurezza di rete all'interno di una singola area di lavoro?

Sì.

I gruppi di sicurezza di rete classici sono supportati?

No, l'analisi del traffico non supporta i gruppi di sicurezza di rete classici.

Perché l'analisi del traffico non visualizza i dati per i gruppi di sicurezza di rete abilitati per l'analisi del traffico?

Nell'elenco a discesa della selezione delle risorse nel dashboard di analisi del traffico è necessario selezionare il gruppo di risorse della risorsa Rete virtuale, non il gruppo di risorse della macchina virtuale o del gruppo di sicurezza di rete.

È possibile usare un'area di lavoro esistente?

Sì. Se si seleziona un'area di lavoro esistente, assicurarsi che sia stata eseguita la migrazione al nuovo linguaggio di query. Se non si desidera aggiornare l'area di lavoro, è necessario crearne uno nuovo. Per altre informazioni sul linguaggio di query Kusto (KQL), vedere Query di log in Monitoraggio di Azure.

È possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics?

Sì, è possibile usare sottoscrizioni diverse per l'account di archiviazione di Azure e l'area di lavoro Log Analytics.

È possibile archiviare i log non elaborati in una sottoscrizione diversa rispetto a quella usata per i gruppi di sicurezza di rete o le reti virtuali?

Sì. È possibile configurare i log dei flussi da inviare a un account di archiviazione situato in una sottoscrizione diversa, purché: si disponga dei privilegi idonei e l'account di archiviazione si trovi nella stessa area del gruppo di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete) o della rete virtuale (log dei flussi di rete virtuale). L'account di archiviazione di destinazione deve condividere lo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della rete virtuale.

Le risorse di log dei flussi e gli account di archiviazione possono trovarsi in tenant diversi?

No. Tutte le risorse devono trovarsi nello stesso tenant, inclusi: i gruppi di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete), le reti virtuali (log dei flussi di rete virtuale), i log dei flussi, gli account di archiviazione e le aree di lavoro Log Analytics (se è abilitata l'analisi del traffico).

Per l'account di archiviazione è possibile configurare criteri di conservazione diversi rispetto all'area di lavoro Log Analytics?

Sì.

Se si elimina l'account di archiviazione usato per la registrazione dei flussi, si perderanno i dati archiviati nell'area di lavoro Log Analytics?

No. Se si elimina l'account di archiviazione usato per i log dei flussi, i dati archiviati nell'area di lavoro Log Analytics non ne saranno interessati. È comunque possibile visualizzare i dati cronologici nell'area di lavoro Log Analytics (alcune metriche saranno interessate), ma l'analisi del traffico non elaborerà più ulteriori nuovi log dei flussi finché non si aggiorneranno i log dei flussi per l’uso di diverso account di archiviazione.

Cosa accade se non è possibile configurare un gruppo di sicurezza di rete per l'analisi del traffico a causa dell’errore "Non trovato"?

Selezionare un'area supportata. Se si seleziona un'area non supportata, viene visualizzato un errore "Non trovato". Per altre informazioni, vedere Aree supportate da Analisi del traffico.

Cosa accade se viene visualizzato lo stato "Impossibile caricare" nella pagina dei log dei flussi?

Per il corretto funzionamento della registrazione dei flussi è necessario che sia registrato il provider Microsoft.Insights. Se non si è certi che il provider Microsoft.Insights sia registrato per la sottoscrizione, vedere il portale di Azure, PowerShell o le istruzioni dell'interfaccia della riga di comando di Azure su come registrarlo.

Ho configurato la soluzione. Perché non viene visualizzato nessun elemento nel dashboard?

Per visualizzare i report per la prima volta, il dashboard potrebbe richiedere fino a 30 minuti. La soluzione deve aggregare dati sufficienti per poter ottenere informazioni significative, quindi genera i report.

Cosa succede se viene visualizzato il messaggio seguente: "Non sono stati trovati dati in questa area di lavoro per l'intervallo di tempo selezionato. Provare a modificare l'intervallo di tempo o a selezionare un'altra area di lavoro."?

Provare le opzioni seguenti:

  • Modificare l'intervallo di tempo nella barra superiore.
  • Selezionare una diversa area di lavoro Log Analytics nella barra superiore.
  • Provare ad accedere ad Analisi del traffico dopo 30 minuti, se è stata abilitata di recente.

Se i problemi persistono, generare il problema in Microsoft Q&A.

Cosa succede se viene visualizzato il seguente messaggio: "È in corso l'analisi dei log dei flussi del gruppo di sicurezza di rete per la prima volta. L'operazione potrebbe richiedere circa 20-30 minuti. Verificare più tardi"?

È possibile che venga visualizzato questo messaggio perché:

  • Analisi del traffico è stato abilitato di recente ed è possibile che non abbia già aggregato dati sufficienti per ricavare informazioni dettagliate significative.
  • Si sta usando la versione gratuita dell'area di lavoro Log Analytics e ha superato i limiti di quota. Potrebbe essere necessario utilizzare un'area di lavoro con una capacità maggiore.

Per la domanda precedente provare le soluzioni suggerite. Se i problemi persistono, generare il problema in Microsoft Q&A.

Cosa succede se viene visualizzato il seguente È stato visualizzato il messaggio seguente: "Sono disponibili solo i dati delle risorse (topologia) e nessuna informazione sui flussi. Per altre informazioni, fare clic qui per visualizzare i dati delle risorse e fare riferimento alle domande frequenti."?

Le informazioni sulle risorse sono visualizzate nel dashboard, tuttavia non sono presenti le statistiche relative ai flussi. I dati potrebbero non essere presenti a causa della mancanza di flussi di comunicazione tra le risorse. Attendere 60 minuti e ricontrollare lo stato. Se il problema non viene risolto e si è certi dell'esistenza dei flussi di comunicazione tra le risorse, generare il problema in Microsoft Q&A.

È possibile configurare l'analisi del traffico con PowerShell?

È possibile configurare l'analisi del traffico usando Windows PowerShell versione 6.2.1 e successive. Per configurare la registrazione dei flussi e l'analisi del traffico per uno specifico gruppo di sicurezza di rete tramite PowerShell, vedere Abilitare i log dei flussi dei gruppi di sicurezza di rete e l'analisi del traffico.

È possibile configurare la funzionalità Analisi del traffico tramite un modello di Azure Resource Manager o un file Bicep?

Sì, per configurare l'analisi del traffico è possibile usare un modello di Azure Resource Manager o un file Bicep. Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM) e Configurare i log dei flussi NSG usando un file Bicep.

Come viene determinato il prezzo di Analisi del traffico?

L'analisi del traffico viene misurata. La misurazione si basa sull'elaborazione dei dati di log dei flussi non elaborati dal servizio. Per altre informazioni, vedere Prezzi di Network Watcher.
È possibile conservare gratuitamente i log avanzati inseriti nell'area di lavoro Log Analytics per un massimo di 31 giorni (o 90 giorni, se nell’area di lavoro è abilitato Microsoft Sentinel). Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Con quale frequenza l’analisi del traffico elabora i dati?

L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ma è possibile selezionare l'elaborazione accelerata con intervalli di 10 minuti. Per altre informazioni, vedere Aggregazione dei dati nell'analisi del traffico.

In che modo l’analisi del traffico può stabilire che un indirizzo IP è dannoso?

Per identificare un indirizzo IP come dannoso, l’analisi del traffico si basa sui sistemi interni di Microsoft di intelligence sulle minacce. Questi sistemi sfruttano diverse origini di telemetria, ad esempio prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) e feed esterni, e generano molte informazioni a riguardo. Alcuni di questi dati sono interni di Microsoft. Se un indirizzo IP noto viene contrassegnato come dannoso, generare un ticket di supporto per conoscere i dettagli.

Come è possibile impostare avvisi sui dati di analisi del traffico?

L'analisi del traffico non dispone del supporto predefinito per gli avvisi. Tuttavia, poiché i dati di analisi del traffico vengono archiviati in Log Analytics, è possibile scrivere query personalizzate e impostarvi avvisi. Seguire questa procedura:

Come è possibile controllare quali macchine virtuali ricevono la maggior parte del traffico locale?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Per gli indirizzi IP, usare la seguente query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Per l'ora, usare il formato: aaaa-mm-gg 00:00:00

Come controllare la deviazione standard nel traffico che le macchine virtuali hanno ricevuto da computer locali?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Per gli indirizzi IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Come controllare quali porte sono raggiungibili (o bloccate) tra coppie di indirizzi IP con regole dell'NSG?

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Come è possibile spostarsi usando la tastiera nella visualizzazione mappa geografica?

La pagina della mappa geografica contiene due sezioni principali:

  • Banner: il banner nella parte superiore della mappa geografica fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio: Distribuzione, Traffico da paesi/aree e Dannoso). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla mappa. Ad esempio, se si seleziona il pulsante Attivo, la mappa evidenzia i centri dati attivi nella distribuzione remota.
  • Mappa: sotto al banner, la sezione Mappa mostra la distribuzione del traffico tra i data center di Azure e i paesi/le aree.

Navigazione da tastiera sul banner

  • Per impostazione predefinita, la selezione nella pagina mappa geografica per il banner è il filtro "Data center di Azure".
  • Per spostarsi su un altro filtro, utilizzare il pulsante Tab o Right arrow. Per spostarsi indietro, utilizzare il pulsante Shift+Tab o Left arrow. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
  • Premere il tasto di direzione Enter o Down per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi nella sezione Mappa.
  • Per alternare tra Banner e Mappa, premere Ctrl+F6.

Navigazione da tastiera sulla mappa

  • Dopo aver selezionato un filtro nel banner e aver premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (Data Center di Azure o Paese/area geografica) nella visualizzazione della mappa.
  • Per spostarsi su altri nodi evidenziati nella mappa, utilizzare Tab o il tasto Right arrow per spostarsi in avanti. Utilizzare Shift+Tab o il tasto Left arrow per spostarsi all'indietro.
  • Per selezionare qualsiasi nodo evidenziato nella mappa, usare il tasto Enter o Down arrow.
  • Selezionando uno di questi nodi, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, lo stato attivo passerà al pulsante di chiusura nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
  • Premendo Tab mentre è attiva la casella degli strumenti Informazioni, lo stato attivo passa agli endpoint dello stesso continente del nodo selezionato. Usare i tasti Right arrow e Left arrow per spostarsi tra questi endpoint.
  • Per passare ad altri endpoint di flusso o cluster del continente, usare Tab per spostarsi in avanti e Shift+Tab per spostarsi all'indietro.
  • Quando lo stato attivo si trova su Cluster del continente, usare i tasti di direzione Enter o Down per evidenziare gli endpoint all'interno del cluster del continente. Per spostarsi tra gli endpoint e il pulsante di chiusura nella casella Informazioni del cluster del continente, usare il tasto Right arrow o Left arrow rispettivamente per il movimento in avanti e all'indietro. In qualsiasi endpoint è possibile usare Shift+L per passare alla linea di connessione dal nodo selezionato all'endpoint. È possibile premere nuovamente Shift+L per spostarsi all'endpoint selezionato.

Navigazione da tastiera in qualsiasi momento

  • La chiave Esc comprime la selezione espansa.
  • Il tasto Up-arrow esegue la stessa azione di Esc. Il tasto Down arrow esegue la stessa azione di Enter.
  • Usare Shift+Plus per fare zoom avanti e Shift+Minus per fare zoom indietro.

Come è possibile spostarsi usando la tastiera nella visualizzazione topologia di rete virtuale?

La pagina della topologia di rete virtuale contiene due sezioni principali:

  • Banner: il banner nella parte superiore della topologia di rete virtuale fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, Reti virtuali connesse, Reti virtuali disconnesse e IP pubblici). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le reti virtuali attive nella distribuzione remota.
  • Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le reti virtuali.

Navigazione da tastiera sul banner

  • Per impostazione predefinita, la selezione nella pagina della topologia di rete virtuale per il banner è il filtro "VNet connesse".
  • Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
  • Premere Enter per applicare il filtro selezionato. In base alla selezione e all'implementazione del filtro, vengono evidenziati uno o più nodi (rete virtuale) nella sezione topologia.
  • Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

  • Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (VNet) nella visualizzazione della topologia.
  • Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
  • Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
  • Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.

Come è possibile spostarsi usando la tastiera nella visualizzazione topologia di subnet?

La pagina della topologia di subnet virtuale contiene due sezioni principali:

  • Banner: il banner nella parte superiore della topologia delle subnet virtuali fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, le subnet Attivo, Medio e Gateway). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le subnet virtuali attive nella distribuzione remota.
  • Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le subnet virtuali.

Navigazione da tastiera sul banner

  • Per impostazione predefinita, la selezione nella pagina della topologia di subnet virtuale per il banner è il filtro "Subnet".
  • Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
  • Premere Enter per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi (subnet) nella sezione Topologia.
  • Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

  • Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (Subnet) nella visualizzazione della topologia.
  • Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
  • Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
  • Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.