트래픽 분석 FAQ(질문과 대답)

필요한 필수 구성 요소 목록은 트래픽 분석 필수 구성 요소를 참조하세요.

구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요.

예, 네트워크 보안 그룹은 Log Analytics 작업 영역 지역과 다른 지역에 있을 수 있습니다.

예.

아니요, 트래픽 분석은 클래식 네트워크 보안 그룹을 지원하지 않습니다.

트래픽 분석 대시보드의 리소스 선택 드롭다운에서 가상 머신 또는 네트워크 보안 그룹의 리소스 그룹이 아닌 Virtual Network 리소스의 리소스 그룹을 선택해야 합니다.

예. 기존 작업 영역을 선택하는 경우, 새 쿼리 언어로 마이그레이션되었는지 확인해야 합니다. 작업 영역을 업그레이드하지 않으려면 새 작업 영역을 만들어야 합니다. KQL(Kusto 쿼리 언어)에 대한 자세한 내용은 Azure Monitor의 로그 쿼리를 참조하세요.

네, Azure Storage 계정이 한 구독에 있고, Log Analytics 작업 영역이 다른 구독에 있어도 됩니다.

예. 적절한 권한이 있고 스토리지 계정이 네트워크 보안 그룹(NSG 흐름 로그) 또는 가상 네트워크(VNet 흐름 로그)와 동일한 지역에 있는 경우 흐름 로그를 다른 구독에 있는 스토리지 계정으로 보내도록 구성할 수 있습니다. 대상 스토리지 계정은 네트워크 보안 그룹(NSG 흐름 로그) 또는 가상 네트워크(VNet 흐름 로그)의 동일한 Microsoft Entra 테넌트 공유해야 합니다.

아니요. 모든 리소스는 네트워크 보안 그룹(NSG 흐름 로그), 가상 네트워크(VNet 흐름 로그), 흐름 로그, 스토리지 계정 및 Log Analytics 작업 영역(트래픽 분석을 사용하는 경우)을 포함하여 동일한 테넌트에 있어야 합니다.

예.

아니요. NSG/VNet 흐름 로그에 사용되는 스토리지 계정을 삭제하는 경우 Log Analytics 작업 영역에 저장된 데이터는 영향을 받지 않습니다. Log Analytics 작업 영역에서 기록 데이터를 볼 수 있지만(일부 메트릭에 영향을 주지만), 다른 스토리지 계정을 사용하도록 흐름 로그를 업데이트할 때까지 트래픽 분석은 더 이상 새 추가 흐름 로그를 처리하지 않습니다.

지원되는 지역을 선택합니다. 지원되지 않는 영역을 선택할 경우 "찾을 수 없음" 오류가 표시됩니다. 자세한 내용은 트래픽 분석 지원 지역을 참조하세요.

흐름 로깅이 제대로 작동하려면 Microsoft.Insights 공급자를 등록해야 합니다. Microsoft.Insights 공급자가 사용자의 구독에 등록되어 있는지 확실하지 않은 경우 등록 방법은 Azure Portal, PowerShell 또는 Azure CLI 지침을 참조하세요.

대시보드에 처음으로 보고서가 표시되는 데 최대 30분이 걸릴 수 있습니다. 솔루션은 먼저 의미 있는 인사이트를 도출할 수 있을 만큼 충분한 데이터를 집계한 다음 보고서를 생성해야 합니다.

다음 옵션을 시도해 보세요.

• 위쪽 메뉴에서 시간 간격을 변경합니다.
• 위쪽 메뉴에서 다른 Log Analytics 작업 영역을 선택합니다.
• 트래픽 분석이 최근에 설정된 경우, 30분 후에 액세스해 봅니다.

문제가 지속되면 Microsoft Q&A에 문제를 제기하세요.

다음 이유로 메시지가 표시될 수 있습니다.

• 트래픽 분석이 최근에 설정되었으며 의미 있는 인사이트를 얻는 데 필요한 데이터를 아직 충분히 수집하지 못했을 수 있습니다.
• Log Analytics 작업 영역의 체험판 버전을 사용하고 있고 할당량 한도를 초과했습니다. 용량이 큰 작업 영역을 사용해야 할 수도 있습니다.

이전 질문에 대해 제안된 솔루션을 시도해 보세요. 문제가 지속되면 Microsoft Q&A에 문제를 제기하세요.

대시보드에서 리소스 정보를 보고 있지만 흐름 관련 통계가 없습니다. 리소스 간 통신이 없어 데이터가 없는 것일 수 있습니다. 60분 후에 상태를 다시 확인하세요. 문제가 지속되고 리소스 간 통신 흐름이 있다고 확신하는 경우 Microsoft Q&A에 문제를 제기하세요.

Windows PowerShell 버전 6.2.1 이상을 사용하여 트래픽 분석을 구성할 수 있습니다. PowerShell을 사용하여 특정 네트워크 보안 그룹에 대한 흐름 로깅 및 트래픽 분석을 구성하려면 네트워크 보안 그룹 흐름 로그 및 트래픽 분석 사용을 참조하세요.

예, Azure Resource Manager 템플릿 또는 Bicep 파일을 사용하여 트래픽 분석을 구성할 수 있습니다. 자세한 내용은 ARM(Azure Resource Manager) 템플릿을 사용하여 NSG 흐름 로그 구성 및 Bicep 파일을 사용하여 NSG 흐름 로그 구성을 참조하세요.

트래픽 분석은 요금이 측정됩니다. 요금은 서비스에서 생성된 흐름 로그 데이터 처리 및 Log Analytics 작업 영역에서 생성된 향상된 로그 저장을 기준으로 측정됩니다.

예를 들어, 미국 중서부 지역을 고려하여 Network Watcher 가격 책정 및 Azure Monitor 가격 책정에 따라 트래픽 분석으로 처리된 스토리지 계정에 저장된 흐름 로그 데이터가 10GB이고 Log Analytics 작업 영역에서 수집된 향상된 로그가 1GB인 경우 적용 가능한 요금은 10 x 2.3$ + 1 x 2.76$ = 25.76$입니다.

트래픽 분석의 기본 처리 간격은 60분이지만, 10분 간격으로 가속 처리를 선택할 수 있습니다. 자세한 내용은 트래픽 분석의 데이터 집계를 참조하세요.

트래픽 분석은 Microsoft 내부 위협 인텔리전스 시스템을 사용하여 IP를 악성으로 간주합니다. 해당 시스템은 Microsoft 제품 및 서비스, Microsoft DCU(Digital Crimes Unit), MSRC(Microsoft 보안 대응 센터) 및 외부 피드와 같은 다양한 원격 분석 원본을 활용하며 그 위에 많은 인텔리전스를 빌드합니다. 해당 데이터 중 일부는 Microsoft Internal입니다. 알려진 IP가 악성으로 표시되는 경우 지원 티켓을 제출하여 세부 정보를 확인합니다.

트래픽 분석에는 경고가 기본적으로 지원되지 않습니다. 그러나 트래픽 분석 데이터가 Log Analytics에 저장되므로 사용자 지정 쿼리를 작성하고 경고를 설정할 수 있습니다. 다음 단계를 수행합니다.

• 트래픽 분석에서 Log Analytics 링크를 사용할 수 있습니다.
• 쿼리를 작성하려면 트래픽 분석 스키마를 사용합니다.
• 경고를 만들려면 새 경고 규칙을 선택합니다.
• 경고를 만들려면 새 경고 규칙 만들기를 참조하세요.

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

IP의 경우 다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

시간에는 yyyy-mm-dd 00:00:00 형식을 사용합니다.

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

IP의 경우:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

다음 쿼리를 사용합니다.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

지역 지도 페이지에는 두 개의 기본 섹션이 있습니다.

• 배너: 지역 맵 위쪽에 있는 배너는 트래픽 분포 필터(예: 배포, 국가/지역의 트래픽 및 악성)를 선택하는 단추를 제공합니다. 단추를 선택하면 각 필터가 지도에 적용됩니다. 예를 들어, [활성] 단추를 선택하면 지도에서 배포의 활성 데이터 센터가 강조 표시됩니다.
• 맵: 배너 아래의 맵 섹션에는 Azure 데이터 센터와 국가/지역 간의 트래픽 분포가 표시됩니다.

배너에서 키보드 탐색

• 기본적으로 배너에 대한 지역 지도 페이지에서 선택할 수 있는 항목은 “Azure DC” 필터입니다.
• 다른 필터로 이동하려면 Tab 또는 Right arrow 키를 사용합니다. 뒤로 이동하려면 Shift+Tab 또는 Left arrow 키를 사용합니다. 앞으로 탐색은 왼쪽에서 오른쪽, 위쪽에서 아래쪽 순입니다.
• Enter 또는 Down 화살표 키를 누르면 선택한 필터가 적용됩니다. 선택하는 필터와 배포에 따라 지도 섹션 아래에 있는 하나 이상의 노드가 강조 표시됩니다.
• 배너 및 지도 사이에서 전환하려면 Ctrl+F6 키를 누릅니다.

지도에서 키보드 탐색

• 배너에서 필터를 선택하고 Ctrl+F6을 누르면 맵 보기에서 강조 표시된 노드(Azure 데이터 센터 또는 국가/지역) 중 하나로 포커스가 이동합니다.
• 지도에서 강조 표시된 다른 노드로 이동하려면 Tab 또는 Right arrow 키를 사용하여 앞으로 이동합니다. 뒤로 이동하려면 Shift+Tab 또는 Left arrow 키를 사용합니다.
• 지도에서 강조 표시된 노드를 선택하려면 Enter 또는 Down arrow 키를 사용합니다.
• 노드를 선택하면 해당 노드의 정보 도구 상자로 포커스가 이동됩니다. 기본적으로 포커스는 정보 도구 상자의 닫힌 단추로 이동합니다. 상자 보기 내부에서 추가로 이동하려면 Right arrow 및 Left arrow 키를 사용하여 각각 앞으로 또는 뒤로 이동할 수 있습니다. Enter 키를 누르면 정보 도구 상자에서 포커스가 있는 단추를 선택한 것과 동일한 효과가 적용됩니다.
• 정보 도구 상자에 포커스가 있는 동안 Tab 키를 누르면 선택된 노드와 동일한 대륙의 끝점으로 포커스가 이동합니다. Right arrow 및 Left arrow 키를 사용하여 이러한 엔드포인트 간을 이동합니다.
• 다른 흐름 엔드포인트 또는 대륙 클러스터로 이동하려면 Tab 키를 사용하여 앞으로 이동하고 Shift+Tab 키를 사용하여 뒤로 이동합니다.
• 대륙 클러스터에 포커스가 있을 때 Enter 또는 Down 화살표 키를 사용하여 대륙 클러스터 내부의 엔드포인트를 강조 표시할 수 있습니다. 대륙 클러스터의 정보 상자에서 엔드포인트와 [닫기] 단추 간을 이동하려면 Right arrow 또는 Left arrow 키를 사용하여 각각 앞으로 또는 뒤로 이동할 수 있습니다. 아무 엔드포인트에서 Shift+L 키를 사용하여 선택한 노드와 엔드포인트를 잇는 연결선으로 전환할 수 있습니다. Shift+L을 다시 누르면 선택한 엔드포인트로 이동할 수 있습니다.

모든 단계에서 키보드 탐색

• Esc 키는 확장된 선택을 축소합니다.
• Up-arrow 키는 Esc 키와 동일한 작업을 수행합니다. Down arrow 키는 Enter 키와 동일한 작업을 수행합니다.
• Shift+Plus 키로 확대, Shift+Minus 키로 축소할 수 있습니다.

가상 네트워크 토폴로지 페이지에는 두 개의 기본 섹션이 있습니다.

• 배너: 가상 네트워크 토폴로지 위쪽에 있는 배너는 트래픽 분포 필터(예: 연결된 가상 네트워크, 연결이 끊어진 가상 네트워크 및 공용 IP)를 선택하는 단추를 제공합니다. 단추를 선택하면 각 필터가 토폴로지에 적용됩니다. 예를 들어, [활성] 단추를 선택하면 토폴로지에서 배포의 활성 가상 네트워크가 강조 표시됩니다.
• 토폴로지: 배너 아래의 토폴로지 섹션에는 가상 네트워크 간의 트래픽 분포가 표시됩니다.

배너에서 키보드 탐색

• 기본적으로 배너에 대한 가상 네트워크 토폴로지 페이지에서 선택할 수 있는 항목은 “연결된 VNet” 필터입니다.
• 다른 필터로 이동하려면 Tab 키를 사용하여 앞으로 이동합니다. 뒤로 이동하려면 Shift+Tab 키를 사용합니다. 앞으로 탐색은 왼쪽에서 오른쪽, 위쪽에서 아래쪽 순입니다.
• Enter 키를 누르면 선택한 필터가 적용됩니다. 선택하는 필터와 배포에 따라 토폴로지 섹션 아래에 있는 하나 이상의 노드(가상 네트워크)가 강조 표시됩니다.
• 배너와 토폴로지 사이를 전환하려면 Ctrl+F6을 누릅니다.

토폴로지에서 키보드 탐색

• 배너에서 필터를 선택하고 Ctrl+F6을 누르면 토폴로지 보기에서 강조 표시된 노드 중 하나(VNet)로 포커스가 이동됩니다.
• 토폴로지 보기에서 강조 표시된 다른 노드로 이동하려면 Shift+Right arrow 키를 사용하여 앞으로 이동합니다.
• 강조 표시된 노드에서는 노드의 정보 도구 상자로 포커스가 이동됩니다. 기본적으로 포커스는 정보 도구 상자의 자세한 정보 단추로 이동합니다. 상자 보기 내부에서 추가로 이동하려면 Right arrow 및 Left arrow 키를 사용하여 각각 앞으로 또는 뒤로 이동할 수 있습니다. Enter 키를 누르면 정보 도구 상자에서 포커스가 있는 단추를 선택한 것과 동일한 효과가 적용됩니다.
• 이러한 노드를 선택할 때 Shift+Left arrow 키를 눌러 해당 연결을 모두 하나씩 방문할 수 있습니다. 포커스가 해당 연결의 정보 도구 상자로 이동합니다. 언제든지 Shift+Right arrow를 다시 눌러 포커스를 다시 노드로 이동할 수 있습니다.

서브네트워크 토폴로지 페이지에는 두 개의 기본 섹션이 있습니다.

• 배너: 가상 서브네트워크 토폴로지 위쪽에 있는 배너는 트래픽 분포 필터(예: 활성, 중간 및 게이트웨이 서브넷)를 선택하는 단추를 제공합니다. 단추를 선택하면 각 필터가 토폴로지에 적용됩니다. 예를 들어, [활성] 단추를 선택하면 토폴로지에서 배포의 활성 가상 서브네트워크가 강조 표시됩니다.
• 토폴로지: 배너 아래의 토폴로지 섹션에는 가상 서브네트워크 간의 트래픽 분포가 표시됩니다.

배너에서 키보드 탐색

• 기본적으로 배너에 대한 가상 서브네트워크 토폴로지 페이지에서 선택할 수 있는 항목은 “서브넷” 필터입니다.
• 다른 필터로 이동하려면 Tab 키를 사용하여 앞으로 이동합니다. 뒤로 이동하려면 Shift+Tab 키를 사용합니다. 앞으로 탐색은 왼쪽에서 오른쪽, 위쪽에서 아래쪽 순입니다.
• Enter 키를 누르면 선택한 필터가 적용됩니다. 선택하는 필터와 배포에 따라 토폴로지 섹션 아래에 있는 하나 이상의 노드(서브넷)가 강조 표시됩니다.
• 배너와 토폴로지 사이를 전환하려면 Ctrl+F6을 누릅니다.

토폴로지에서 키보드 탐색

• 배너에서 필터를 선택하고 Ctrl+F6을 누르면 토폴로지 보기에서 강조 표시된 노드 중 하나(서브넷)로 포커스가 이동됩니다.
• 토폴로지 보기에서 강조 표시된 다른 노드로 이동하려면 Shift+Right arrow 키를 사용하여 앞으로 이동합니다.
• 강조 표시된 노드에서는 노드의 정보 도구 상자로 포커스가 이동됩니다. 기본적으로 포커스는 정보 도구 상자의 자세한 정보 단추로 이동합니다. 상자 보기 내부에서 추가로 이동하려면 Right arrow 및 Left arrow 키를 사용하여 각각 앞으로 또는 뒤로 이동할 수 있습니다. Enter 키를 누르면 정보 도구 상자에서 포커스가 있는 단추를 선택한 것과 동일한 효과가 적용됩니다.
• 이러한 노드를 선택할 때 Shift+Left arrow 키를 눌러 해당 연결을 모두 하나씩 방문할 수 있습니다. 포커스가 해당 연결의 정보 도구 상자로 이동합니다. 언제든지 Shift+Right arrow를 다시 눌러 포커스를 다시 노드로 이동할 수 있습니다.