Veelgestelde vragen over Traffic Analytics (FAQ)

Zie vereisten voor Traffic Analytics voor een lijst met de vereiste vereisten.

Zie Azure-roltoewijzingen weergeven met behulp van Azure Portal voor meer informatie over het controleren van rollen die zijn toegewezen aan een gebruiker voor een abonnement. Als u de roltoewijzingen niet kunt zien, neemt u contact op met de desbetreffende abonnementsbeheerder.

Ja, netwerkbeveiligingsgroepen kunnen zich in verschillende regio's bevinden dan uw Log Analytics-werkruimteregio.

Ja.

Nee, traffic analytics biedt geen ondersteuning voor klassieke netwerkbeveiligingsgroepen.

In de vervolgkeuzelijst resourceselectie in het dashboard voor traffic analytics moet de resourcegroep van de resource van het virtuele netwerk zijn geselecteerd, niet de resourcegroep van de virtuele machine of netwerkbeveiligingsgroep.

Ja. Als u een bestaande werkruimte selecteert, moet u ervoor zorgen dat deze is gemigreerd naar de nieuwe querytaal. Als u de werkruimte niet wilt upgraden, moet u een nieuwe maken. Zie Logboekquery's in Azure Monitor voor meer informatie over Kusto-querytaal (KQL).

Ja, uw Azure-opslagaccount kan zich in één abonnement bevinden en uw Log Analytics-werkruimte kan zich in een ander abonnement bevinden.

Ja. U kunt stroomlogboeken configureren die worden verzonden naar een opslagaccount in een ander abonnement, mits u over de juiste bevoegdheden beschikt en dat het opslagaccount zich in dezelfde regio bevindt als de netwerkbeveiligingsgroep (stroomlogboeken voor netwerkbeveiligingsgroepen) of virtueel netwerk (logboeken voor virtuele netwerkstroom). Het doelopslagaccount moet dezelfde Microsoft Entra-tenant van de netwerkbeveiligingsgroep of het virtuele netwerk delen.

Nee Alle resources moeten zich in dezelfde tenant bevinden, inclusief netwerkbeveiligingsgroepen (stroomlogboeken voor netwerkbeveiligingsgroepen), virtuele netwerken (virtuele netwerkstroomlogboeken), stroomlogboeken, opslagaccounts en Log Analytics-werkruimten (als traffic analytics is ingeschakeld).

Ja.

Nee Als u het opslagaccount verwijdert dat wordt gebruikt voor stroomlogboeken, worden de gegevens die zijn opgeslagen in de Log Analytics-werkruimte niet beïnvloed. U kunt nog steeds historische gegevens weergeven in de Log Analytics-werkruimte (sommige metrische gegevens worden beïnvloed), maar verkeersanalyse verwerkt geen nieuwe extra stroomlogboeken meer totdat u de stroomlogboeken bijwerkt om een ander opslagaccount te gebruiken.

Selecteer een ondersteunde regio. Als u een niet-ondersteunde regio selecteert, wordt de fout 'Niet gevonden' weergegeven. Zie ondersteunde regio's voor Traffic Analytics voor meer informatie.

De Microsoft.Insights provider moet zijn geregistreerd om stroomlogboekregistratie goed te laten werken. Als u niet zeker weet of de Microsoft.Insights provider is geregistreerd voor uw abonnement, raadpleegt u azure Portal, PowerShell of Azure CLI-instructies voor het registreren ervan.

Het kan tot 30 minuten duren voordat rapporten voor het eerst worden weergegeven op het dashboard. De oplossing moet eerst voldoende gegevens aggregeren om zinvolle inzichten af te leiden en vervolgens rapporten te genereren.

Probeer de volgende opties:

• Wijzig het tijdsinterval in de bovenste balk.
• Selecteer een andere Log Analytics-werkruimte in de bovenste balk.
• Probeer na 30 minuten toegang te krijgen tot traffic analytics, als deze onlangs is ingeschakeld.

Als de problemen zich blijven voordoen, moet u zorgen maken in Microsoft Q&A.

Mogelijk ziet u dit bericht omdat:

• Traffic Analytics is onlangs ingeschakeld en heeft mogelijk nog niet voldoende gegevens verzameld om zinvolle inzichten te verkrijgen.
• U gebruikt de gratis versie van de Log Analytics-werkruimte en de quotumlimieten zijn overschreden. Mogelijk moet u een werkruimte met een grotere capaciteit gebruiken.

Probeer de voorgestelde oplossingen voor de vorige vraag. Als de problemen zich blijven voordoen, moet u zorgen maken in Microsoft Q&A.

U ziet de informatie over de resources op het dashboard; Er zijn echter geen stroomgerelateerde statistieken aanwezig. Gegevens zijn mogelijk niet aanwezig vanwege geen communicatiestromen tussen de resources. Wacht 60 minuten en controleer de status opnieuw. Als het probleem zich blijft voordoen en u zeker weet dat de communicatie tussen resources bestaat, moet u zorgen maken in Microsoft Q&A.

U kunt traffic analytics configureren met Windows PowerShell versie 6.2.1 en hoger. Zie Stroomlogboeken en verkeersanalyses inschakelen voor een specifieke netwerkbeveiligingsgroep met behulp van PowerShell om stroomlogboeken en verkeersanalyses voor stroomlogboeken voor netwerkbeveiligingsgroepen in te schakelen.

Ja, u kunt een Azure Resource Manager-sjabloon of een Bicep-bestand gebruiken om traffic analytics te configureren. Zie NSG-stroomlogboeken configureren met behulp van een ARM-sjabloon (Azure Resource Manager) en NSG-stroomlogboeken configureren met behulp van een Bicep-bestand voor meer informatie.

Traffic Analytics wordt gemeten. De meting is gebaseerd op het verwerken van stroomlogboekgegevens door de service en het opslaan van de resulterende verbeterde logboeken in een Log Analytics-werkruimte.

Bijvoorbeeld, volgens de prijzen van Network Watcher en Azure Monitor, rekening houdend met de regio VS - west-centraal, als stroomlogboekgegevens die zijn opgeslagen in een opslagaccount dat wordt verwerkt door traffic analytics 10 GB is en verbeterde logboeken die zijn opgenomen in de Log Analytics-werkruimte 1 GB zijn, zijn de toepasselijke kosten: 10 x 2.3$ + 1 x 2,76$ = 25,76$

Het standaardverwerkingsinterval van verkeersanalyse is 60 minuten, maar u kunt versnelde verwerking selecteren met intervallen van 10 minuten. Zie Gegevensaggregatie in verkeersanalyse voor meer informatie.

Traffic Analytics is afhankelijk van interne bedreigingsinformatiesystemen van Microsoft om een IP-adres als schadelijk te zien. Deze systemen maken gebruik van diverse telemetriebronnen, zoals Microsoft-producten en -services, de Microsoft Digital Crimes Unit (DCU), het Microsoft Security Response Center (MSRC) en externe feeds en bouwen veel informatie op. Sommige van deze gegevens zijn Intern van Microsoft. Als een bekend IP-adres wordt gemarkeerd als schadelijk, dient u een ondersteuningsticket in om de details te weten.

Traffic Analytics biedt geen ingebouwde ondersteuning voor waarschuwingen. Omdat verkeersanalysegegevens echter worden opgeslagen in Log Analytics, kunt u aangepaste query's schrijven en waarschuwingen instellen. Volg vervolgens deze stappen:

• U kunt de Log Analytics-koppeling gebruiken in traffic analytics.
• Gebruik het Traffic Analytics-schema om uw query's te schrijven.
• Selecteer Nieuwe waarschuwingsregel om de waarschuwing te maken.
• Zie Een nieuwe waarschuwingsregel maken om de waarschuwing te maken.

Gebruik de volgende query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Gebruik de volgende query voor IP-adressen:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Gebruik voor tijd de notatie jjjj-mm-dd 00:00:00

Gebruik de volgende query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Voor IP-adressen:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Gebruik de volgende query:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

De geokaartpagina bevat twee hoofdsecties:

• Banner: De banner boven aan de geokaart bevat knoppen voor het selecteren van verkeersdistributiefilters (bijvoorbeeld implementatie, verkeer uit landen/regio's en schadelijk). Wanneer u een knop selecteert, wordt het betreffende filter toegepast op de kaart. Als u bijvoorbeeld de knop Actief selecteert, worden in de kaart de actieve datacenters in uw implementatie gemarkeerd.
• Kaart: Onder de banner toont de sectie kaartverkeersdistributie tussen Azure-datacenters en landen/regio's.

Toetsenbordnavigatie op de banner

• Standaard is de selectie op de pagina met geografische kaarten voor de banner het filter 'Azure-DC's'.
• Als u naar een ander filter wilt gaan, gebruikt u de Tab sleutel of de Right arrow sleutel. Als u achteruit wilt gaan, gebruikt u de Shift+Tab sleutel of de Left arrow sleutel. Navigatie vooruit is van links naar rechts, gevolgd door boven naar beneden.
• Druk Enter of de Down pijltoets om het geselecteerde filter toe te passen. Op basis van filterselectie en implementatie zijn een of meer knooppunten onder de kaartsectie gemarkeerd.
• Als u wilt schakelen tussen banner en kaart, drukt u op Ctrl+F6.

Toetsenbordnavigatie op de kaart

• Nadat u een filter op de banner hebt geselecteerd en op Ctrl+F6drukt, wordt de focus verplaatst naar een van de gemarkeerde knooppunten (Azure-datacenter of land/regio) in de kaartweergave.
• Als u naar andere gemarkeerde knooppunten in de kaart wilt gaan, gebruikt Tab u of de Right arrow sleutel voor voorwaartse verplaatsing. Gebruik Shift+Tab of de Left arrow toets voor achterwaartse beweging.
• Als u een gemarkeerd knooppunt in de kaart wilt selecteren, gebruikt u de Enter of Down arrow sleutel.
• Bij het selecteren van dergelijke knooppunten wordt de focus verplaatst naar het vak Informatiehulpmiddel voor het knooppunt. Standaard wordt de focus verplaatst naar de gesloten knop in het vak Informatiehulpmiddel. Als u verder wilt gaan in de Box-weergave , gebruikt Right arrow u en Left arrow de toetsen om respectievelijk vooruit en achteruit te gaan. Drukken Enter heeft hetzelfde effect als het selecteren van de knop met prioriteit in het vak Informatiehulpmiddel.
• Wanneer u op Tab de focus drukt in het vak Informatiehulpmiddel, wordt de focus verplaatst naar de eindpunten op hetzelfde continent als het geselecteerde knooppunt. Gebruik de Right arrow en Left arrow sleutels om door deze eindpunten te bladeren.
• Als u naar andere stroomeindpunten of continentclusters wilt gaan, gebruikt Tab u deze voor voorwaartse beweging en Shift+Tab voor achterwaartse beweging.
• Wanneer de focus zich op continentclusters bevindt, gebruikt u de Enter of Down pijltoetsen om de eindpunten in het continentcluster te markeren. Als u door eindpunten en de knop Sluiten in het informatievak van het continentcluster wilt navigeren, gebruikt u respectievelijk de Right arrow of Left arrow sleutel voor voorwaartse en achterwaartse verplaatsing. Op elk eindpunt kunt u overschakelen Shift+L naar de verbindingslijn van het geselecteerde knooppunt naar het eindpunt. U kunt nogmaals drukken Shift+L om naar het geselecteerde eindpunt te gaan.

Toetsenbordnavigatie in elke fase

• Met Esc de sleutel wordt de uitgevouwen selectie samengevouwen.
• De Up-arrow sleutel voert dezelfde actie uit als Esc. De Down arrow sleutel voert dezelfde actie uit als Enter.
• Gebruik Shift+Plus deze functie om in te zoomen en Shift+Minus uit te zoomen.

De topologiepagina van virtuele netwerken bevat twee hoofdsecties:

• Banner: De banner boven aan de topologie van virtuele netwerken bevat knoppen voor het selecteren van verkeersdistributiefilters (bijvoorbeeld Verbinding maken ed virtuele netwerken, niet-verbonden virtuele netwerken en openbare IP-adressen). Wanneer u een knop selecteert, wordt het betreffende filter toegepast op de topologie. Als u bijvoorbeeld de knop Actief selecteert, worden in de topologie de actieve virtuele netwerken in uw implementatie gemarkeerd.
• Topologie: Onder de banner toont de topologiesectie de verkeersdistributie tussen virtuele netwerken.

Toetsenbordnavigatie op de banner

• Standaard is de selectie op de topologiepagina van virtuele netwerken voor de banner het filter 'Verbinding maken ed VNets'.
• Als u naar een ander filter wilt gaan, gebruikt u de Tab sleutel om vooruit te gaan. Als u achteruit wilt gaan, gebruikt u de Shift+Tab sleutel. Navigatie vooruit is van links naar rechts, gevolgd door boven naar beneden.
• Druk Enter om het geselecteerde filter toe te passen. Op basis van de filterselectie en -implementatie zijn een of meerdere knooppunten (virtueel netwerk) onder de sectie topologie gemarkeerd.
• Als u wilt schakelen tussen de banner en de topologie, drukt u op Ctrl+F6.

Toetsenbordnavigatie op de topologie

• Nadat u een filter op de banner hebt geselecteerd en hebt ingedrukt Ctrl+F6, wordt de focus verplaatst naar een van de gemarkeerde knooppunten (VNet) in de topologieweergave.
• Als u naar andere gemarkeerde knooppunten in de topologieweergave wilt gaan, gebruikt u de Shift+Right arrow sleutel voor voorwaartse verplaatsing.
• Op gemarkeerde knooppunten wordt de focus verplaatst naar het vak Informatiehulpmiddel voor het knooppunt. Standaard wordt de focus verplaatst naar de knop Meer details in het vak Informatie. Als u verder in de Box-weergave wilt navigeren, gebruikt u respectievelijk de Right arrow en Left arrow toetsen om vooruit en achteruit te gaan. Drukken Enter heeft hetzelfde effect als het selecteren van de knop met prioriteit in het vak Informatiehulpmiddel.
• Bij het selecteren van dergelijke knooppunten kunt u alle verbindingen, één voor één, bezoeken door op de toets te Shift+Left arrow drukken. De focus wordt verplaatst naar het vak Informatiehulpmiddel van die verbinding. Op elk gewenst moment kan de focus naar het knooppunt worden verplaatst door opnieuw te drukken Shift+Right arrow .

De topologiepagina voor virtuele subnetten bevat twee hoofdsecties:

• Banner: De banner boven aan de topologie van het virtuele subnetwerk bevat knoppen voor het selecteren van verkeersdistributiefilters (bijvoorbeeld actieve, gemiddelde en gatewaysubnetten). Wanneer u een knop selecteert, wordt het betreffende filter toegepast op de topologie. Als u bijvoorbeeld de knop Actief selecteert, wordt in de topologie het actieve virtuele subnetwerk in uw implementatie gemarkeerd.
• Topologie: Onder de banner toont de topologiesectie de verkeersdistributie tussen virtuele subnetten.

Toetsenbordnavigatie op de banner

• De selectie op de topologiepagina van het virtuele subnetwerk voor de banner is standaard het filter Subnetten.
• Als u naar een ander filter wilt gaan, gebruikt u de Tab sleutel om vooruit te gaan. Als u achteruit wilt gaan, gebruikt u de Shift+Tab sleutel. Navigatie vooruit is van links naar rechts, gevolgd door boven naar beneden.
• Druk Enter om het geselecteerde filter toe te passen. Op basis van filterselectie en implementatie zijn een of meerdere knooppunten (Subnet) onder de sectie topologie gemarkeerd.
• Als u wilt schakelen tussen de banner en de topologie, drukt u op Ctrl+F6.

Toetsenbordnavigatie op de topologie

• Nadat u een filter op de banner hebt geselecteerd en hebt ingedrukt Ctrl+F6, wordt de focus verplaatst naar een van de gemarkeerde knooppunten (Subnet) in de topologieweergave.
• Als u naar andere gemarkeerde knooppunten in de topologieweergave wilt gaan, gebruikt u de Shift+Right arrow sleutel voor voorwaartse verplaatsing.
• Op gemarkeerde knooppunten wordt de focus verplaatst naar het vak Informatiehulpmiddel voor het knooppunt. Standaard wordt de focus verplaatst naar de knop Meer details in het vak Informatie. Als u verder wilt gaan in de Box-weergave , gebruikt Right arrow u en Left arrow de toetsen om respectievelijk vooruit en achteruit te gaan. Drukken Enter heeft hetzelfde effect als het selecteren van de knop met prioriteit in het vak Informatiehulpmiddel.
• Bij het selecteren van dergelijke knooppunten kunt u alle bijbehorende verbindingen bezoeken, één voor één, door op de toets te drukken Shift+Left arrow . De focus wordt verplaatst naar het vak Informatiehulpmiddel van die verbinding. Op elk gewenst moment kan de focus naar het knooppunt worden verplaatst door opnieuw te drukken Shift+Right arrow .