Omówienie analizy ruchu

Analiza ruchu to rozwiązanie oparte na chmurze, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. W szczególności analiza ruchu analizuje dzienniki przepływów usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

• Wizualizowanie działań sieciowych w ramach subskrypcji platformy Azure.

• Zidentyfikuj punkty aktywne.

• Zabezpiecz sieć, korzystając z informacji o następujących składnikach w celu zidentyfikowania zagrożeń:

  • Otwarte porty
  • Aplikacje, które próbują uzyskać dostęp do Internetu
  • Maszyny wirtualne łączące się z nieuczciwymi sieciami

• Zoptymalizuj wdrożenie sieci pod kątem wydajności i pojemności, rozumiejąc wzorce przepływu ruchu między regionami platformy Azure i Internetem.

• Wskazuje błędy konfiguracji sieci, które mogą prowadzić do niepowodzenia połączeń w sieci.

Dlaczego warto kierować się analizą ruchu?

Ważne jest, aby monitorować, zarządzać i znać własną sieć w celu zapewnienia nienaruszonego bezpieczeństwa, zgodności i wydajności. Znajomość własnego środowiska ma kluczowe znaczenie dla ochrony i optymalizacji. Często musisz znać bieżący stan sieci, w tym następujące informacje:

• Kto łączy się z siecią?
• Skąd się łączą?
• Które porty są otwarte dla Internetu?
• Jakie jest oczekiwane zachowanie sieci?
• Czy istnieją nieregularne zachowania sieci?
• Czy występują nagłe wzrosty ruchu?

Sieci w chmurze różnią się od lokalnych sieci przedsiębiorstwa. W sieciach lokalnych routery i przełączniki obsługują platformę NetFlow i inne równoważne protokoły. Tych urządzeń można używać do zbierania danych dotyczących ruchu sieciowego IP podczas wprowadzania lub zamykania interfejsu sieciowego. Analizując dane przepływu ruchu, można utworzyć analizę przepływu ruchu sieciowego i woluminu.

W przypadku sieci wirtualnych platformy Azure dzienniki przepływu zbierają dane dotyczące sieci. Te dzienniki zawierają informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń lub sieci wirtualnej. Analiza ruchu analizuje nieprzetworzone dzienniki przepływu i łączy dane dziennika z analizą zabezpieczeń, topologii i lokalizacji geograficznej. Analiza ruchu zapewnia wgląd w przepływ ruchu w środowisku.

Analiza ruchu udostępnia następujące informacje:

• Najbardziej komunikujące się hosty
• Większość komunikujących się protokołów aplikacji
• Najbardziej rozmawiające pary hostów
• Dozwolony i zablokowany ruch
• Ruch przychodzący i wychodzący
• Otwieranie portów internetowych
• Najbardziej blokujące reguły
• Dystrybucja ruchu dla centrum danych platformy Azure, sieci wirtualnej, podsieci lub sieci nieuczciwych

Najważniejsze składniki

Do korzystania z analizy ruchu potrzebne są następujące składniki:

• Network Watcher: usługa regionalna, której można użyć do monitorowania i diagnozowania warunków na poziomie scenariusza sieciowego na platformie Azure. Możesz użyć usługi Network Watcher do włączania i wyłączania dzienników przepływu w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Network Watcher? i Włączanie lub wyłączanie usługi Azure Network Watcher.

• Log Analytics: narzędzie w witrynie Azure Portal używane do pracy z danymi dzienników usługi Azure Monitor. Dzienniki usługi Azure Monitor to usługa platformy Azure, która zbiera dane monitorowania i przechowuje dane w centralnym repozytorium. Te dane mogą obejmować zdarzenia, dane wydajności lub dane niestandardowe udostępniane za pośrednictwem interfejsu API platformy Azure. Po zebraniu tych danych będą dostępne alerty, analiza i eksport. Aplikacje monitorujące, takie jak monitorowanie wydajności sieci i analiza ruchu, wykorzystują dzienniki Azure Monitor jako podstawę. Aby uzyskać więcej informacji, zobacz Dzienniki usługi Azure Monitor. Usługa Log Analytics umożliwia edytowanie i uruchamianie zapytań w dziennikach. To narzędzie umożliwia również analizowanie wyników zapytań. Aby uzyskać więcej informacji, zobacz Omówienie usługi Log Analytics w usłudze Azure Monitor.

• Obszar roboczy usługi Log Analytics: środowisko przechowujące dane dziennika usługi Azure Monitor dotyczące konta platformy Azure. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics i Tworzenie obszaru roboczego usługi Log Analytics.

• Ponadto musisz mieć włączoną sieciową grupę zabezpieczeń na potrzeby rejestrowania przepływów, jeśli używasz analizy ruchu do analizowania dzienników przepływu z sieciowej grupy zabezpieczeń lub włączoną sieć wirtualną na potrzeby rejestrowania przepływów, jeśli używasz analizy ruchu do analizowania dzienników przepływu z sieci wirtualnej.

  • Sieciowa grupa zabezpieczeń( NSG): zasób zawierający listę reguł zabezpieczeń, które zezwalają na ruch sieciowy do lub z zasobów połączonych z siecią wirtualną platformy Azure. Sieciowe grupy zabezpieczeń mogą być skojarzone z podsieciami, interfejsami sieciowymi (KARTami sieciowymi) dołączonymi do maszyn wirtualnych (Resource Manager) lub poszczególnymi maszynami wirtualnymi (klasycznymi). Aby uzyskać więcej informacji, zobacz Omówienie sieciowej grupy zabezpieczeń.

  • Dzienniki przepływu sieciowej grupy zabezpieczeń: zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń. Dzienniki przepływu sieciowej grupy zabezpieczeń są zapisywane w formacie JSON i obejmują:

    • Przepływy wychodzące i przychodzące oceniam osobno dla każdej reguły.
    • Karta sieciowa, do której ma zastosowanie przepływ.
    • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
    • Stan ruchu, na przykład dozwolony lub zabroniony.

    Aby uzyskać więcej informacji, zobacz Network security group flow logs overview (Omówienie dzienników przepływu sieciowej grupy zabezpieczeń) i Create a network security group flow log (Tworzenie dziennika przepływu sieciowej grupy zabezpieczeń).

  • Sieć wirtualna (VNet): zasób, który umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Aby uzyskać więcej informacji, zobacz Omówienie sieci wirtualnej.

  • Dzienniki przepływu sieci wirtualnej: zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieci wirtualnej. Dzienniki przepływu sieci wirtualnej są zapisywane w formacie JSON i obejmują:

    • Przepływy wychodzące i przychodzące.
    • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
    • Stan ruchu, na przykład dozwolony lub zabroniony.

    Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieci wirtualnej i Tworzenie dziennika przepływu sieci wirtualnej. Aby dowiedzieć się więcej o różnicach między dziennikami przepływów sieciowej grupy zabezpieczeń i dziennikami przepływów sieci wirtualnej, zobacz Dzienniki przepływu sieci wirtualnej w porównaniu z dziennikami przepływu sieciowej grupy zabezpieczeń.

Uwaga

Aby korzystać z analizy ruchu, musisz mieć wymagane uprawnienia. Aby uzyskać więcej informacji, zobacz Uprawnienia analizy ruchu.

Jak działa analiza ruchu

Analiza ruchu analizuje nieprzetworzone dzienniki przepływu. Następnie zmniejsza wolumin dziennika przez agregowanie przepływów, które mają wspólny źródłowy adres IP, docelowy adres IP, port docelowy i protokół.

Przykładem może być host 1 pod adresem IP 10.10.10.10 i hostem 2 pod adresem IP 10.10.20.10. Załóżmy, że te dwa hosty komunikują się 100 razy w ciągu jednej godziny. W tym przypadku dziennik nieprzetworzonych przepływów zawiera 100 wpisów. Jeśli te hosty używają protokołu HTTP na porcie 80 dla każdej z tych 100 interakcji, zmniejszony dziennik ma jeden wpis. Ten wpis wskazuje, że host 1 i host 2 komunikował się 100 razy w ciągu jednej godziny przy użyciu protokołu HTTP na porcie 80.

Skrócone dzienniki są rozszerzone o informacje o lokalizacji geograficznej, zabezpieczeniach i topologii, a następnie przechowywane w obszarze roboczym usługi Log Analytics. Na poniższym diagramie przedstawiono przepływ danych:

Dostępność

W poniższych tabelach wymieniono obsługiwane regiony, w których można włączyć analizę ruchu dla dzienników przepływu i obszarów roboczych usługi Log Analytics, których można użyć.

Ameryka Północna / Ameryka Południowa

Rejon	Dzienniki przepływu grupy zabezpieczeń sieciowych	Dzienniki przepływu sieci wirtualnej	Analiza ruchu	Obszar roboczy usługi Log Analytics
Brazylia Południowa	✓	✓	✓	✓
Brazylia Południowo–Wschodnia	✓	✓	✓	✓
Kanada Środkowa	✓	✓	✓	✓
Kanada Wschodnia	✓	✓	✓	✓
Środkowe stany USA	✓	✓	✓	✓
Wschodnie stany USA	✓	✓	✓	✓
Wschodnie stany USA 2	✓	✓	✓	✓
Meksyk Środkowy	✓	✓	✓
Północno-środkowe stany USA	✓	✓	✓	✓
Południowo-centralne USA	✓	✓	✓	✓
Zachodnio-środkowe stany USA	✓	✓	✓	✓
Zachodnie stany USA	✓	✓	✓	✓
Zachodnie stany USA 2	✓	✓	✓	✓
Zachodnie stany USA 3	✓	✓	✓	✓

Europa

Rejon	Dzienniki przepływu grupy zabezpieczeń sieciowych	Dzienniki przepływu sieci wirtualnej	Analiza ruchu	Obszar roboczy usługi Log Analytics
Francja Środkowa	✓	✓	✓	✓
Francja Południowa	✓	✓
Niemcy Północne	✓	✓	✓	✓
Niemcy Środkowo-Zachodnie	✓	✓	✓	✓
Włochy Północne	✓	✓	✓	✓
Europa Północna	✓	✓	✓	✓
Norwegia Wschodnia	✓	✓	✓	✓
Norwegia Zachodnia	✓	✓		✓
Polska Środkowa	✓	✓	✓	✓
Hiszpania Środkowa	✓	✓	✓
Szwecja Środkowa	✓	✓	✓	✓
Szwajcaria Północna	✓	✓	✓	✓
Szwajcaria Zachodnia	✓	✓	✓	✓
Południowe Zjednoczone Królestwo	✓	✓	✓	✓
Zachodnie Zjednoczone Królestwo	✓	✓	✓	✓
Europa Zachodnia	✓	✓	✓	✓

Australia / Azja / Pacyfik

Rejon	Dzienniki przepływu grupy zabezpieczeń sieciowych	Dzienniki przepływu sieci wirtualnej	Analiza ruchu	Obszar roboczy usługi Log Analytics
Australia Środkowa	✓	✓	✓	✓
Australia Środkowa 2	✓	✓		✓
Australia Wschodnia	✓	✓	✓	✓
Australia Południowo-Wschodnia	✓	✓	✓	✓
Indie Centralne	✓	✓	✓	✓
Chiny Wschodnie	✓	✓
Chiny Wschodnie 2	✓	✓	✓	✓
Chiny Wschodnie 3	✓	✓	✓
Chiny Północne	✓	✓	✓	✓
Chiny Północne 2	✓	✓	✓	✓
Chiny Północne 3	✓	✓	✓
Azja Wschodnia	✓	✓	✓	✓
Japonia Wschodnia	✓	✓	✓	✓
Japonia Zachodnia	✓	✓	✓	✓
Jio Indie Środkowe				✓
Jio Indie Zachodnie	✓	✓	✓	✓
Korea Środkowa	✓	✓	✓	✓
Korea Południowa	✓	✓	✓	✓
Indie Południowe	✓	✓	✓	✓
Azja Południowo-Wschodnia	✓	✓	✓	✓
Północny Tajwan	✓	✓	✓
Tajwan Północno-zachodni	✓	✓
Indie Zachodnie	✓	✓

Bliski Wschód / Afryka

Rejon	Dzienniki przepływu grupy zabezpieczeń sieciowych	Dzienniki przepływu sieci wirtualnej	Analiza ruchu	Obszar roboczy usługi Log Analytics
Izrael Centralny	✓	✓	✓	✓
Katar Środkowy	✓	✓	✓	✓
Północna część Południowej Afryki	✓	✓	✓	✓
Zachodnia Południowa Afryka	✓	✓		✓
Środkowe Zjednoczone Emiraty Arabskie	✓	✓	✓	✓
Północne Zjednoczone Emiraty Arabskie	✓	✓	✓	✓

Azure Government

Rejon	Dzienniki przepływu grupy zabezpieczeń sieciowych	Dzienniki przepływu sieci wirtualnej	Analiza ruchu	Obszar roboczy usługi Log Analytics
US DoD (region środkowy)	✓	✓
US DoD (region wschodni)	✓	✓
Rząd USA Arizona	✓	✓	✓	✓
Rząd USA Iowa	✓	✓
Rząd Stanów Zjednoczonych Teksasu	✓	✓	✓	✓
Rząd USA Wirginia	✓	✓	✓	✓
Wschodnie stany USA	✓	✓	✓	✓
NatWest USA	✓	✓	✓	✓
US Sec (region wschodni)	✓	✓	✓	✓
US Sec (region zachodni)	✓	✓	✓	✓
US Sec (region środkowo-zachodni)	✓	✓

Uwaga

Jeśli dzienniki przepływu są obsługiwane w regionie, ale obszar roboczy usługi Log Analytics nie jest obsługiwany w tym regionie na potrzeby analizy ruchu, możesz użyć obszaru roboczego usługi Log Analytics z dowolnego innego obsługiwanego regionu. W takim przypadku nie będą naliczane żadne dodatkowe opłaty za transfer danych między regionami za korzystanie z obszaru roboczego usługi Log Analytics z innego regionu.

Cennik

Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Network Watcher i Cennik usługi Azure Monitor.

Analiza ruchu — często zadawane pytania

Aby uzyskać odpowiedzi na najczęściej zadawane pytania dotyczące analizy ruchu, zobacz Często zadawane pytania dotyczące analizy ruchu.

Powiązana zawartość

• Aby dowiedzieć się, jak korzystać z analizy ruchu, zobacz Scenariusze użycia.
• Aby zrozumieć schemat i szczegóły przetwarzania analizy ruchu, zobacz Schema and data aggregation in Traffic Analytics (Schemat i agregacja danych w analizie ruchu).