Omówienie analizy ruchu

  • Artykuł

Analiza ruchu to rozwiązanie oparte na chmurze, które zapewnia wgląd w aktywność użytkowników i aplikacji w sieciach w chmurze. W szczególności analiza ruchu analizuje dzienniki przepływów usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Dzięki analizie ruchu można wykonywać następujące czynności:

  • Wizualizowanie działań sieciowych w ramach subskrypcji platformy Azure.

  • Zidentyfikuj punkty aktywne.

  • Zabezpiecz sieć, korzystając z informacji o następujących składnikach w celu zidentyfikowania zagrożeń:

    • Otwarte porty
    • Aplikacje, które próbują uzyskać dostęp do Internetu
    • Maszyny wirtualne łączące się z nieuczciwymi sieciami

  • Zoptymalizuj wdrożenie sieci pod kątem wydajności i pojemności, rozumiejąc wzorce przepływu ruchu między regionami platformy Azure i Internetem.

  • Wskazuje błędy konfiguracji sieci, które mogą prowadzić do niepowodzenia połączeń w sieci.

Dlaczego warto kierować się analizą ruchu?

Ważne jest, aby monitorować i zarządzać własną siecią oraz zarządzać nią w celu zapewnienia niekompromizowanego zabezpieczeń, zgodności i wydajności. Znajomość własnego środowiska ma kluczowe znaczenie dla ochrony i optymalizacji. Często musisz znać bieżący stan sieci, w tym następujące informacje:

  • KtoTo łączy się z siecią?
  • Skąd się łączą?
  • Które porty są otwarte dla Internetu?
  • Jakie jest oczekiwane zachowanie sieci?
  • Czy istnieją nieregularne zachowania sieci?
  • Czy występują nagłe wzrosty ruchu?

Sieci w chmurze różnią się od lokalnych sieci przedsiębiorstwa. W sieciach lokalnych routery i przełączniki obsługują platformę NetFlow i inne równoważne protokoły. Tych urządzeń można używać do zbierania danych dotyczących ruchu sieciowego IP podczas wprowadzania lub zamykania interfejsu sieciowego. Analizując dane przepływu ruchu, można utworzyć analizę przepływu ruchu sieciowego i woluminu.

W przypadku sieci wirtualnych platformy Azure dzienniki przepływu zbierają dane dotyczące sieci. Te dzienniki zawierają informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń lub sieci wirtualnej. Analiza ruchu analizuje nieprzetworzone dzienniki przepływu i łączy dane dziennika z analizą zabezpieczeń, topologii i lokalizacji geograficznej. Analiza ruchu zapewnia wgląd w przepływ ruchu w środowisku.

Analiza ruchu udostępnia następujące informacje:

  • Większość komunikujących się hostów
  • Większość komunikujących się protokołów aplikacji
  • Większość par hostów zbieżnych
  • Dozwolony i zablokowany ruch
  • Ruch przychodzący i wychodzący
  • Otwieranie portów internetowych
  • Większość reguł blokowania
  • Dystrybucja ruchu dla centrum danych platformy Azure, sieci wirtualnej, podsieci lub sieci nieuczciwych

Najważniejsze składniki

Do korzystania z analizy ruchu potrzebne są następujące składniki:

  • Network Watcher: usługa regionalna, której można użyć do monitorowania i diagnozowania warunków na poziomie scenariusza sieciowego na platformie Azure. Za pomocą usługi Network Watcher można włączać i wyłączać dzienniki przepływów sieciowej grupy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Network Watcher?

  • Log Analytics: narzędzie w witrynie Azure Portal używane do pracy z danymi dzienników usługi Azure Monitor. Dzienniki usługi Azure Monitor to usługa platformy Azure, która zbiera dane monitorowania i przechowuje dane w centralnym repozytorium. Te dane mogą obejmować zdarzenia, dane wydajności lub dane niestandardowe udostępniane za pośrednictwem interfejsu API platformy Azure. Po zebraniu tych danych będą dostępne alerty, analiza i eksport. Monitorowanie aplikacji, takich jak monitorowanie wydajności sieci i analiza ruchu, używają dzienników usługi Azure Monitor jako podstawy. Aby uzyskać więcej informacji, zobacz Dzienniki usługi Azure Monitor. Usługa Log Analytics umożliwia edytowanie i uruchamianie zapytań w dziennikach. To narzędzie umożliwia również analizowanie wyników zapytań. Aby uzyskać więcej informacji, zobacz Omówienie usługi Log Analytics w usłudze Azure Monitor.

  • Obszar roboczy usługi Log Analytics: środowisko przechowujące dane dziennika usługi Azure Monitor dotyczące konta platformy Azure. Aby uzyskać więcej informacji na temat obszarów roboczych usługi Log Analytics, zobacz Omówienie obszaru roboczego usługi Log Analytics.

  • Ponadto do rejestrowania przepływów jest włączona sieciowa grupa zabezpieczeń, jeśli używasz analizy ruchu do analizowania dzienników przepływów sieciowej grupy zabezpieczeń lub sieci wirtualnej włączonej na potrzeby rejestrowania przepływu, jeśli używasz analizy ruchu do analizowania dzienników przepływów sieci wirtualnej (wersja zapoznawcza):

    • Sieciowa grupa zabezpieczeń( NSG): zasób zawierający listę reguł zabezpieczeń, które zezwalają na ruch sieciowy do lub z zasobów połączonych z siecią wirtualną platformy Azure. Sieciowe grupy zabezpieczeń mogą być skojarzone z podsieciami, interfejsami sieciowymi (KARTami sieciowymi) dołączonymi do maszyn wirtualnych (Resource Manager) lub poszczególnymi maszynami wirtualnymi (klasycznymi). Aby uzyskać więcej informacji, zobacz Omówienie sieciowej grupy zabezpieczeń.

    • Dzienniki przepływu sieciowej grupy zabezpieczeń: zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP za pośrednictwem sieciowej grupy zabezpieczeń. Dzienniki przepływu sieciowej grupy zabezpieczeń są zapisywane w formacie JSON i obejmują:

      • Przepływy wychodzące i przychodzące na podstawie reguły.
      • Karta sieciowa, do którego ma zastosowanie przepływ.
      • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
      • Stan ruchu, na przykład dozwolony lub odrzucony.

      Aby uzyskać więcej informacji na temat dzienników przepływów sieciowej grupy zabezpieczeń, zobacz Dzienniki przepływu sieciowej grupy zabezpieczeń — omówienie.

    • Sieć wirtualna (VNet): zasób, który umożliwia wielu typom zasobów platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Aby uzyskać więcej informacji, zobacz Omówienie sieci wirtualnej.

    • Dzienniki przepływu sieci wirtualnej (wersja zapoznawcza): zarejestrowane informacje o ruchu przychodzącym i wychodzącym IP przez sieć wirtualną. Dzienniki przepływu sieci wirtualnej są zapisywane w formacie JSON i obejmują:

      • Przepływy wychodzące i przychodzące.
      • Informacje o przepływie, takie jak źródłowe i docelowe adresy IP, porty źródłowe i docelowe oraz protokół.
      • Stan ruchu, na przykład dozwolony lub odrzucony.

      Aby uzyskać więcej informacji na temat dzienników przepływów sieci wirtualnej, zobacz Omówienie dzienników przepływów sieci wirtualnej.

      Uwaga

      Aby uzyskać informacje o różnicach między dziennikami przepływów sieciowej grupy zabezpieczeń i dziennikami przepływów sieci wirtualnej, zobacz Dzienniki przepływu sieci wirtualnej w porównaniu z dziennikami przepływów sieciowej grupy zabezpieczeń

Jak działa analiza ruchu

Analiza ruchu analizuje nieprzetworzone dzienniki przepływu. Następnie zmniejsza wolumin dziennika przez agregowanie przepływów, które mają wspólny źródłowy adres IP, docelowy adres IP, port docelowy i protokół.

Przykładem może być host 1 pod adresem IP 10.10.10.10 i hostem 2 pod adresem IP 10.10.20.10. Załóżmy, że te dwa hosty komunikują się 100 razy w ciągu jednej godziny. W tym przypadku dziennik nieprzetworzonych przepływów zawiera 100 wpisów. Jeśli te hosty używają protokołu HTTP na porcie 80 dla każdej z tych 100 interakcji, zmniejszony dziennik ma jeden wpis. Ten wpis wskazuje, że host 1 i host 2 komunikował się 100 razy w ciągu jednej godziny przy użyciu protokołu HTTP na porcie 80.

Skrócone dzienniki są rozszerzone o informacje o lokalizacji geograficznej, zabezpieczeniach i topologii, a następnie przechowywane w obszarze roboczym usługi Log Analytics. Na poniższym diagramie przedstawiono przepływ danych:

Diagram przedstawiający przepływ danych ruchu sieciowego z dziennika sieciowej grupy zabezpieczeń do pulpitu nawigacyjnego analizy. Środkowe kroki obejmują agregację i ulepszenia.

Wymagania wstępne

Analiza ruchu wymaga następujących wymagań wstępnych:

  • Subskrypcja z włączoną usługą Network Watcher. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.

  • Dzienniki przepływu sieciowej grupy zabezpieczeń włączone dla sieciowych grup zabezpieczeń, które mają być monitorowane, lub dzienniki przepływu sieci wirtualnej włączone dla sieci wirtualnej, którą chcesz monitorować. Aby uzyskać więcej informacji, zobacz Tworzenie dziennika przepływu lub Włączanie dzienników przepływu sieci wirtualnej.

  • Obszar roboczy usługi Azure Log Analytics z dostępem do odczytu i zapisu. Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Log Analytics.

  • Do konta należy przypisać jedną z następujących wbudowanych ról platformy Azure:

    Model wdrażania Rola
    Resource Manager Właściciel
    Współautor
    Współautorsieci 1 i Współautormonitorowania 2

    Jeśli żadne z poprzednich wbudowanych ról nie zostanie przypisane do twojego konta, przypisz rolę niestandardową do konta. Rola niestandardowa powinna obsługiwać następujące akcje na poziomie subskrypcji:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action1
    • Microsoft.Insights/dataCollectionRules/read2
    • Microsoft.Insights/dataCollectionRules/write2
    • Microsoft.Insights/dataCollectionRules/delete2
    • Microsoft.Insights/dataCollectionEndpoints/read2
    • Microsoft.Insights/dataCollectionEndpoints/write2
    • Microsoft.Insights/dataCollectionEndpoints/delete2

    1 Współautor sieci nie obejmuje Microsoft.OperationalInsights/workspaces/* akcji.

    2 Wymagane tylko w przypadku używania analizy ruchu do analizowania dzienników przepływów sieci wirtualnej (wersja zapoznawcza). Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor.

    Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji.

    Uwaga

    Reguły zbierania danych i zasoby punktu końcowego zbierania danych są tworzone i zarządzane przez analizę ruchu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.

Cennik

Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Network Watcher i Cennik usługi Azure Monitor.

Analiza ruchu (często zadawane pytania)

Aby uzyskać odpowiedzi na najczęściej zadawane pytania dotyczące analizy ruchu, zobacz Często zadawane pytania dotyczące analizy ruchu.

Powiązana zawartość