Общие сведения об аналитике трафика

  • Статья

Аналитика трафика — это облачное решение, которое позволяет следить за действиями пользователя и приложения в ваших облачных сетях. В частности, аналитика трафика анализирует журналы потоков Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

  • Визуализация действий в сети в подписках Azure.

  • Определение точек доступа.

  • Защита сети с помощью сведений о следующих компонентах для выявления угроз:

    • Открытие портов
    • приложения, которые пытаются получить доступ к Интернету;
    • виртуальные машины, подключающиеся к несанкционированным сетям.

  • Оптимизация развертывания сети для повышения производительности и эффективного использования емкости путем изучения закономерностей потока трафика в регионах Azure и Интернете.

  • Оперативное обнаружение неверных конфигураций сети, которые могут привести к сбоям подключений в сети.

Преимущества решения "Аналитика трафика"

Крайне важно выполнять мониторинг своей сети, управлять ею и знать ее структуру для обеспечения соответствия требованиям, высокой производительности и защиты от несанкционированного доступа. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Во многих случаях нужно иметь представление о текущем состоянии сети, в частности знать следующее:

  • Кто подключается к сети?
  • Откуда устанавливается подключение?
  • Какие порты открыты в Интернете?
  • Каково ожидаемое поведение сети?
  • Наблюдается ли нерегулярное поведение в сети?
  • Есть ли внезапный рост трафика?

Облачные сети отличаются от локальных корпоративных сетей. В локальных сетях маршрутизаторы и коммутаторы поддерживают NetFlow и другие эквивалентные протоколы. Эти устройства позволяют выполнять сбор данных об IP-трафике при входе или выходе из сетевого интерфейса. С помощью анализа данных потока трафика можно выполнить анализ потока и объема трафика.

С помощью виртуальных сетей Azure журналы потоков собирают данные о сети. Эти журналы предоставляют сведения о входе и исходящего IP-трафика через группу безопасности сети или виртуальную сеть. Аналитика трафика анализирует необработанные журналы потоков и объединяет данные журнала с аналитикой безопасности, топологии и географии. Затем решение предоставляет аналитические сведения о потоке трафика в вашей среде.

Аналитика трафика предоставляет следующие данные:

  • узлы с наибольшим объемом передаваемых данных;
  • протоколы приложений с наибольшим объемом передаваемых данных;
  • пара узлов, больше всего взаимодействующих между собой;
  • разрешенный и заблокированный трафик;
  • Входящие и исходящие SMS.
  • Открытые порты Интернета.
  • правила, устанавливающие самый высокий уровень блокировки;
  • распределение трафика для каждого центра обработки данных Azure, виртуальной сети, подсетей или несанкционированной сети.

Ключевые компоненты

Чтобы использовать аналитику трафика, вам потребуются следующие компоненты:

  • Наблюдатель за сетями — это региональная служба, с помощью которой вы можете выполнять мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Вы можете использовать Наблюдатель за сетями для включения и отключения журналов потоков группы безопасности сети. Дополнительные сведения см. в статье о том, что такое Azure Наблюдатель за сетями?

  • Log Analytics. Средство на портале Azure, используемое для работы с данными журналов Azure Monitor. Журналы Azure Monitor — служба Azure, которая собирает данные мониторинга и сохраняет их в центральный репозиторий. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", используют журналы Azure Monitor в качестве основы. Дополнительные сведения см. в статье Журналы Azure Monitor. Log Analytics предоставляет способ изменения и выполнения запросов к журналам. Кроме того, с помощью этого средства можно анализировать результаты запроса. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  • Рабочая область Log Analytics. Среда, в которой хранятся данные журналов Azure Monitor, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в разделе "Обзор рабочей области Log Analytics".

  • Кроме того, необходимо включить группу безопасности сети для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков группы безопасности сети или виртуальной сети, включенной для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков виртуальной сети:

    • Группа безопасности сети (NSG) — ресурс, содержащий список правил безопасности, которые разрешают или запрещают сетевой трафик или из ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, сетевыми интерфейсами (сетевыми адаптерами), подключенными к виртуальным машинам (Resource Manager) или отдельным виртуальным машинам (классической). Дополнительные сведения см. в статье Безопасность сети.

    • Журналы потоков группы безопасности сети: записанные сведения о входе и исходящего IP-трафика через группу безопасности сети. Журналы потоков группы безопасности сети записываются в формате JSON и включают:

      • входящие и исходящие потоки для каждого правила;
      • Сетевой адаптер, к которому относится данный поток.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения о журналах потоков группы безопасности сети см. в обзоре журналов потоков группы безопасности сети.

    • Виртуальная сеть (виртуальная сеть) — ресурс, который позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Дополнительные сведения см. в обзоре виртуальной сети.

    • Журналы потоков виртуальной сети: записанные сведения о входящего и исходящего IP-трафика через виртуальную сеть. Журналы потоков виртуальной сети записываются в формате JSON и включают:

      • Исходящие и входящий потоки.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения о журналах потоков виртуальной сети см. в обзоре журналов потоков виртуальной сети.

      Примечание.

      Сведения о различиях между журналами потоков группы безопасности сети и журналами потоков виртуальной сети см. в журналах потоков виртуальной сети по сравнению с журналами потоков группы безопасности сети.

Как работает решение "Аналитика трафика"

Аналитика трафика проверяет необработанные журналы потоков. Затем решение уменьшает объем журнала, агрегируя потоки с общим IP-адресом источника, IP-адресом назначения, портом назначения и протоколом.

Для примера возьмем узел 1 с IP-адресом 10.10.10.10 и узел 2 с IP-адресом 10.10.20.10. Предположим, что эти два узла взаимодействуют 100 раз в течение одного часа. В этом случае необработанный журнал потоков будет содержать 100 записей. Если эти узлы используют протокол HTTP в порте 80 для каждой из этих 100 операций взаимодействия, в сокращенном журнале будет одна запись. Эта запись указывает на то, что узел 1 и узел 2 обмениваются данными 100 раз в течение одного часа с помощью протокола HTTP через порт 80.

Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующей схеме показано представление потока данных:

Схема, показывающая, как данные сетевого трафика передаются из журнала группы безопасности сети на панель мониторинга аналитики. Средние шаги включают агрегирование и улучшение.

Необходимые компоненты

Для работы с Аналитикой трафика требуются:

  • подписка с Наблюдателем за сетями; Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

  • Журналы потоков группы безопасности сети, включенные для групп безопасности сети, которые необходимо отслеживать или журналы потоков виртуальной сети, включены для виртуальной сети, которую вы хотите отслеживать. Дополнительные сведения см. в разделе "Создание журнала потока группы безопасности сети" или "Создание журнала потока виртуальной сети".

  • Рабочая область Azure Log Analytics с доступом на чтение и запись. Дополнительные сведения см. в статье "Создание рабочей области Log Analytics".

  • Вашей учетной записи нужно назначить одну из следующих встроенных ролей Azure:

    Модель развертывания Роль
    Resource Manager Владелец
    Участник
    Сетевые участник 1 и мониторинг участник 2

    Если ни одна из предыдущих встроенных ролей не назначена вашей учетной записи, назначьте настраиваемую роль вашей учетной записи. Настраиваемая роль должна поддерживать следующие действия на уровне подписки:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action1
    • Microsoft.Insights/dataCollectionRules/read2
    • Microsoft.Insights/dataCollectionRules/write2
    • Microsoft.Insights/dataCollectionRules/delete2
    • Microsoft.Insights/dataCollectionEndpoints/read2
    • Microsoft.Insights/dataCollectionEndpoints/write2
    • Microsoft.Insights/dataCollectionEndpoints/delete2

    1 Сетевая участник не охватывает Microsoft.OperationalInsights/workspaces/* действия.

    2 . Требуется только при использовании аналитики трафика для анализа журналов потоков виртуальной сети. Дополнительные сведения см. в разделе "Правила сбора данных" в конечных точках сбора данных Azure Monitor и в Azure Monitor.

    Сведения о том, как проверка роли, назначенные пользователю для подписки, см. в разделе "Список назначений ролей Azure" с помощью портал Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки.

    Внимание

    Правила сбора данных и ресурсы конечной точки сбора данных создаются и управляются аналитикой трафика. При выполнении любой операции с этими ресурсами аналитика трафика может не работать должным образом.

Цены

Сведения о ценах см. в Наблюдатель за сетями ценах и ценах Azure Monitor.

Аналитика трафика (часто задаваемые вопросы)

Чтобы получить ответы на наиболее часто задаваемые вопросы об аналитике трафика, ознакомьтесь с часто задаваемыми вопросами о аналитике трафика.

Связанный контент