Изменить

Часто задаваемые вопросы о аналитике трафика (часто задаваемые вопросы)

  • Вопросы и ответы

В этой статье представлены ответы на наиболее часто задаваемые вопросы о решении "Аналитика трафика" в службе "Наблюдатель за сетями Azure".

Какие предварительные требования необходимы для использования аналитики трафика?

Сведения о необходимых предварительных требованиях для аналитики трафика см. в списке необходимых компонентов.

Как проверка, если у меня есть необходимые роли?

Сведения о том, как проверка роли, назначенные пользователю для подписки, см. в разделе "Список назначений ролей Azure" с помощью портал Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки.

Можно ли включить журналы потоков для групп безопасности сети, которые находятся в разных регионах, чем в моем регионе рабочей области?

Да, группы безопасности сети могут находиться в разных регионах, отличных от региона рабочей области Log Analytics.

Можно ли настроить несколько групп безопасности сети в одной рабочей области?

Да.

Поддерживаются ли классические группы безопасности сети?

Нет, аналитика трафика не поддерживает классические группы безопасности сети.

Почему аналитика трафика не отображает данные для групп безопасности сети с поддержкой аналитики трафика?

В раскрывающемся списке выбора ресурсов на панели мониторинга аналитики трафика необходимо выбрать группу ресурсов виртуальная сеть ресурса, а не группу ресурсов виртуальной машины или группы безопасности сети.

Можно ли использовать имеющуюся рабочую область?

Да. При выборе такой рабочей области убедитесь, что она переведена на использование нового языка запросов. Если вы не хотите обновить рабочую область, необходимо создать новую. Дополнительные сведения о язык запросов Kusto (KQL) см. в разделе "Запросы журналов" в Azure Monitor.

Может ли моя учетная запись хранения Azure находиться в одной подписке, и моя рабочая область Log Analytics будет находиться в другой подписке?

Да, ваша учетная запись хранения Azure может находиться в одной подписке, а рабочая область Log Analytics может находиться в другой подписке.

Можно ли хранить необработанные журналы в подписке, отличной от подписки, используемой для групп безопасности сети или виртуальных сетей?

Да. Журналы потоков можно настроить для отправки в учетную запись хранения, расположенную в другой подписке, если у вас есть соответствующие привилегии, и что учетная запись хранения находится в том же регионе, что и группа безопасности сети (журналы потоков NSG) или виртуальная сеть (журналы потоков виртуальной сети). Целевая учетная запись хранения должна совместно использовать один клиент Microsoft Entra группы безопасности сети (журналы потоков NSG) или виртуальную сеть (журналы потоков виртуальной сети).

Могут ли ресурсы журнала потоков и учетные записи хранения находиться в разных клиентах?

№ Все ресурсы должны находиться в одном клиенте, включая группы безопасности сети (журналы потоков NSG), виртуальные сети (журналы потоков виртуальной сети), журналы потоков, учетные записи хранения и рабочие области Log Analytics (если включена аналитика трафика).

Можно ли настроить другую политику хранения для учетной записи хранения, отличной от рабочей области Log Analytics?

Да.

Потеряет ли данные, хранящиеся в рабочей области Log Analytics, если удалить учетную запись хранения, используемую для ведения журнала потоков?

№ Если удалить учетную запись хранения, используемую для журналов потоков NSG/VNet, данные, хранящиеся в рабочей области Log Analytics, не будут затронуты. Вы по-прежнему можете просматривать исторические данные в рабочей области Log Analytics (некоторые метрики будут затронуты), но Аналитика трафика больше не будет обрабатывать новые дополнительные журналы потоков, пока не обновите журналы потоков, чтобы использовать другую учетную запись хранения.

Что делать, если не удается настроить группу безопасности сети для аналитики трафика из-за ошибки "Не найдено"?

Выберите поддерживаемый регион. Если выбрать регион, который не поддерживается, вы получите сообщение об ошибке «Не найдено». Дополнительные сведения см. в поддерживаемых регионах аналитики трафика.

Что делать, если я получаю состояние: "Не удалось загрузить" на странице журналов потоков?

Поставщик Microsoft.Insights должен быть зарегистрирован для правильной работы журнала потоков. Если вы не увереныMicrosoft.Insights, зарегистрирован ли поставщик для подписки, см. инструкции по регистрации портал Azure, PowerShell или Azure CLI.

Решение настроено. Почему на панели мониторинга не отображается соответствующее содержимое?

Панель мониторинга может занять до 30 минут, чтобы отобразить отчеты в первый раз. Решение должно сначала агрегировать достаточно данных для получения значимых аналитических сведений, а затем создает отчеты.

Что, если я получу сообщение о том, что не удалось найти данные в рабочей области для выбранного интервала времени и следует попробовать изменить интервал времени или выбрать другую рабочую область?

Есть следующие решения.

  • Измените интервал времени на верхней панели.
  • Выберите другую рабочую область Log Analytics на верхней панели.
  • Попытайтесь открыть Аналитику трафика через 30 минут, если она работает недавно.

Если проблемы сохраняются, вызовет проблемы в Microsoft Q&A.

Что делать, если я получаю это сообщение: "Анализ журналов потоков NSG в первый раз. это может занять от 20 до 30 минут и следует Проверьте обратно через некоторое время."?

Это сообщение может появиться, потому что:

  • Если решение "Аналитика трафика" включено недавно, статистических вычислений может быть недостаточно, чтобы получить важные аналитические сведения.
  • Вы используете бесплатную версию рабочей области Log Analytics и превысили ограничения квоты. Возможно, вам придется использовать рабочую область с большей емкостью.

Попробуйте предложенные решения для предыдущего вопроса. Если проблемы сохраняются, вызовет проблемы в Microsoft Q&A.

Что, если я получу сообщение о том, что, возможно, есть данные о ресурсах (топология) и нет информации о потоках, и Дополнительные сведения см. здесь, чтобы просмотреть данные ресурсов и обратиться к часто задаваемым вопросам."?

Вы видите сведения о ресурсах на панели мониторинга; однако статистика, связанная с потоком, отсутствует. возможно, нет потоков связи между ресурсами. Подождите 60 мин и проверьте состояние снова. Если проблема сохраняется, и вы уверены, что потоки обмена данными между ресурсами существуют, вызовите проблемы в Microsoft Q&A.

Можно ли настроить аналитику трафика с помощью PowerShell?

Аналитику трафика можно настроить с помощью Windows PowerShell версии 6.2.1 и более поздних версий. Сведения о настройке ведения журнала потоков и аналитики трафика для определенной группы безопасности сети с помощью PowerShell см. в статье "Включение журналов потоков безопасности сети" и аналитики трафика.

Можно ли настроить аналитику трафика с помощью шаблона Azure Resource Manager или Bicep-файла?

Да, для настройки аналитики трафика можно использовать шаблон Azure Resource Manager или файл Bicep. Дополнительные сведения см. в статье Настройка журналов потоков NSG с помощью шаблона Azure Resource Manager (ARM) и настройка журналов потоков NSG с помощью Bicep-файла.

Как образуются цены на Аналитику трафика?

Использование решения "Аналитика трафика" измеряется на основе обработки данных журнала потоков службой и сохранении полученных расширенных журналов в рабочей области Log Analytics.

Например, в соответствии с ценами на Наблюдатель за сетями и цены Azure Monitor, учитывая регион "Западная часть США", если данные журнала потоков, хранящиеся в учетной записи хранения, обработанной аналитикой трафика, составляет 10 ГБ, а расширенные журналы, принятые в рабочей области Log Analytics, составляет 1 ГБ, то применимые расходы: 10 x 2,3$ + 1 x 2,76$ = 25,76$ = 25,76$

Насколько часто данные аналитики трафика обрабатываются?

Интервал обработки трафика по умолчанию составляет 60 минут, однако можно выбрать ускоренную обработку через 10 минут. Дополнительные сведения см. в разделе "Агрегирование данных" в аналитике трафика.

Как аналитика трафика решает, что IP-адрес является вредоносным?

Аналитика трафика использует внутренние системы аналитики угроз Майкрософт, чтобы считать IP-адрес вредоносным. Эти системы используют различные источники телеметрии, такие как продукты и службы Майкрософт, модуль Microsoft Digital Crimes Unit (DCU), Центр Майкрософт по реагированию на угрозы (MSRC) и внешние веб-каналы, разворачивая поверх этих источников средства искусственного интеллекта. Некоторые из этих данных являются внутренними данными Майкрософт. Если известный IP-адрес помечается как вредоносный, отправьте запрос в службу поддержки, чтобы узнать подробности.

Как настроить оповещения для данных аналитики трафика?

У аналитики трафика нет встроенной поддержки оповещений. Тем не менее, так как данные аналитики трафика хранятся в Log Analytics, вы можете написать пользовательские запросы и задать для них оповещения. Выполните следующие действия:

  • Вы можете использовать ссылку Log Analytics в аналитике трафика.
  • Используйте схему аналитики трафика для записи запросов.
  • Выберите новое правило генерации оповещений, чтобы создать оповещение.
  • См . статью "Создание нового правила генерации оповещений", чтобы создать оповещение.

Разделы справки проверка какие виртуальные машины получают большую часть локального трафика?

Используйте следующий запрос:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Для IP-адресов используйте следующий запрос:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Для времени используйте формат: гггг-мм-дд 00:00:00

Разделы справки проверка стандартное отклонение трафика, полученного виртуальными машинами с локальных компьютеров?

Используйте следующий запрос:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Для IP-адресов

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Как проверить, какие порты доступны (или блокированы) между парами IP-адресов согласно правилам NSG?

Используйте следующий запрос:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Как перейти с помощью клавиатуры в представлении географической карты?

На странице географической карты есть два основных раздела:

  • Баннер: баннер в верхней части географической карты предоставляет кнопки для выбора фильтров распространения трафика (например, развертывания, трафика из стран или регионов и вредоносных). При нажатии кнопки соответствующий фильтр применяется на карте. Например, если нажать кнопку "Активный", карта выделит активные центры обработки данных в развертывании.
  • Карта. Под баннером в разделе карты показано распределение трафика между центрами обработки данных Azure и странами/регионами.

Навигация по баннеру с помощью клавиатуры

  • По умолчанию на странице географической карты на баннере нажата кнопка фильтра Azure DC.
  • Чтобы переместиться к другому фильтру, используйте клавишу Tab или Right arrow. Чтобы вернуться к предыдущему фильтру, используйте клавишу Shift+Tab или Left arrow. Порядок перемещения вперед: слева направо и сверху вниз.
  • Чтобы применить выбранный фильтр, нажмите клавишу Enter или клавишу со стрелкой Down. В зависимости от развертывания и выбранного фильтра в разделе карты будут выделены один или несколько узлов.
  • Чтобы перейти из раздела "Баннер" в "Карты" и наоборот, нажмите клавишу Ctrl+F6.

Навигация по карте с помощью клавиатуры

  • Выбрав любой фильтр на баннере и нажав клавишу Ctrl+F6, фокус перемещается на один из выделенных узлов (центр обработки данных Azure или страна или регион) в представлении карты.
  • Чтобы перейти к другим выделенным узлам на карте, используйте клавишу Tab или Right arrow для перемещения вперед. Используйте клавиши Shift+Tab и Left arrow, чтобы переместиться назад.
  • Чтобы выбрать любой выделяемый узел карты, используйте клавишу Enter или Down arrow.
  • При выборе любого такого узла фокус перемещается на панель элементов "Информация" для этого узла. По умолчанию фокус перемещается на кнопку закрытия панели элементов "Информация". Для дальнейшего перемещения в представлении панели используйте клавиши Right arrow и Left arrow, чтобы переходить вперед и назад соответственно. Нажатие клавиши Enter действует так же, как кнопка с фокусом на панели элементов "Информация".
  • Если нажать клавишу Tab, когда фокус на панели элементов "Информация", фокус переместится к конечным точкам, которые находятся на том же континенте, что и выбранный узел. Для перемещения между этими конечными точками можно использовать клавиши Right arrow и Left arrow.
  • Для перемещения к конечным точкам или кластеру континента другого потока используйте клавишу Tab, чтобы переходить вперед, и клавиши Shift+Tab, чтобы перейти назад.
  • Чтобы выделить конечные точки, нажмите клавишу Enter или Down, когда фокус находится на кластере континента. Для перехода между конечными точками и к кнопке закрытия на панели "Информация" для кластера континента используйте клавишу Right arrow или Left arrow, чтобы перемещаться вперед и назад соответственно. Чтобы перейти к строке подключения выбранного узла к строке конечной точки, нажмите клавиши Shift+L для любой такой точки. Нажмите клавиши Shift+L еще раз, чтобы перейти к выбранной конечной точке.

Навигация с помощью клавиатуры на любом этапе

  • Ключ Esc свернет развернутый выбор.
  • Клавиша Up-arrow работает так же, как Esc. Клавиша Down arrow работает так же, как Enter.
  • Клавиши Shift+Plus позволяют увеличить масштаб, а Shift+Minus — уменьшить его.

Как перейти с помощью клавиатуры в представлении топологии виртуальной сети?

Страница топологии виртуальных сетей содержит два основных раздела:

  • Баннер. Баннер в верхней части топологии виртуальных сетей предоставляет кнопки для выбора фильтров распределения трафика (например, подключенные виртуальные сети, отключенные виртуальные сети и общедоступные IP-адреса). При нажатии кнопки соответствующий фильтр применяется в топологии. Например, если нажать кнопку "Активная", топология выделит активные виртуальные сети в развертывании.
  • Топология. Под баннером раздел топологии показывает распределение трафика между виртуальными сетями.

Навигация по баннеру с помощью клавиатуры

  • По умолчанию на странице топологии виртуальных сетей для баннера выбран фильтр "Подключенные виртуальные сети".
  • Чтобы переместиться к другому фильтру, используйте клавишу Tab. Чтобы вернуться к предыдущему, используйте клавиши Shift+Tab. Порядок перемещения вперед: слева направо и сверху вниз.
  • Чтобы применить выбранный фильтр, нажмите клавишу Enter. В зависимости от развертывания и выбранного фильтра в разделе топологии будут выделены один или несколько узлов (виртуальная сеть).
  • Чтобы переключиться между баннером и топологией, нажмите клавишу Ctrl+F6.

Навигация по топологии с помощью клавиатуры

  • Чтобы переместиться от одного выделенного узла (Виртуальная сеть) в представлении топологии, выберите любой фильтр на баннере и нажмите клавиши Ctrl+F6.
  • Чтобы перейти к другим выделенным узлам в представлении топологии, используйте клавиши Shift+Right arrow для перемещения вперед.
  • На выделенных узлах фокус перемещается на панель элементов "Информация" для этого узла. По умолчанию фокус перемещается на кнопку Дополнительные сведенияпанели элементов "Информация". Для дальнейшего перемещения в представлении панели используйте клавиши Right arrow и Left arrow, чтобы переходить вперед и назад соответственно. Нажатие клавиши Enter действует так же, как кнопка с фокусом на панели элементов "Информация".
  • При выборе любых подобных узлов можно просмотреть все их подключения, одно за одним, нажимая клавиши Shift+Left arrow. Фокус перемещается на панель элементов "Информация" этого подключения. В любой момент фокус можно сдвинуть обратно на узел, нажав клавиши Shift+Right arrow еще раз.

Как перейти с помощью клавиатуры в представлении топологии подсети?

Страница топологии виртуальных подсетей содержит два основных раздела:

  • Баннер. Баннер в верхней части топологии виртуальных подсетей предоставляет кнопки для выбора фильтров распределения трафика (например, подсетей "Активная", "Средняя", "Шлюз"). При нажатии кнопки соответствующий фильтр применяется в топологии. Например, если нажать кнопку "Активная", топология выделит активную виртуальную подсеть в развертывании.
  • Топология. Под баннером раздел топологии показывает распределение трафика между виртуальными подсетями.

Навигация по баннеру с помощью клавиатуры

  • По умолчанию на странице топологии виртуальных подсетей для баннера выбран фильтр "Подсети".
  • Чтобы переместиться к другому фильтру, используйте клавишу Tab. Чтобы вернуться к предыдущему, используйте клавиши Shift+Tab. Порядок перемещения вперед: слева направо и сверху вниз.
  • Чтобы применить выбранный фильтр, нажмите клавишу Enter. В зависимости от развертывания и выбранного фильтра (подсети) в разделе топологии будут выделены один или несколько узлов.
  • Чтобы переключиться между баннером и топологией, нажмите клавишу Ctrl+F6.

Навигация по топологии с помощью клавиатуры

  • Чтобы переместиться от одного выделенного узла (Подсеть) в представлении топологии, выберите любой фильтр на баннере и нажмите клавиши Ctrl+F6.
  • Чтобы перейти к другим выделенным узлам в представлении топологии, используйте клавиши Shift+Right arrow для перемещения вперед.
  • На выделенных узлах фокус перемещается на панель элементов "Информация" для этого узла. По умолчанию фокус перемещается на кнопку Дополнительные сведенияпанели элементов "Информация". Для дальнейшего перемещения в представлении панели используйте клавиши Right arrow и Left arrow, чтобы переходить вперед и назад соответственно. Нажатие клавиши Enter действует так же, как кнопка с фокусом на панели элементов "Информация".
  • При выборе любых подобных узлов можно просмотреть все их подключения, одно за одним, нажимая клавиши Shift+Left arrow. Фокус перемещается на панель элементов "Информация" этого подключения. В любой момент фокус можно сдвинуть обратно на узел, нажав клавиши Shift+Right arrow еще раз.