Общие сведения об аналитике трафика

  • Статья

Аналитика трафика — это облачное решение, которое позволяет следить за действиями пользователя и приложения в ваших облачных сетях. В частности, аналитика трафика анализирует журналы потоков Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

  • Визуализация действий в сети в подписках Azure.

  • Определение точек доступа.

  • Защита сети с помощью сведений о следующих компонентах для выявления угроз:

    • Открытие портов
    • приложения, которые пытаются получить доступ к Интернету;
    • виртуальные машины, подключающиеся к несанкционированным сетям.

  • Оптимизация развертывания сети для повышения производительности и эффективного использования емкости путем изучения закономерностей потока трафика в регионах Azure и Интернете.

  • Оперативное обнаружение неверных конфигураций сети, которые могут привести к сбоям подключений в сети.

Преимущества решения "Аналитика трафика"

Крайне важно выполнять мониторинг своей сети, управлять ею и знать ее структуру для обеспечения соответствия требованиям, высокой производительности и защиты от несанкционированного доступа. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Во многих случаях нужно иметь представление о текущем состоянии сети, в частности знать следующее:

  • Кто подключается к сети?
  • Откуда устанавливается подключение?
  • Какие порты открыты в Интернете?
  • Каково ожидаемое поведение сети?
  • Наблюдается ли нерегулярное поведение в сети?
  • Есть ли внезапный рост трафика?

Облачные сети отличаются от локальных корпоративных сетей. В локальных сетях маршрутизаторы и коммутаторы поддерживают NetFlow и другие эквивалентные протоколы. Эти устройства позволяют выполнять сбор данных об IP-трафике при входе или выходе из сетевого интерфейса. С помощью анализа данных потока трафика можно выполнить анализ потока и объема трафика.

С помощью виртуальных сетей Azure журналы потоков собирают данные о сети. Эти журналы предоставляют сведения о входе и исходящего IP-трафика через группу безопасности сети или виртуальную сеть. Аналитика трафика анализирует необработанные журналы потоков и объединяет данные журнала с аналитикой безопасности, топологии и географии. Затем решение предоставляет аналитические сведения о потоке трафика в вашей среде.

Аналитика трафика предоставляет следующие данные:

  • узлы с наибольшим объемом передаваемых данных;
  • протоколы приложений с наибольшим объемом передаваемых данных;
  • пара узлов, больше всего взаимодействующих между собой;
  • разрешенный и заблокированный трафик;
  • Входящие и исходящие SMS.
  • Открытые порты Интернета.
  • правила, устанавливающие самый высокий уровень блокировки;
  • распределение трафика для каждого центра обработки данных Azure, виртуальной сети, подсетей или несанкционированной сети.

Ключевые компоненты

Чтобы использовать аналитику трафика, вам потребуются следующие компоненты:

  • Наблюдатель за сетями — это региональная служба, с помощью которой вы можете выполнять мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Наблюдатель за сетями позволяет включать и отключать журналы потоков NSG. Дополнительные сведения см. в статье о том, что такое Azure Наблюдатель за сетями?

  • Log Analytics. Средство на портале Azure, используемое для работы с данными журналов Azure Monitor. Журналы Azure Monitor — служба Azure, которая собирает данные мониторинга и сохраняет их в центральный репозиторий. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", используют журналы Azure Monitor в качестве основы. Дополнительные сведения см. в статье Журналы Azure Monitor. Log Analytics предоставляет способ изменения и выполнения запросов к журналам. Кроме того, с помощью этого средства можно анализировать результаты запроса. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  • Рабочая область Log Analytics. Среда, в которой хранятся данные журналов Azure Monitor, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в разделе "Обзор рабочей области Log Analytics".

  • Кроме того, необходимо включить группу безопасности сети для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков NSG или виртуальной сети, включенной для ведения журнала потоков, если вы используете аналитику трафика для анализа журналов потоков виртуальной сети (предварительная версия):

    • Группа безопасности сети (NSG) — ресурс, содержащий список правил безопасности, которые разрешают или запрещают сетевой трафик или из ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, сетевыми интерфейсами (сетевыми адаптерами), подключенными к виртуальным машинам (Resource Manager) или отдельным виртуальным машинам (классической). Дополнительные сведения см. в статье Безопасность сети.

    • Журналы потоков NSG: записанные сведения о входящего и исходящего IP-трафика через группу безопасности сети. Журналы потоков NSG сохраняются в формате JSON и содержат следующие сведения:

      • входящие и исходящие потоки для каждого правила;
      • Сетевой адаптер, к которому относится данный поток.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения о журналах потоков NSG см. в обзоре журналов потоков NSG.

    • Виртуальная сеть (виртуальная сеть) — ресурс, который позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Дополнительные сведения см. в обзоре виртуальной сети.

    • Журналы потоков виртуальной сети (предварительная версия): записанные сведения о входящего и исходящего IP-трафика через виртуальную сеть. Журналы потоков виртуальной сети записываются в формате JSON и включают:

      • Исходящие и входящий потоки.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения о журналах потоков виртуальной сети см. в обзоре журналов потоков виртуальной сети.

      Примечание.

      Сведения о различиях между журналами потоков NSG и журналами потоков виртуальной сети см. в журналах потоков виртуальной сети по сравнению с журналами потоков NSG.

Как работает решение "Аналитика трафика"

Аналитика трафика проверяет необработанные журналы потоков. Затем решение уменьшает объем журнала, агрегируя потоки с общим IP-адресом источника, IP-адресом назначения, портом назначения и протоколом.

Для примера возьмем узел 1 с IP-адресом 10.10.10.10 и узел 2 с IP-адресом 10.10.20.10. Предположим, что эти два узла взаимодействуют 100 раз в течение одного часа. В этом случае необработанный журнал потоков будет содержать 100 записей. Если эти узлы используют протокол HTTP в порте 80 для каждой из этих 100 операций взаимодействия, в сокращенном журнале будет одна запись. Эта запись указывает на то, что узел 1 и узел 2 обмениваются данными 100 раз в течение одного часа с помощью протокола HTTP через порт 80.

Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующей схеме показано представление потока данных:

Схема, показывающая, как данные сетевого трафика передаются из журнала NSG на панель мониторинга аналитики. Средние шаги включают агрегирование и улучшение.

Необходимые компоненты

Для работы с Аналитикой трафика требуются:

  • подписка с Наблюдателем за сетями; Дополнительные сведения см. в статье "Включение или отключение Azure Наблюдатель за сетями".

  • Журналы потоков NSG, включенные для групп безопасности сети, которые необходимо отслеживать или журналы потоков виртуальной сети, включены для виртуальной сети, которую вы хотите отслеживать. Дополнительные сведения см. в разделе "Создание журнала потоков" или "Включение журналов потоков виртуальной сети".

  • Рабочая область Azure Log Analytics с доступом на чтение и запись. Дополнительные сведения см. в статье "Создание рабочей области Log Analytics".

  • Вашей учетной записи нужно назначить одну из следующих встроенных ролей Azure:

    Модель развертывания Роль
    Resource Manager Владелец
    Участник
    Сетевые участник 1 и мониторинг участник 2

    Если ни одна из предыдущих встроенных ролей не назначена вашей учетной записи, назначьте настраиваемую роль вашей учетной записи. Настраиваемая роль должна поддерживать следующие действия на уровне подписки:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action1
    • Microsoft.Insights/dataCollectionRules/read2
    • Microsoft.Insights/dataCollectionRules/write2
    • Microsoft.Insights/dataCollectionRules/delete2
    • Microsoft.Insights/dataCollectionEndpoints/read2
    • Microsoft.Insights/dataCollectionEndpoints/write2
    • Microsoft.Insights/dataCollectionEndpoints/delete2

    1 Сетевая участник не охватывает Microsoft.OperationalInsights/workspaces/* действия.

    2 . Требуется только при использовании аналитики трафика для анализа журналов потоков виртуальной сети (предварительная версия). Дополнительные сведения см. в разделе "Правила сбора данных" в конечных точках сбора данных Azure Monitor и в Azure Monitor.

    Сведения о том, как проверка роли, назначенные пользователю для подписки, см. в разделе "Список назначений ролей Azure" с помощью портал Azure. Если вы не видите назначения ролей, обратитесь к соответствующему администратору подписки.

    Внимание

    Правила сбора данных и ресурсы конечной точки сбора данных создаются и управляются аналитикой трафика. При выполнении любой операции с этими ресурсами аналитика трафика может не работать должным образом.

Цены

Сведения о ценах см. в Наблюдатель за сетями ценах и ценах Azure Monitor.

Аналитика трафика (часто задаваемые вопросы)

Чтобы получить ответы на наиболее часто задаваемые вопросы об аналитике трафика, ознакомьтесь с часто задаваемыми вопросами о аналитике трафика.

Связанный контент