Vanliga frågor och svar om trafikanalyser

Se Krav för trafikanalys för en lista över nödvändiga krav.

Information om hur du kontrollerar roller som tilldelats en användare för en prenumeration finns i Lista Azure-rolltilldelningar med hjälp av Azure-portalen. Om du inte kan se rolltilldelningarna kontaktar du respektive prenumerationsadministratör.

Ja, nätverkssäkerhetsgrupper kan finnas i olika regioner än din Log Analytics-arbetsyteregion.

Ja.

Nej, trafikanalys stöder inte klassiska nätverkssäkerhetsgrupper.

I listrutan för resursval på instrumentpanelen för trafikanalys måste resursgruppen för den virtuella nätverksresursen väljas, inte resursgruppen för den virtuella datorn eller nätverkssäkerhetsgruppen.

Ja. Om du väljer en befintlig arbetsyta kontrollerar du att den har migrerats till det nya frågespråket. Om du inte vill uppgradera arbetsytan måste du skapa en ny. Mer information om Kusto Query Language (KQL) finns i Loggfrågor i Azure Monitor.

Ja, ditt Azure Storage-konto kan finnas i en prenumeration och din Log Analytics-arbetsyta kan finnas i en annan prenumeration.

Ja. Du kan konfigurera att flödesloggar ska skickas till ett lagringskonto som finns i en annan prenumeration, förutsatt att du har rätt behörighet och att lagringskontot finns i samma region som nätverkssäkerhetsgruppen (flödesloggar för nätverkssäkerhetsgrupp) eller virtuellt nätverk (flödesloggar för virtuella nätverk). Mållagringskontot måste dela samma Microsoft Entra-klientorganisation för nätverkssäkerhetsgruppen eller det virtuella nätverket.

Nej. Alla resurser måste finnas i samma klientorganisation, inklusive nätverkssäkerhetsgrupper (flödesloggar för nätverkssäkerhetsgrupp), virtuella nätverk (flödesloggar för virtuellt nätverk), flödesloggar, lagringskonton och Log Analytics-arbetsytor (om trafikanalys är aktiverat).

Ja.

Nej. Om du tar bort lagringskontot som används för flödesloggar påverkas inte de data som lagras på Log Analytics-arbetsytan. Du kan fortfarande visa historiska data på Log Analytics-arbetsytan (vissa mått påverkas) men trafikanalys bearbetar inte längre några nya ytterligare flödesloggar förrän du uppdaterar flödesloggarna för att använda ett annat lagringskonto.

Välj en region som stöds. Om du väljer en region som inte stöds får du felet "Hittades inte". Mer information finns i Regioner som stöds av trafikanalys.

Providern Microsoft.Insights måste vara registrerad för att flödesloggning ska fungera korrekt. Om du inte är säker på om providern Microsoft.Insights är registrerad för din prenumeration kan du läsa azure-portalen, PowerShell eller Azure CLI-instruktioner om hur du registrerar den.

Instrumentpanelen kan ta upp till 30 minuter att visa rapporter för första gången. Lösningen måste först aggregera tillräckligt med data för att den ska kunna härleda meningsfulla insikter och sedan generera rapporter.

Prova följande alternativ:

• Ändra tidsintervallet i det övre fältet.
• Välj en annan Log Analytics-arbetsyta i det övre fältet.
• Prova att komma åt trafikanalys efter 30 minuter, om den nyligen har aktiverats.

Om problemen kvarstår skapar du problem i Microsoft Q&A.

Du kan se det här meddelandet eftersom:

• Trafikanalys har nyligen aktiverats och kanske ännu inte har sammanställt tillräckligt med data för att härleda meningsfulla insikter.
• Du använder den kostnadsfria versionen av Log Analytics-arbetsytan och den överskred kvotgränserna. Du kan behöva använda en arbetsyta med en större kapacitet.

Prova de föreslagna lösningarna för föregående fråga. Om problemen kvarstår skapar du problem i Microsoft Q&A.

Du ser resursinformationen på instrumentpanelen. Det finns dock ingen flödesrelaterad statistik. Data kanske inte finns på grund av att det inte finns några kommunikationsflöden mellan resurserna. Vänta i 60 minuter och kontrollera statusen igen. Om problemet kvarstår och du är säker på att det finns kommunikationsflöden mellan resurser skapar du problem i Microsoft Q&A.

Du kan konfigurera trafikanalys med windows PowerShell version 6.2.1 och senare. Information om hur du konfigurerar flödesloggning och trafikanalys för en specifik nätverkssäkerhetsgrupp med hjälp av PowerShell finns i Aktivera flödesloggar för nätverkssäkerhetsgrupper och trafikanalys.

Ja, du kan använda en Azure Resource Manager-mall eller en Bicep-fil för att konfigurera trafikanalys. Mer information finns i Konfigurera NSG-flödesloggar med hjälp av en ARM-mall (Azure Resource Manager) och Konfigurera NSG-flödesloggar med hjälp av en Bicep-fil.

Trafikanalys mäts. Mätningen baseras på bearbetning av råflödesloggdata från tjänsten. Mer information finns i Priser för Network Watcher.
Utökade loggar som matas in på Log Analytics-arbetsytan kan behållas utan kostnad i upp till de första 31 dagarna (eller 90 dagar om Microsoft Sentinel är aktiverat på arbetsytan). Mer information finns i Prissättning för Azure Monitor.

Standardintervallet för bearbetning av trafikanalys är 60 minuter, men du kan välja accelererad bearbetning med 10 minuters intervall. Mer information finns i Dataaggregering i trafikanalys.

Trafikanalys förlitar sig på Microsofts interna hotinformationssystem för att betrakta en IP-adress som skadlig. Dessa system utnyttjar olika telemetrikällor som Microsofts produkter och tjänster, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) och externa feeds och skapar mycket information ovanpå det. Vissa av dessa data är Microsoft Internal. Om en känd IP-adress flaggas som skadlig skapar du ett supportärende för att känna till informationen.

Trafikanalys har inte inbyggt stöd för aviseringar. Men eftersom trafikanalysdata lagras i Log Analytics kan du skriva anpassade frågor och ange aviseringar för dem. Följ de här stegen:

• Du kan använda Log Analytics-länken i trafikanalys.
• Använd trafikanalysschemat för att skriva dina frågor.
• Välj Ny aviseringsregel för att skapa aviseringen.
• Se Skapa en ny aviseringsregel för att skapa aviseringen.

Använd följande fråga:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

För IP-adresser använder du följande fråga:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

För tid använder du format: åååå-mm-dd 00:00:00

Använd följande fråga:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

För IP-adresser:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Använd följande fråga:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Geo-kartsidan innehåller två huvudavsnitt:

• Banderoll: Banderollen överst på geo-kartan innehåller knappar för att välja trafikdistributionsfilter (till exempel Distribution, Trafik från länder/regioner och Skadligt). När du väljer en knapp tillämpas respektive filter på kartan. Om du till exempel väljer knappen Aktiv markeras de aktiva datacenteren i distributionen på kartan.
• Karta: Under banderollen visar kartavsnittet trafikdistribution mellan Azure-datacenter och länder/regioner.

Tangentbordsnavigering på banderollen

• Som standard är markeringen på geo-kartsidan för banderollen filtret "Azure DCs".
• Om du vill flytta till ett annat filter använder du antingen Tab nyckeln eller Right arrow . Om du vill flytta bakåt använder du antingen Shift+Tab nyckeln eller Left arrow . Navigering framåt är från vänster till höger följt av uppifrån och ned.
• Tryck Enter på eller piltangenten Down för att tillämpa det valda filtret. Baserat på filterval och distribution markeras en eller flera noder under kartavsnittet.
• Om du vill växla mellan banderoll och karta trycker du på Ctrl+F6.

Tangentbordsnavigering på kartan

• När du har valt ett filter på banderollen och trycker Ctrl+F6på flyttas fokus till en av de markerade noderna (Azure-datacenter eller land/region) i kartvyn.
• Om du vill flytta till andra markerade noder på kartan använder du antingen Tab eller Right arrow nyckeln för framåtrörelse. Använd Shift+Tab eller Left arrow nyckeln för bakåtrörelse.
• Om du vill välja en markerad nod på kartan använder du Enter nyckeln eller Down arrow .
• Vid val av sådana noder flyttas fokus till informationsverktygsrutan för noden. Som standard flyttas fokus till den stängda knappen i Information Tool Box. Om du vill flytta in i vyn Box ytterligare använder Right arrow du och Left arrow nycklar för att gå framåt respektive bakåt. Att trycka Enter har samma effekt som att välja den fokuserade knappen i informationsverktygets ruta.
• När du trycker Tab medan fokus ligger på Information Tool Box flyttas fokus till slutpunkterna på samma kontinent som den valda noden. Right arrow Använd nycklarna och Left arrow för att gå igenom dessa slutpunkter.
• Om du vill flytta till andra flödesslutpunkter eller kontinentkluster använder du Tab för framåtrörelse och Shift+Tab för bakåtrörelse.
• När fokus ligger på kontinentkluster använder du Enter piltangenterna eller Down för att markera slutpunkterna i kontinentklustret. Om du vill gå igenom slutpunkter och knappen Stäng i informationsrutan i kontinentklustret använder du antingen Right arrow nyckeln eller Left arrow för framåt- respektive bakåtrörelse. På valfri slutpunkt kan du använda Shift+L för att växla till anslutningslinjen från den valda noden till slutpunkten. Du kan trycka Shift+L igen för att flytta till den valda slutpunkten.

Tangentbordsnavigering i alla steg

• Nyckeln Esc döljer den expanderade markeringen.
• Nyckeln Up-arrow utför samma åtgärd som Esc. Nyckeln Down arrow utför samma åtgärd som Enter.
• Använd Shift+Plus för att zooma in och Shift+Minus zooma ut.

Topologisidan för virtuella nätverk innehåller två huvudavsnitt:

• Banderoll: Banderollen överst i topologin för virtuella nätverk innehåller knappar för att välja trafikdistributionsfilter (till exempel Anslutna virtuella nätverk, frånkopplade virtuella nätverk och offentliga IP-adresser). När du väljer en knapp tillämpas respektive filter på topologin. Om du till exempel väljer knappen Aktiv markerar topologin de aktiva virtuella nätverken i distributionen.
• Topologi: Under banderollen visar topologiavsnittet trafikdistribution mellan virtuella nätverk.

Tangentbordsnavigering på banderollen

• Som standard är markeringen på topologisidan för virtuella nätverk för banderollen filtret "Anslutna virtuella nätverk".
• Om du vill flytta till ett annat filter använder du Tab nyckeln för att gå vidare. Om du vill flytta bakåt använder du Shift+Tab nyckeln. Navigering framåt är från vänster till höger följt av uppifrån och ned.
• Tryck Enter på för att tillämpa det valda filtret. Baserat på filterval och distribution markeras en eller flera noder (virtuellt nätverk) under topologiavsnittet.
• Om du vill växla mellan banderollen och topologin trycker du på Ctrl+F6.

Tangentbordsnavigering på topologin

• När du har valt ett filter på banderollen och tryckt Ctrl+F6på flyttas fokus till en av de markerade noderna (VNet) i topologivyn.
• Om du vill flytta till andra markerade noder i topologivyn använder du Shift+Right arrow nyckeln för framåtrörelse.
• På markerade noder flyttas fokus till informationsverktygsrutan för noden. Som standard flyttas fokus till knappen Mer information i rutan Informationsverktyg. Om du vill flytta in i vyn Box ytterligare använder du Right arrow nycklarna och Left arrow för att flytta framåt respektive bakåt. Att trycka Enter har samma effekt som att välja den fokuserade knappen i informationsverktygets ruta.
• Vid val av sådana noder kan du besöka alla dess anslutningar, en i taget, genom att trycka på Shift+Left arrow nyckeln. Fokus flyttas till informationsverktygslådan för den anslutningen. När som helst kan fokus flyttas tillbaka till noden genom att trycka Shift+Right arrow igen.

Topologisidan för virtuella undernät innehåller två huvudavsnitt:

• Banderoll: Banderollen överst i topologin för virtuella undernät innehåller knappar för att välja trafikdistributionsfilter (till exempel Active, Medium och Gateway-undernät). När du väljer en knapp tillämpas respektive filter på topologin. Om du till exempel väljer knappen Aktiv markerar topologin det aktiva virtuella undernätet i distributionen.
• Topologi: Under banderollen visar topologiavsnittet trafikdistribution mellan virtuella undernät.

Tangentbordsnavigering på banderollen

• Som standard är markeringen på topologisidan för det virtuella undernätet för banderollen filtret "Undernät".
• Om du vill flytta till ett annat filter använder du Tab nyckeln för att gå vidare. Om du vill flytta bakåt använder du Shift+Tab nyckeln. Navigering framåt är från vänster till höger följt av uppifrån och ned.
• Tryck Enter på för att tillämpa det valda filtret. Baserat på filterval och distribution markeras en eller flera noder (undernät) under topologiavsnittet.
• Om du vill växla mellan banderollen och topologin trycker du på Ctrl+F6.

Tangentbordsnavigering på topologin

• När du har valt ett filter på banderollen och tryckt Ctrl+F6på flyttas fokus till en av de markerade noderna (undernätet) i topologivyn.
• Om du vill flytta till andra markerade noder i topologivyn använder du Shift+Right arrow nyckeln för framåtrörelse.
• På markerade noder flyttas fokus till informationsverktygsrutan för noden. Som standard flyttas fokus till knappen Mer information i rutan Informationsverktyg. Om du vill flytta in i vyn Box ytterligare använder Right arrow du och Left arrow nycklar för att gå framåt respektive bakåt. Att trycka Enter har samma effekt som att välja den fokuserade knappen i informationsverktygets ruta.
• Vid val av sådana noder kan du besöka alla dess anslutningar, en i taget, genom att trycka på Shift+Left arrow tangenten. Fokus flyttas till informationsverktygslådan för den anslutningen. När som helst kan fokus flyttas tillbaka till noden genom att trycka Shift+Right arrow igen.