Översikt över trafikanalys
Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i dina molnnätverk. Mer specifikt analyserar trafikanalyser Azure Network Watcher-flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Med trafikanalys kan du:
Visualisera nätverksaktivitet i dina Azure-prenumerationer.
Identifiera aktiva punkter.
Skydda nätverket med hjälp av information om följande komponenter för att identifiera hot:
- Öppna portar
- Program som försöker komma åt Internet
- Virtuella datorer som ansluter till oseriösa nätverk
Optimera nätverksdistributionen för prestanda och kapacitet genom att förstå trafikflödesmönster i Azure-regioner och Internet.
Hitta felkonfigurationer i nätverket som kan leda till misslyckade anslutningar i nätverket.
Varför trafikanalys?
Det är viktigt att övervaka, hantera och känna till ditt eget nätverk för oöverträffad säkerhet, efterlevnad och prestanda. Att känna till din egen miljö är av största vikt för att skydda och optimera den. Du behöver ofta känna till nätverkets aktuella tillstånd, inklusive följande information:
- Vem ansluter till nätverket?
- Var ansluter de från?
- Vilka portar är öppna för Internet?
- Vad är det förväntade nätverksbeteendet?
- Finns det något oregelbundet nätverksbeteende?
- Finns det några plötsliga trafikökningar?
Molnnätverk skiljer sig från lokala företagsnätverk. I lokala nätverk stöder routrar och växlar NetFlow och andra likvärdiga protokoll. Du kan använda dessa enheter för att samla in data om IP-nätverkstrafik när den kommer in i eller avslutar ett nätverksgränssnitt. Genom att analysera trafikflödesdata kan du skapa en analys av nätverkstrafikflödet och volymen.
Med virtuella Azure-nätverk samlar flödesloggar in data om nätverket. Dessa loggar innehåller information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp eller ett virtuellt nätverk. Trafikanalys analyserar rådataflödesloggar och kombinerar loggdata med information om säkerhet, topologi och geografi. Trafikanalys ger dig sedan insikter om trafikflödet i din miljö.
Trafikanalys ger följande information:
- De flesta kommunicerande värdar
- Mest kommunicerande programprotokoll
- Mest konverserande värdpar
- Tillåten och blockerad trafik
- Inkommande och utgående trafik
- Öppna Internetportar
- Regler för mest blockerande
- Trafikdistribution per Azure-datacenter, virtuellt nätverk, undernät eller oseriöst nätverk
Nyckelkomponenter
Om du vill använda trafikanalys behöver du följande komponenter:
Network Watcher: En regional tjänst som du kan använda för att övervaka och diagnostisera villkor på nätverksscenarionivå i Azure. Du kan använda Network Watcher för att aktivera och inaktivera flödesloggar för nätverkssäkerhetsgrupper. Mer information finns i Vad är Azure Network Watcher?
Log Analytics: Ett verktyg i Azure Portal som du använder för att arbeta med Azure Monitor-loggar. Azure Monitor-loggar är en Azure-tjänst som samlar in övervakningsdata och lagrar data på en central lagringsplats. Dessa data kan omfatta händelser, prestandadata eller anpassade data som tillhandahålls via Azure-API:et. När dessa data har samlats in är de tillgängliga för aviseringar, analyser och export. Övervakningsprogram som övervakare av nätverksprestanda och trafikanalys använder Azure Monitor-loggar som grund. Mer information finns i Azure Monitor-loggar. Med Log Analytics kan du redigera och köra frågor i loggar. Du kan också använda det här verktyget för att analysera frågeresultat. Mer information finns i Översikt över Log Analytics i Azure Monitor.
Log Analytics-arbetsyta: Den miljö som lagrar Azure Monitor-loggdata som gäller för ett Azure-konto. Mer information om Log Analytics-arbetsytor finns i Översikt över Log Analytics-arbetsyta.
Dessutom behöver du en nätverkssäkerhetsgrupp aktiverad för flödesloggning om du använder trafikanalys för att analysera flödesloggar för nätverkssäkerhetsgrupp eller ett virtuellt nätverk som är aktiverat för flödesloggning om du använder trafikanalys för att analysera flödesloggar för virtuella nätverk:
Nätverkssäkerhetsgrupp (NSG): En resurs som innehåller en lista över säkerhetsregler som tillåter eller nekar nätverkstrafik till eller från resurser som är anslutna till ett virtuellt Azure-nätverk. Nätverkssäkerhetsgrupper kan associeras med undernät, nätverksgränssnitt (NIC) som är anslutna till virtuella datorer (Resource Manager) eller enskilda virtuella datorer (klassisk). Mer information finns i Översikt över nätverkssäkerhetsgrupp.
Flödesloggar för nätverkssäkerhetsgrupp: Registrerad information om inkommande och utgående IP-trafik via en nätverkssäkerhetsgrupp. Flödesloggar för nätverkssäkerhetsgrupper skrivs i JSON-format och omfattar:
- Utgående och inkommande flöden per regel.
- Det nätverkskort som flödet gäller för.
- Information om flödet, till exempel källans och målets IP-adresser, käll- och målportarna och protokollet.
- Status för trafiken, till exempel tillåten eller nekad.
Mer information om flödesloggar för nätverkssäkerhetsgrupper finns i Översikt över flödesloggar för nätverkssäkerhetsgrupp.
Virtuellt nätverk (VNet) : En resurs som gör det möjligt för många typer av Azure-resurser att kommunicera säkert med varandra, internet och lokala nätverk. Mer information finns i Översikt över virtuellt nätverk.
Flödesloggar för virtuellt nätverk: Registrerad information om inkommande och utgående IP-trafik via ett virtuellt nätverk. Flödesloggar för virtuella nätverk skrivs i JSON-format och omfattar:
- Utgående och inkommande flöden.
- Information om flödet, till exempel källans och målets IP-adresser, käll- och målportarna och protokollet.
- Status för trafiken, till exempel tillåten eller nekad.
Mer information om flödesloggar för virtuella nätverk finns i Översikt över virtuella nätverksflödesloggar.
Kommentar
Information om skillnaderna mellan flödesloggar för nätverkssäkerhetsgrupper och flödesloggar för virtuella nätverk finns i Flödesloggar för virtuellt nätverk jämfört med flödesloggar för nätverkssäkerhetsgrupper.
Så här fungerar trafikanalys
Trafikanalys undersöker råa flödesloggar. Den minskar sedan loggvolymen genom att aggregera flöden som har en gemensam KÄLL-IP-adress, mål-IP-adress, målport och protokoll.
Ett exempel kan omfatta Värd 1 på IP-adressen 10.10.10.10 och Värd 2 på IP-adressen 10.10.20.10. Anta att dessa två värdar kommunicerar 100 gånger under en period av en timme. Råflödesloggen har i det här fallet 100 poster. Om dessa värdar använder HTTP-protokollet på port 80 för var och en av dessa 100 interaktioner har den reducerade loggen en post. Den posten anger att värd 1 och värd 2 kommunicerade 100 gånger under en period av en timme med hjälp av HTTP-protokollet på port 80.
Minskade loggar utökas med information om geografi, säkerhet och topologi och lagras sedan på en Log Analytics-arbetsyta. Följande diagram visar dataflödet:
Förutsättningar
Trafikanalys kräver följande krav:
En Network Watcher-aktiverad prenumeration. Mer information finns i Aktivera eller inaktivera Azure Network Watcher.
Flödesloggar för nätverkssäkerhetsgrupp aktiverade för de nätverkssäkerhetsgrupper som du vill övervaka eller virtuella nätverksflödesloggar aktiverade för det virtuella nätverk som du vill övervaka. Mer information finns i Skapa en flödeslogg för en nätverkssäkerhetsgrupp eller Skapa en flödeslogg för virtuellt nätverk.
En Azure Log Analytics-arbetsyta med läs- och skrivåtkomst. Mer information finns i Skapa en Log Analytics-arbetsyta.
En av följande inbyggda Azure-roller måste tilldelas till ditt konto:
Distributionsmodell Roll Resource Manager Ägare Deltagare Nätverksdeltagare 1 och Övervakningsdeltagare 2 Om ingen av de föregående inbyggda rollerna har tilldelats ditt konto tilldelar du ditt konto en anpassad roll . Den anpassade rollen bör ha stöd för följande åtgärder på prenumerationsnivå:
Microsoft.Network/applicationGateways/read
Microsoft.Network/connections/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/localNetworkGateways/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/routeTables/read
Microsoft.Network/virtualNetworkGateways/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/expressRouteCircuits/read
Microsoft.OperationalInsights/workspaces/read
1Microsoft.OperationalInsights/workspaces/sharedkeys/action
1Microsoft.Insights/dataCollectionRules/read
2Microsoft.Insights/dataCollectionRules/write
2Microsoft.Insights/dataCollectionRules/delete
2Microsoft.Insights/dataCollectionEndpoints/read
2Microsoft.Insights/dataCollectionEndpoints/write
2Microsoft.Insights/dataCollectionEndpoints/delete
2
1 Nätverksdeltagare omfattar
Microsoft.OperationalInsights/workspaces/*
inte åtgärder.2 Krävs endast när du använder trafikanalys för att analysera virtuella nätverksflödesloggar. Mer information finns i Datainsamlingsregler i Azure Monitor - och Datainsamlingsslutpunkter i Azure Monitor.
Information om hur du kontrollerar roller som tilldelats en användare för en prenumeration finns i Lista Azure-rolltilldelningar med hjälp av Azure Portal. Om du inte kan se rolltilldelningarna kontaktar du respektive prenumerationsadministratör.
Varning
Datainsamlingsregel och slutpunktsresurser för datainsamling skapas och hanteras av trafikanalys. Om du utför någon åtgärd på dessa resurser kanske trafikanalysen inte fungerar som förväntat.
Prissättning
Prisinformation finns i Priser för Network Watcher och Priser för Azure Monitor.
Trafikanalys (vanliga frågor och svar)
Om du vill få svar på de vanligaste frågorna om trafikanalys kan du läsa Vanliga frågor och svar om trafikanalys.
Relaterat innehåll
- Information om hur du använder trafikanalys finns i Användningsscenarier.
- Information om schema och bearbetning av trafikanalyser finns i Schema och dataaggregering i Traffic Analytics.