Düzenle

Aracılığıyla paylaş

Trafik analiziyle ilgili sık sorulan sorular (SSS)

  • SSS

Bu makalede, Azure Ağ İzleyicisi trafik analizi hakkında en sık sorulan soruların yanıtları sağlanır.

Trafik analizini kullanmak için hangi önkoşullar gereklidir?

Gerekli önkoşulların listesi için bkz. Trafik analizi önkoşulları.

Gerekli rollere sahip olup olmadığımı nasıl denetleyebilirim?

Aboneliğe yönelik bir kullanıcıya atanan rolleri denetlemeyi öğrenmek için bkz . Azure portalını kullanarak Azure rol atamalarını listeleme. Rol atamalarını göremiyorsanız ilgili abonelik yöneticisine başvurun.

Çalışma alanı bölgemden farklı bölgelerde bulunan ağ güvenlik grupları için akış günlüklerini etkinleştirebilir miyim?

Evet, ağ güvenlik grupları Log Analytics çalışma alanı bölgenizden farklı bölgelerde olabilir.

Tek bir çalışma alanında birden çok ağ güvenlik grubu yapılandırılabilir mi?

Evet.

Klasik ağ güvenlik grupları destekleniyor mu?

Hayır, trafik analizi klasik ağ güvenlik gruplarını desteklemez.

Trafik analizi neden trafik analizim için ağ güvenlik gruplarını etkinleştiren verileri görüntülemiyor?

Trafik analizi panosundaki kaynak seçimi açılan listesinde, sanal makinenin veya ağ güvenlik grubunun kaynak grubu değil, Sanal Ağ kaynağının kaynak grubu seçilmelidir.

Mevcut bir çalışma alanını kullanabilir miyim?

Evet. Var olan bir çalışma alanını seçerseniz, çalışma alanının yeni sorgu diline geçirilmiş olduğundan emin olun. Çalışma alanını yükseltmek istemiyorsanız yeni bir tane oluşturmanız gerekir. Kusto Sorgu Dili (KQL) hakkında daha fazla bilgi için bkz. Azure İzleyici'de günlük sorguları.

Azure depolama hesabım tek bir abonelikte ve Log Analytics çalışma alanım farklı bir abonelikte olabilir mi?

Evet, Azure depolama hesabınız tek bir abonelikte ve Log Analytics çalışma alanınız farklı bir abonelikte olabilir.

Ham günlükleri ağ güvenlik grupları veya sanal ağlar için kullanılan abonelikten farklı bir abonelikte depolayabilir miyim?

Evet. Uygun ayrıcalıklara sahip olmanız ve depolama hesabının ağ güvenlik grubu (ağ güvenlik grubu akış günlükleri) veya sanal ağ (sanal ağ akış günlükleri) ile aynı bölgede bulunması koşuluyla, akış günlüklerini farklı bir abonelikte bulunan bir depolama hesabına gönderilecek şekilde yapılandırabilirsiniz. Hedef depolama hesabı, ağ güvenlik grubunun veya sanal ağın aynı Microsoft Entra kiracısını paylaşmalıdır.

Akış günlüğü kaynaklarım ve depolama hesaplarım farklı kiracılarda olabilir mi?

Hayır Ağ güvenlik grupları (ağ güvenlik grubu akış günlükleri), sanal ağlar (sanal ağ akış günlükleri), akış günlükleri, depolama hesapları ve Log Analytics çalışma alanları (trafik analizi etkinse) dahil olmak üzere tüm kaynaklar aynı kiracıda olmalıdır.

Depolama hesabı için Log Analytics çalışma alanından farklı bir bekletme ilkesi yapılandırabilir miyim?

Evet.

Akış günlüğü için kullanılan depolama hesabını silersem Log Analytics çalışma alanında depolanan verileri kaybeder miyim?

Hayır Akış günlükleri için kullanılan depolama hesabını silerseniz Log Analytics çalışma alanında depolanan veriler etkilenmez. Log Analytics çalışma alanında geçmiş verileri görüntülemeye devam edebilirsiniz (bazı ölçümler etkilenir) ancak akış günlüklerini farklı bir depolama hesabı kullanacak şekilde güncelleştirene kadar trafik analizi artık yeni ek akış günlüklerini işlemez.

"Bulunamadı" hatası nedeniyle trafik analizi için bir ağ güvenlik grubu yapılandıramıyorsam ne olur?

Desteklenen bir bölge seçin. Desteklenmeyen bir bölge seçerseniz "Bulunamadı" hatası alırsınız. Daha fazla bilgi için bkz . Trafik analizi tarafından desteklenen bölgeler.

Akış günlükleri sayfasında "Yüklenemedi" durumunu alıyorsam ne olur?

Akış günlüğünün Microsoft.Insights düzgün çalışması için sağlayıcının kaydedilmesi gerekir. Sağlayıcının Microsoft.Insights aboneliğiniz için kayıtlı olup olmadığından emin değilseniz, nasıl kaydedildiğine ilişkin Azure portalı, PowerShell veya Azure CLI yönergelerine bakın.

Çözümü yapılandırdım. Panoda neden hiçbir şey göremiyorum?

Panonun raporları ilk kez göstermesi 30 dakika kadar sürebilir. Çözümün önce anlamlı içgörüler elde etmesi için yeterli veri toplaması gerekir, ardından raporlar oluşturur.

Şu iletiyi alırsam ne olur: "Seçilen zaman aralığı için bu çalışma alanında hiçbir veri bulamadık. Zaman aralığını değiştirmeyi deneyin veya farklı bir çalışma alanı seçin."

Aşağıdaki seçenekleri deneyin:

  • Üst çubuktaki zaman aralığını değiştirin.
  • Üst çubukta farklı bir Log Analytics çalışma alanı seçin.
  • Yakın zamanda etkinleştirildiyse 30 dakika sonra trafik analizine erişmeyi deneyin.

Sorunlar devam ederse Microsoft Soru-Cevap'ta endişeleri giderin.

Şu iletiyi alırsam ne olur: "NSG akış günlüklerinizi ilk kez analiz etme. Bu işlemin tamamlanması 20-30 dakika sürebilir. Bir süre sonra tekrar kontrol et."

Aşağıdaki nedenden dolayı bu iletiyi görebilirsiniz:

  • Trafik analizi kısa süre önce etkinleştirildi ve anlamlı içgörüler elde etmek için henüz yeterli veri toplamamış olabilir.
  • Log Analytics çalışma alanının ücretsiz sürümünü kullanıyorsunuz ve kota sınırlarını aştı. Daha büyük kapasiteye sahip bir çalışma alanı kullanmanız gerekebilir.

Önceki soru için önerilen çözümleri deneyin. Sorunlar devam ederse Microsoft Soru-Cevap'ta endişeleri giderin.

Şu iletiyi alırsam ne olur: "Kaynak verilerine (Topoloji) sahipiz ve akış bilgisi yok. Daha fazla bilgi için buraya tıklayarak kaynak verilerini görün ve SSS bölümüne bakın."

Kaynak bilgilerini panoda görüyorsunuz; ancak akışla ilgili istatistikler mevcut değildir. Kaynaklar arasında iletişim akışı olmadığından veriler mevcut olmayabilir. 60 dakika bekleyin ve durumu yeniden denetleyin. Sorun devam ederse ve kaynaklar arasındaki iletişim akışlarının mevcut olduğundan eminseniz, Microsoft Soru-Cevap'ta endişelere neden olun.

PowerShell kullanarak trafik analizini yapılandırabilir miyim?

Windows PowerShell sürüm 6.2.1 ve üzerini kullanarak trafik analizini yapılandırabilirsiniz. PowerShell kullanarak belirli bir ağ güvenlik grubu için akış günlüğünü ve trafik analizini yapılandırmak için bkz . Ağ güvenlik grubu akış günlüklerini ve trafik analizini etkinleştirme.

Azure Resource Manager şablonu veya Bicep dosyası kullanarak trafik analizini yapılandırabilir miyim?

Evet, trafik analizini yapılandırmak için Azure Resource Manager şablonu veya Bicep dosyası kullanabilirsiniz. Daha fazla bilgi için bkz . Azure Resource Manager (ARM) şablonu kullanarak NSG akış günlüklerini yapılandırma ve Bicep dosyası kullanarak NSG akış günlüklerini yapılandırma.

Trafik analizinin fiyatı nasıldır?

Trafik analizi ölçülür. Ölçüm, ham akış günlüğü verilerinin hizmet tarafından işlenmesini temel alır. Daha fazla bilgi için bkz. fiyatlandırma Ağ İzleyicisi.
Log Analytics çalışma alanına alınan gelişmiş günlükler, ilk 31 güne (veya çalışma alanında Microsoft Sentinel etkinleştirildiyse 90 güne) kadar ücretsiz olarak tutulabilir. Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Trafik analizi verileri ne sıklıkta işler?

Trafik analizinin varsayılan işleme aralığı 60 dakikadır, ancak 10 dakikalık aralıklarla hızlandırılmış işlemeyi seçebilirsiniz. Daha fazla bilgi için bkz . Trafik analizinde veri toplama.

Trafik analizi bir IP'nin kötü amaçlı olduğuna nasıl karar verir?

Trafik analizi, BIR IP'yi kötü amaçlı olarak kabul etmek için Microsoft iç tehdit bilgileri sistemlerine dayanır. Bu sistemler, Microsoft ürün ve hizmetleri, Microsoft Dijital Suçlar Birimi (DCU), Microsoft Güvenlik Yanıt Merkezi (MSRC) ve dış akışlar gibi çeşitli telemetri kaynaklarından yararlanarak bunun üzerine çok sayıda istihbarat oluşturur. Bu verilerden bazıları Microsoft Internal'dir. Bilinen bir IP kötü amaçlı olarak işaretleniyorsa, ayrıntıları öğrenmek için bir destek bileti oluşturun.

Trafik analizi verileriyle ilgili uyarıları nasıl ayarlayabilirim?

Trafik analizinde uyarılar için yerleşik destek yoktur. Ancak trafik analizi verileri Log Analytics'te depolandığından özel sorgular yazabilir ve bunlar üzerinde uyarılar ayarlayabilirsiniz. Şu adımları izleyin:

Nasıl yaparım? şirket içi trafiği en çok hangi sanal makinelerin aldığını denetleyin?

Aşağıdaki sorguyu kullanın:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

IP'ler için aşağıdaki sorguyu kullanın:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Zaman için biçimi kullanın: yyyy-mm-dd 00:00:00

Nasıl yaparım? şirket içi makinelerden sanal makinelerim tarafından alınan trafikte standart sapması denetleyemiyor musunuz?

Aşağıdaki sorguyu kullanın:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

IP'ler için:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Nasıl yaparım? NSG kurallarıyla IP çiftleri arasında hangi bağlantı noktalarına ulaşılabilir (veya engellenir) denetlensin?

Aşağıdaki sorguyu kullanın:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Coğrafi harita görünümünde klavye kullanarak nasıl gezinebilirim?

Coğrafi harita sayfası iki ana bölüm içerir:

  • Başlık: Coğrafi haritanın üst kısmındaki başlık, trafik dağıtım filtrelerini (örneğin Dağıtım, Ülkelerden/bölgelerden gelen trafik ve Kötü Amaçlı) seçmek için düğmeler sağlar. Bir düğme seçtiğinizde ilgili filtre haritaya uygulanır. Örneğin, Etkin düğmesini seçerseniz, harita dağıtımınızdaki etkin veri merkezlerini vurgular.
  • Harita: Başlığın altındaki harita bölümünde Azure veri merkezleri ve ülkeler/bölgeler arasındaki trafik dağıtımı gösterilir.

Başlıkta klavye gezintisi

  • Varsayılan olarak, başlığın coğrafi harita sayfasındaki seçim "Azure DC'leri" filtresidir.
  • Başka bir filtreye gitmek için veya Right arrow anahtarını kullanınTab. Geri gitmek için veya Left arrow tuşunu kullanınShift+Tab. İleri gezinti soldan sağa ve ardından yukarıdan aşağıya doğru ilerler.
  • Seçili filtreyi Down uygulamak için ok tuşuna veya Enter basın. Filtre seçimine ve dağıtımına bağlı olarak, harita bölümünün altındaki bir veya birden çok düğüm vurgulanır.
  • Başlık ve harita arasında geçiş yapmak için tuşuna basın Ctrl+F6.

Haritada klavye gezintisi

  • Başlıkta herhangi bir filtre seçtikten ve tuşuna bastıktan Ctrl+F6sonra, odak harita görünümünde vurgulanan düğümlerden birine (Azure veri merkezi veya Ülke/Bölge) taşınır.
  • Haritadaki diğer vurgulanmış düğümlere gitmek için, ileriye doğru hareket için veya Right arrow anahtarını kullanınTab. Geriye doğru hareket için veya Left arrow tuşunu kullanınShift+Tab.
  • Haritada vurgulanan herhangi bir düğümü seçmek için veya Down arrow tuşunu kullanınEnter.
  • Bu tür düğümlerin seçiminde odak, düğümün Bilgi Aracı Kutusu'na taşınır. Varsayılan olarak, odak Bilgi Aracı Kutusu'nda kapalı düğmesine taşınır. Kutu görünümünde daha fazla ilerlemek için ve Left arrow tuşlarını kullanarak Right arrow sırasıyla ileri ve geri hareket edin. Tuşuna basmakEnter, Bilgi Aracı Kutusu'ndaki odaklanmış düğmeyi seçmekle aynı etkiye sahiptir.
  • Odak Bilgi Aracı Kutusu'ndayken bastığınızdaTab, odak seçili düğümle aynı kıtadaki bitiş noktalarına taşınır. Right arrow Bu uç noktalarda gezinmek için ve Left arrow anahtarlarını kullanın.
  • Diğer akış uç noktalarına veya kıta kümelerine gitmek için ileri ve geri hareket Shift+Tab için kullanınTab.
  • Odak Kıta kümelerinde olduğunda, kıta kümesi içindeki Enter uç noktaları vurgulamak için veya Down ok tuşlarını kullanın. Kıta kümesinin bilgi kutusundaki uç noktalar ve kapat düğmesi arasında gezinmek için sırasıyla ileri ve geri hareket için veya Left arrow tuşunu kullanınRight arrow. Herhangi bir uç noktada, seçili düğümden uç noktaya bağlantı hattına geçmek için kullanabilirsiniz Shift+L . Seçili uç noktaya gitmek için yeniden basabilirsiniz Shift+L .

Herhangi bir aşamada klavye gezintisi

  • Anahtar, Esc genişletilmiş seçimi daraltıyor.
  • anahtarı ile Up-arrow aynı eylemi Escgerçekleştirir. anahtarı ile Down arrow aynı eylemi Entergerçekleştirir.
  • Yakınlaştırmak ve Shift+Minus uzaklaştırmak için kullanınShift+Plus.

Sanal ağ topolojisi görünümünde klavyeyi kullanarak nasıl gezinebilirim?

Sanal ağlar topolojisi sayfası iki ana bölüm içerir:

  • Başlık: Sanal ağlar topolojisinin üst kısmındaki başlık, trafik dağıtım filtrelerini (örneğin, Bağlı sanal ağlar, Bağlantısız sanal ağlar ve Genel IP'ler) seçmek için düğmeler sağlar. Bir düğme seçtiğinizde, topolojiye ilgili filtre uygulanır. Örneğin, Etkin düğmesini seçerseniz, topoloji dağıtımınızdaki etkin sanal ağları vurgular.
  • Topoloji: Başlığın altındaki topoloji bölümünde sanal ağlar arasında trafik dağıtımı gösterilir.

Başlıkta klavye gezintisi

  • Varsayılan olarak, başlığın sanal ağlar topoloji sayfasındaki seçim "Bağlı sanal ağlar" filtresidir.
  • Başka bir filtreye gitmek için, ilerlemek için tuşunu kullanın Tab . Geri gitmek için tuşunu kullanın Shift+Tab . İleri gezinti soldan sağa ve ardından yukarıdan aşağıya doğru ilerler.
  • Seçili filtreyi uygulamak için basın Enter . Filtre seçimine ve dağıtımına bağlı olarak, topoloji bölümünün altındaki bir veya birden çok düğüm (sanal ağ) vurgulanır.
  • Başlık ve topoloji arasında geçiş yapmak için tuşuna basın Ctrl+F6.

Topolojide klavye gezintisi

  • Başlıkta herhangi bir filtre seçtikten ve tuşuna bastıktan Ctrl+F6sonra, odak topoloji görünümünde vurgulanan düğümlerden birine (VNet) taşınır.
  • Topoloji görünümünde vurgulanan diğer düğümlere gitmek için ileriye doğru hareket için anahtarını kullanın Shift+Right arrow .
  • Vurgulanan düğümlerde odak, düğümün Bilgi Araç Kutusu'na taşınır. Varsayılan olarak, odak Bilgi Aracı Kutusu'nda Diğer ayrıntılar düğmesine taşınır. Kutu görünümünde daha fazla ilerlemek için ve Left arrow tuşlarını kullanarak Right arrow sırasıyla ileri ve geri gidin. Tuşuna basmakEnter, Bilgi Aracı Kutusu'ndaki odaklanmış düğmeyi seçmekle aynı etkiye sahiptir.
  • Bu tür düğümlerin seçiminde, tuşa basarak Shift+Left arrow tüm bağlantılarını tek tek ziyaret edebilirsiniz. Odak, bu bağlantının Bilgi Aracı Kutusu'na taşınır. Herhangi bir noktada odak, yeniden basılarak Shift+Right arrow düğüme geri kaydırılabilir.

Alt ağ topolojisi görünümünde klavyeyi kullanarak nasıl gezinebilirim?

Sanal alt ağlar topolojisi sayfası iki ana bölüm içerir:

  • Başlık: Sanal alt ağ topolojisinin üst kısmındaki başlık, trafik dağıtım filtrelerini (örneğin, Etkin, Orta ve Ağ Geçidi alt ağları) seçmek için düğmeler sağlar. Bir düğme seçtiğinizde, topolojiye ilgili filtre uygulanır. Örneğin, Etkin düğmesini seçerseniz topoloji, dağıtımınızdaki etkin sanal alt ağı vurgular.
  • Topoloji: Başlığın altındaki topoloji bölümünde sanal alt ağlar arasındaki trafik dağıtımı gösterilir.

Başlıkta klavye gezintisi

  • Varsayılan olarak, başlık için sanal alt ağ topolojisi sayfasındaki seçim "Alt ağlar" filtresidir.
  • Başka bir filtreye gitmek için, ilerlemek için tuşunu kullanın Tab . Geri gitmek için tuşunu kullanın Shift+Tab . İleri gezinti soldan sağa ve ardından yukarıdan aşağıya doğru ilerler.
  • Seçili filtreyi uygulamak için basın Enter . Filtre seçimine ve dağıtımına bağlı olarak, topoloji bölümünün altındaki bir veya birden çok düğüm (Alt ağ) vurgulanır.
  • Başlık ve topoloji arasında geçiş yapmak için tuşuna basın Ctrl+F6.

Topolojide klavye gezintisi

  • Başlıkta herhangi bir filtre seçtikten ve tuşuna bastıktan Ctrl+F6sonra, odak topoloji görünümünde vurgulanan düğümlerden birine (Alt ağ) taşınır.
  • Topoloji görünümünde vurgulanan diğer düğümlere gitmek için ileriye doğru hareket için anahtarını kullanın Shift+Right arrow .
  • Vurgulanan düğümlerde odak, düğümün Bilgi Araç Kutusu'na taşınır. Varsayılan olarak, odak Bilgi Aracı Kutusu'nda Diğer ayrıntılar düğmesine taşınır. Kutu görünümünde daha fazla ilerlemek için ve Left arrow tuşlarını kullanarak Right arrow sırasıyla ileri ve geri hareket edin. Tuşuna basmakEnter, Bilgi Aracı Kutusu'ndaki odaklanmış düğmeyi seçmekle aynı etkiye sahiptir.
  • Bu tür düğümlerin seçiminde, tuşa basarak Shift+Left arrow tüm bağlantılarını tek tek ziyaret edebilirsiniz. Odak, bu bağlantının Bilgi Aracı Kutusu'na taşınır. Herhangi bir noktada odak, yeniden basılarak Shift+Right arrow düğüme geri kaydırılabilir.