使用分析常見問題 （FAQ）

如需必要條件的清單，請參閱 使用分析必要條件 。

若要瞭解如何檢查指派給訂用帳戶使用者的角色，請參閱使用 Azure 入口網站 列出 Azure 角色指派。 如果您看不到角色指派，請連絡個別的訂用帳戶管理員。

是，網路安全組可以位於與Log Analytics工作區區域不同的區域。

是。

否，使用分析不支援傳統網路安全組。

在使用分析儀錶板的資源選取下拉式清單中，必須選取 虛擬網絡 資源的資源群組，而不是虛擬機或網路安全組的資源群組。

是。 如果您選取現有的工作區，請確定它已移轉至新的查詢語言。 如果您不想升級工作區，則需要建立新的工作區。 如需 Kusto 查詢語言 的詳細資訊（KQL），請參閱 Azure 監視器中的記錄查詢。

是，您的 Azure 記憶體帳戶可以位於一個訂用帳戶中，而 Log Analytics 工作區可以位於不同的訂用帳戶中。

是。 您可以設定流量記錄，以傳送至位於不同訂用帳戶的記憶體帳戶，前提是您有適當的許可權，而且記憶體帳戶位於與網路安全組（網路安全組流量記錄）或虛擬網路（虛擬網路流量記錄）相同的區域中。 目的地記憶體帳戶必須共享網路安全組或虛擬網路的相同 Microsoft Entra 租使用者。

否。 所有資源都必須位於相同的租使用者中，包括網路安全組（網路安全組流量記錄）、虛擬網路（虛擬網路流量記錄）、流量記錄、記憶體帳戶和Log Analytics工作區（如果已啟用使用分析）。

是。

否。 如果您刪除用於流量記錄的記憶體帳戶，則儲存在Log Analytics工作區中的數據將不會受到影響。 您仍然可以在Log Analytics工作區中檢視歷程記錄數據（某些計量將受到影響），但除非您更新流量記錄以使用不同的記憶體帳戶，否則使用分析將不再處理任何新的流量記錄。

選取支持的區域。 如果您選取不支援的區域，您會收到「找不到」錯誤。 如需詳細資訊，請參閱 使用分析支持的區域。

Microsoft.Insights提供者必須註冊，流程記錄才能正常運作。 如果您不確定Microsoft.Insights是否已為訂用帳戶註冊提供者，請參閱如何註冊 Azure 入口網站、PowerShell 或 Azure CLI 指示。

儀錶板可能需要 30 分鐘的時間才能第一次顯示報表。 解決方案必須先匯總足夠的數據，才能衍生有意義的深入解析，然後產生報表。

請嘗試下列選項：

• 變更上列的時間間隔。
• 選取上方列中不同的Log Analytics工作區。
• 如果最近啟用，請嘗試在 30 分鐘後存取使用分析。

如果問題持續發生，請在 Microsoft Q&A 中引發疑慮。

您可能會看到此訊息，因為：

• 最近已啟用使用分析，而且可能尚未匯總足夠的數據，以衍生有意義的深入解析。
• 您使用的是Log Analytics工作區的免費版本，且超過配額限制。 您可能需要使用容量較大的工作區。

嘗試針對上一個問題建議的解決方案。 如果問題持續發生，請在 Microsoft Q&A 中引發疑慮。

您會在儀錶板上看到資源資訊;不過，沒有任何流程相關的統計數據存在。 數據可能不存在，因為資源之間沒有通訊流程。 等候 60 分鐘，然後重新檢查狀態。 如果問題持續發生，且您確定資源之間的通訊流程存在，請在 Microsoft Q&A 中引起關注。

您可以使用 Windows PowerShell 6.2.1 版和更新版本來設定使用分析。 若要使用PowerShell為特定網路安全組設定流量記錄和使用分析，請參閱 啟用網路安全組流量記錄和使用分析。

是，您可以使用 Azure Resource Manager 範本或 Bicep 檔案來設定使用分析。 如需詳細資訊，請參閱 使用 Azure Resource Manager （ARM） 範本 設定 NSG 流量記錄和使用 Bicep 檔案設定 NSG 流量記錄。

使用分析會計量。 計量是以服務處理流量記錄數據為基礎，並將產生的增強記錄儲存在Log Analytics工作區中。

例如，根據 網路監看員 定價和 Azure 監視器定價，考慮美國中西部區域，如果流量記錄數據儲存在使用分析處理的記憶體帳戶中是 10 GB，而 Log Analytics 工作區中擷取的增強記錄是 1 GB，則適用的費用為：10 x 2.3$ + 1 x 2.76$ = 25.76$

使用分析的默認處理間隔為 60 分鐘，不過，您可以選取 10 分鐘的加速處理。 如需詳細資訊，請參閱 使用分析中的數據匯總。

使用分析依賴 Microsoft 內部威脅情報系統，將 IP 視為惡意。 這些系統利用各種遙測來源，例如 Microsoft 產品和服務、Microsoft 數位犯罪單位（DCU）、Microsoft 安全性回應中心（MSRC），以及外部摘要，並在其中建置大量情報。 部分數據是 Microsoft Internal。 如果已知IP標示為惡意，請提出支援票證以知道詳細數據。

使用分析沒有警示的內建支援。 不過，由於使用分析數據儲存在Log Analytics中，因此您可以撰寫自定義查詢並設定警示。 執行下列步驟:

• 您可以在使用分析中使用 Log Analytics 連結。
• 使用使用分析架構來撰寫查詢。
• 選取 [ 新增警示規則 ] 以建立警示。
• 請參閱 建立新的警示規則 以建立警示。

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

針對IP，請使用下列查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

針對時間，請使用格式：yyyy-mm-dd 00：00：00

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

針對IP：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

地理地圖頁面包含兩個主要區段：

• 橫幅：地理地圖頂端的橫幅會提供按鈕來選取流量分布篩選器（例如， 部署、 來自國家/地區的流量和 惡意流量）。 當您選取按鈕時，對應上會套用個別篩選。 例如，如果您選取 [作用中] 按鈕，地圖會醒目提示您部署中的使用中數據中心。
• 地圖：橫幅下方的地圖區段會顯示 Azure 數據中心與國家/地區之間的流量分佈。

橫幅上的鍵盤流覽

• 根據預設，橫幅地理地圖頁面上的選取範圍是 「Azure DC」篩選條件。
• 若要移至另一個篩選，請使用 Tab 或 Right arrow 索引鍵。 若要向後移動，請使用 Shift+Tab 或 Left arrow 鍵。 向前流覽由左至右，後面接著由上至下。
• 按下 Enter 或 Down 箭頭鍵以套用選取的篩選條件。 根據篩選選取和部署，地圖區段底下的一或多個節點會反白顯示。
• 若要在橫幅和地圖之間切換，請按 Ctrl+F6。

地圖上的鍵盤流覽

• 選取橫幅上的任何篩選並按 Ctrl+F6，焦點會移至地圖檢視檢視中的其中一個醒目提示節點（Azure 數據中心 或 國家/地區）。
• 若要移至地圖中的其他醒目提示節點，請使用 Tab 或 Right arrow 索引鍵進行向前移動。 使用 Shift+Tab 或 Left arrow 索引鍵進行回溯移動。
• 若要選取對應中的任何反白顯示節點，請使用 Enter 或 Down arrow 索引鍵。
• 選取任何這類節點時，焦點會移至節點的資訊 工具方塊 。 根據預設，焦點會移至 [資訊工具] 方塊上的關閉按鈕。 若要在 Box 檢視內進一步移動，請使用 Right arrow 和 Left arrow 鍵分別往前和向後移動。 按下Enter的效果與選取 [資訊工具] 方塊中的焦點按鈕相同。
• 當您按下 Tab 焦點位於 資訊工具方塊時，焦點會移至與所選節點位於相同大陸的終點。 Right arrow使用和 Left arrow 金鑰，透過這些端點移動。
• 若要移至其他流量端點或大陸叢集，請使用 Tab 進行向前移動和 Shift+Tab 向後移動。
• 當焦點位於 歐洲大陸叢集上時，請使用 Enter 或 Down 箭頭鍵來反白顯示大陸叢集內的端點。 若要在非洲大陸叢集的資訊方塊上移動端點和關閉按鈕，請分別使用 Right arrow 或 Left arrow 鍵進行向前和向後移動。 在任何端點上，您可以使用 Shift+L 切換至從選取節點到端點的連接線。 您可以再按 Shift+L 一次，移至選取的端點。

任何階段的鍵盤流覽

• 索引 Esc 鍵會折疊展開的選取範圍。
• 索引 Up-arrow 鍵會執行與 Esc相同的動作。 索引 Down arrow 鍵會執行與 Enter相同的動作。
• 使用 Shift+Plus 放大縮小字體功能 Shift+Minus 放大縮小字體功能

虛擬網路拓撲頁面包含兩個主要區段：

• 橫幅：虛擬網路拓撲頂端的橫幅會提供按鈕來選取流量分配篩選器（例如，連線 虛擬網路、中斷連線的虛擬網路和公用IP）。 當您選取按鈕時，會套用拓撲上的個別篩選。 例如，如果您選取 [作用中] 按鈕，拓撲會醒目提示部署中的作用中虛擬網路。
• 拓撲：橫幅下方的拓撲區段會顯示虛擬網路之間的流量分佈。

橫幅上的鍵盤流覽

• 根據預設，橫幅的虛擬網路拓撲頁面上的選取專案是「連線 VNet」篩選器。
• 若要移至另一個篩選，請使用 Tab 索引鍵向前移動。 若要向後移動，請使用 Shift+Tab 機碼。 向前流覽由左至右，後面接著由上至下。
• 按 Enter 以套用選取的篩選條件。 根據篩選選取和部署，會醒目提示拓撲區段下的一或多個節點（虛擬網路）。
• 若要在橫幅與拓撲之間切換，請按 Ctrl+F6。

拓撲上的鍵盤流覽

• 選取橫幅上的任何篩選並按下 Ctrl+F6之後，焦點會移至拓撲檢視中其中一個醒目提示節點 （VNet）。
• 若要移至拓撲檢視中的其他醒目提示節點，請使用 Shift+Right arrow 索引鍵進行向前移動。
• 在醒目提示的節點上，焦點會移至 節點的資訊工具框 。 根據預設，焦點會移至 [資訊工具] 方塊上的 [更多詳細數據] 按鈕。 若要在 Box 檢視中進一步移動，請使用 Right arrow 和 Left arrow 鍵分別向前和向後移動。 按下Enter的效果與選取 [資訊工具] 方塊中的焦點按鈕相同。
• 在選取任何這類節點時，您可以按 Shift+Left arrow 鍵逐一流覽其所有連線。 焦點會移至 該連線的資訊工具方塊 。 在任何時間點，焦點都可以再次按 Shift+Right arrow 一次回到節點。

虛擬子網拓撲頁面包含兩個主要區段：

• 橫幅：虛擬子網拓撲頂端的橫幅會提供按鈕來選取流量分配篩選器（例如作用中、中型和網關子網）。 當您選取按鈕時，會套用拓撲上的個別篩選。 例如，如果您選取 [作用中] 按鈕，拓撲會醒目提示部署中的作用中虛擬子網。
• 拓撲：橫幅下方的拓撲區段會顯示虛擬子網之間的流量分佈。

橫幅上的鍵盤流覽

• 根據預設，橫幅虛擬子網拓撲頁面上的選取範圍是 「子網」篩選條件。
• 若要移至另一個篩選，請使用 Tab 索引鍵向前移動。 若要向後移動，請使用 Shift+Tab 機碼。 向前流覽由左至右，後面接著由上至下。
• 按 Enter 以套用選取的篩選條件。 根據篩選選取和部署，會反白顯示拓撲區段下的一或多個節點（子網）。
• 若要在橫幅與拓撲之間切換，請按 Ctrl+F6。

拓撲上的鍵盤流覽

• 在橫幅上選取任何篩選並按下 Ctrl+F6之後，焦點會移至拓撲檢視中其中一個醒目提示的節點（子網）。
• 若要移至拓撲檢視中的其他醒目提示節點，請使用 Shift+Right arrow 索引鍵進行向前移動。
• 在醒目提示的節點上，焦點會移至 節點的資訊工具框 。 根據預設，焦點會移至 [資訊工具] 方塊上的 [更多詳細數據] 按鈕。 若要在 Box 檢視內進一步移動，請使用 Right arrow 和 Left arrow 鍵分別往前和向後移動。 按下Enter的效果與選取 [資訊工具] 方塊中的焦點按鈕相同。
• 在選取任何這類節點時，您可以按 Shift+Left arrow 鍵逐一流覽其所有連線。 焦點會移至 該連線的資訊工具方塊 。 在任何時間點，焦點都可以再次按 Shift+Right arrow 一次回到節點。