使用分析概觀
流量分析是雲端解決方案,可對您雲端網路中的使用者與應用程式活動提供可見度。 具體而言,使用分析會分析 Azure 網路監看員 流量記錄,以提供 Azure 雲端中流量的深入解析。 使用流量分析,您可以:
將 Azure 訂用帳戶上的網路活動視覺化。
識別作用點。
使用下列元件的相關信息來識別威脅,保護您的網路:
- 開啟連接埠
- 嘗試存取因特網的應用程式
- 線上到流氓網路的虛擬機器 (VM)
透過了解跨 Azure 區域和網際網路的流量流程模式,以針對效能和容量最佳化網路部署。
找出可能導致網路中連線失敗的網路設定錯誤。
為何使用分析?
請務必監視、管理及瞭解您自己的網路,以取得不合規的安全性、合規性和效能。 瞭解您自己的環境對於保護及優化環境至關重要。 您通常需要知道網路的目前狀態,包括下列資訊:
- 神秘 連線到網路嗎?
- 他們從哪裡連線?
- 哪些埠會開放至因特網?
- 預期的網路行為為何?
- 是否有任何不規則的網路行為?
- 交通突然上升嗎?
雲端網路與內部部署企業網路不同。 在內部部署網路中,路由器和交換器支援 NetFlow 和其他對等通訊協定。 您可以使用這些裝置,在IP網路流量進入或結束網路介面時收集數據。 藉由分析流量數據,您可以建置網路流量和流量的分析。
使用 Azure 虛擬網路時,流量記錄會收集網路的相關數據。 這些記錄會透過網路安全組或虛擬網路提供輸入和輸出IP流量的相關信息。 使用分析會分析原始流程記錄,並將記錄數據與安全性、拓撲和地理位置的智能結合。 接著,使用分析可讓您深入了解環境中的流量。
使用分析提供以下資訊:
- 大部分通訊主機
- 大部分通訊的應用程式通訊協定
- 大部分的主機配對
- 允許和封鎖的流量
- 輸入和輸出流量
- 開啟因特網埠
- 大部分封鎖規則
- 每個 Azure 資料中心、虛擬網路、子網或流氓網路的流量分佈
主要元件
若要使用使用分析,您需要下列元件:
網路監看員:一種區域服務,可用來在 Azure 中的網路案例層級監視和診斷條件。 您可以使用 網路監看員 來開啟和關閉 NSG 流量記錄。 如需詳細資訊,請參閱什麼是 Azure 網路監看員?
Log Analytics:您用來處理 Azure 監視器記錄資料的 Azure 入口網站 工具。 Azure 監視器記錄是一項 Azure 服務,可收集監視數據,並將數據儲存在中央存放庫中。 此數據可以包含事件、效能數據,或透過 Azure API 提供的自定義資料。 收集此數據之後,即可進行警示、分析和導出。 監視網路效能監視器和使用分析等應用程式,會使用 Azure 監視器記錄作為基礎。 如需詳細資訊,請參閱 Azure 監視器記錄。 Log Analytics 提供在記錄檔上編輯和執行查詢的方式。 您也可以使用此工具來分析查詢結果。 如需詳細資訊,請參閱 Azure 監視器中的 Log Analytics 概觀。
Log Analytics 工作區:儲存與 Azure 帳戶相關的 Azure 監視器記錄數據的環境。 如需Log Analytics工作區的詳細資訊,請參閱 Log Analytics工作區概觀。
此外,如果您使用使用分析來分析 NSG 流量記錄,或是使用使用分析 VNet 流量記錄來分析 VNet 流量記錄的虛擬網路,則需要啟用流量記錄的網路安全組:
網路安全組 (NSG):包含安全性規則清單的資源,可允許或拒絕連線到 Azure 虛擬網路之資源的網路流量。 網路安全組可以與連結至 VM 的子網、網路介面(NIC)或個別 VM(傳統版)相關聯。 如需詳細資訊,請參閱 網路安全組概觀。
NSG 流量記錄:透過網路安全組記錄輸入和輸出IP流量的相關信息。 NSG 流量記錄是以 JSON 格式撰寫,包括:
- 每個規則的輸出和輸入流程。
- 流程適用的 NIC。
- 流程的相關信息,例如來源和目的地IP位址、來源和目的地埠,以及通訊協定。
- 流量的狀態,例如允許或拒絕。
如需 NSG 流量記錄的詳細資訊,請參閱 NSG 流量記錄概觀。
虛擬網路 (VNet):一種資源,可讓許多類型的 Azure 資源安全地彼此通訊、因特網和內部部署網路。 如需詳細資訊,請參閱 虛擬網路概觀。
VNet 流量記錄 (預覽):透過虛擬網路記錄輸入和輸出IP流量的相關信息。 VNet 流量記錄是以 JSON 格式撰寫,包括:
- 輸出和輸入流程。
- 流程的相關信息,例如來源和目的地IP位址、來源和目的地埠,以及通訊協定。
- 流量的狀態,例如允許或拒絕。
如需 VNet 流量記錄的詳細資訊,請參閱 VNet 流量記錄概觀。
注意
如需 NSG 流量記錄與 VNet 流量記錄之間差異的相關信息,請參閱 相較於 NSG 流量記錄的 VNet 流量記錄
使用分析的運作方式
使用分析會檢查原始流程記錄。 然後,它會藉由匯總具有通用來源IP位址、目的地IP位址、目的地埠和通訊協定的流程來減少記錄磁碟區。
例如,IP 位址 10.10.10.10 的主機 1 和 IP 位址為 10.10.20.10 的主機 2。 假設這兩部主機在一小時內通訊 100 次。 在此情況下,原始流程記錄檔有100個專案。 如果這些主機針對這 100 個互動的每個埠 80 使用 HTTP 通訊協定,則縮減的記錄檔有一個專案。 該專案指出主機 1 和主機 2 在埠 80 上使用 HTTP 通訊協定,在一小時內通訊 100 次。
減少的記錄會隨著地理位置、安全性和拓撲資訊而增強,然後儲存在Log Analytics工作區中。 下圖顯示資料串流:
必要條件
使用分析需要下列必要條件:
已啟用 網路監看員 的訂用帳戶。 如需詳細資訊,請參閱啟用或停用 Azure 網路監看員。
針對您要監視的網路安全組啟用NSG流量記錄,或針對您想要監視的虛擬網路啟用 VNet 流量記錄。 如需詳細資訊,請參閱 建立流程記錄 或 啟用 VNet 流量記錄。
具有讀取和寫入存取權的 Azure Log Analytics 工作區。 如需詳細資訊,請參閱 建立Log Analytics工作區。
下列 其中一個 Azure 內建角色 必須指派給您的帳戶:
部署模型 角色 Resource Manager 擁有者 參與者 網路參與者1 和監視參與者2 如果未將上述內建角色指派給您的帳戶,請將自定義角色指派給您的帳戶。 自定義角色應該支援訂用帳戶層級的下列動作:
Microsoft.Network/applicationGateways/readMicrosoft.Network/connections/readMicrosoft.Network/loadBalancers/readMicrosoft.Network/localNetworkGateways/readMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkSecurityGroups/readMicrosoft.Network/publicIPAddresses/readMicrosoft.Network/routeTables/readMicrosoft.Network/virtualNetworkGateways/readMicrosoft.Network/virtualNetworks/readMicrosoft.Network/expressRouteCircuits/readMicrosoft.OperationalInsights/workspaces/read1Microsoft.OperationalInsights/workspaces/sharedkeys/action1Microsoft.Insights/dataCollectionRules/read2Microsoft.Insights/dataCollectionRules/write2Microsoft.Insights/dataCollectionRules/delete2Microsoft.Insights/dataCollectionEndpoints/read2Microsoft.Insights/dataCollectionEndpoints/write2Microsoft.Insights/dataCollectionEndpoints/delete2
1 網路參與者未涵蓋
Microsoft.OperationalInsights/workspaces/*動作。2 只有在使用使用分析來分析 VNet 流量記錄時才需要 (預覽)。 如需詳細資訊,請參閱 Azure 監視器 中的數據收集規則和 Azure 監視器中的數據收集端點。
若要瞭解如何檢查指派給使用者訂用帳戶的角色,請參閱使用 Azure 入口網站 列出 Azure 角色指派。 如果您看不到角色指派,請連絡個別的訂用帳戶管理員。
警告
數據收集規則和數據收集端點資源是由使用分析所建立和管理。 如果您對這些資源執行任何作業,使用分析可能無法如預期般運作。
定價
如需定價詳細數據,請參閱 網路監看員 定價和 Azure 監視器定價。
使用分析 (常見問題)
若要取得使用分析常見問題的解答,請參閱 使用分析常見問題。