流量分析常見問題集 (FAQ)

如需必要條件的清單，請參閱流量分析必要條件。

若要了解如何檢查指派給訂用帳戶中使用者的角色，請參閱使用 Azure 入口網站列出 Azure 角色指派。 如果您無法看見角色指派，請連絡個別的訂用帳戶管理員。

是，網路安全性群組可以位於與 Log Analytics 工作區區域不同的區域。

是。

否，流量分析不支援傳統網路安全性群組。

在 [流量分析] 儀表板的資源選取下拉式清單中，必須選取 [虛擬網路] 資源的資源群組，而不是虛擬機器或網路安全性群組的資源群組。

是。 如果您選取現有的工作區，請確定該工作區已遷移至新的查詢語言。 如果您不想升級工作區，則需要建立新的工作區。 如需 Kusto 查詢語言 (KQL) 的詳細資訊，請參閱 Azure 監視器中的記錄查詢。

是，您的 Azure 儲存體帳戶可以位於某個訂用帳戶，而您的 Log Analytics 工作區可以位於不同的訂用帳戶中。

是。 您可以將流量記錄設定為傳送至位於不同訂用帳戶中的儲存體帳戶，前提是您具有適當的權限，而且該儲存體帳戶位於與網路安全性群組 (網路安全性群組流量記錄) 或虛擬網路 (虛擬網路流量記錄) 相同的區域中。 目的地儲存體帳戶必須共用網路安全性群組或虛擬網路的相同 Microsoft Entra 租用戶。

否。 所有資源都必須位於相同的租用戶中，包括網路安全性群組 (網路安全性群組流量記錄)、虛擬網路 (虛擬網路流量記錄)、流量記錄、儲存體帳戶和 Log Analytics 工作區 (如果已啟用流量分析)。

是。

否。 如果您刪除用於流量記錄的儲存體帳戶，則將不會影響 Log Analytics 工作區中所儲存的資料。 您仍然可以在 Log Analytics 工作區中檢視歷程記錄資料 (某些計量將會受到影響)，但在您更新流量記錄以使用不同的儲存體帳戶之前，使用分析將不再處理任何新的額外流量記錄。

請選取支援的地區。 如果您選取不受支援的區域，就會收到「找不到」錯誤。 如需詳細資訊，請參閱流量分析支援的區域。

為了讓流量記錄正常運作，您必須註冊 Microsoft.Insights 提供者。 如果您不確定 Microsoft.Insights 是否已為訂用帳戶註冊提供者，請參閱 Azure 入口網站、 PowerShell或 Azure CLI 如何註冊的指示。

儀表板可能需要 30 分鐘的時間才能首次顯示報表。 解決方案必須先彙總足夠資料以衍生有意義的深入解析，然後才能產生報告。

請嘗試下列選項：

• 在上方列中變更時間間隔。
• 在上方列中選取不同的 Log Analytics 工作區。
• 如果是最近才啟用的話，請嘗試於 30 分鐘過後再存取流量分析。

如果問題持續發生，請在 Microsoft Q&A 中提出疑慮。

您會看到此訊息的原因可能如下：

• 流量分析最近才啟用，而且可能尚未彙總到足夠資料以衍生有意義的見解。
• 您使用的是免費版本的 Log Analytics 工作區，而且超過配額限制。 您可能需要使用容量較大的工作區。

嘗試針對上一個問題建議的解決方案。 如果問題持續發生，請在 Microsoft Q&A 中提出疑慮。

您會在儀表板上看到資源資訊；不過，不會有任何流程相關的統計資料。 資源之間沒有通訊流量，所以可能不會有資料。 請稍候 60 分鐘，然後重新檢查狀態。 如果問題仍然存在，而且您確定資源之間有通訊流量，請在 Microsoft Q&A (英文) 中提出疑慮。

您可以使用 Windows PowerShell 6.2.1 版和更新版本來設定流量分析。 若要使用 PowerShell 為特定網路安全性群組設定流量記錄和流量分析，請參閱啟用網路安全性群組流量記錄和流量分析。

是，您可以使用 Azure Resource Manager 範本或 Bicep 檔案來設定使用分析。 如需詳細資訊，請參閱 使用 Azure Resource Manager (ARM) 範本設定 NSG 流量記錄和使用 Bicep 檔案設定 NSG 流量記錄。

流量分析採計量付費。 計量是以服務處理原始流量記錄資料為基礎。 如需詳細資訊，請參閱網路監看員定價。
Log Analytics 工作區中所內嵌的增強記錄最多可以免費保留前 31 天 (如果工作區上已啟用 Microsoft Sentinel，則最多可以保留 90 天)。 如需詳細資訊，請參閱 Azure 監視器計量價格。

流量分析的預設處理間隔為 60 分鐘，不過，您可以選取 10 分鐘的加速處理。 如需詳細資訊，請參閱流量分析中的資料彙總。

流量分析仰賴 Microsoft 內部威脅情報系統來將 IP 識別為惡意。 這些系統會利用各式各樣的遙測來源 (例如 Microsoft 產品和服務、Microsoft Digital Crimes Unit (DCU)、Microsoft 安全回應中心 (MSRC) 及外部摘要)，並以其為基礎建置眾多情報。 這些資料有一部分是 Microsoft 內部的。 如果有已知 IP 被標示為惡意，請提出支援票證以了解詳細資料。

流量分析沒有警示的內建支援。 不過，由於流量分析資料是儲存在 Log Analytics 中，您可以撰寫自訂查詢並針對資料設定警示。 執行下列步驟:

• 您可以在流量分析中使用 Log Analytics 連結。
• 使用流量分析結構描述來撰寫查詢。
• 選取 [新增警示規則] 來建立警示。
• 請參閱建立新的警示規則以建立警示。

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

針對 IP，請使用下列查詢:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

針對時間，請使用下列格式：yyyy-mm-dd 00:00:00

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

針對 IP：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

使用以下查詢：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

地理地圖頁面包含兩大區段：

• 橫幅：地理地圖頂端的橫幅提供各種按鈕，可用來選取流量發佈篩選條件 (例如 [部署]、[來自國家/地區的流量] 與 [惡意])。 當您選取按鈕時，個別篩選條件便會套用至地圖。 例如，如果您選取 [使用中] 按鈕，地圖就會將部署中的使用中資料中心醒目提示。
• 地圖：橫幅下方的 [地圖] 區段會顯示在 Azure 資料中心與國家/地區之間的流量發佈。

橫幅上的鍵盤瀏覽

• 根據預設，系統會在地理地圖頁面的橫幅上選擇「Azure DC」篩選條件。
• 若要移至另一個篩選條件，可使用 Tab 或 Right arrow 鍵。 若要反向移動，可使用 Shift+Tab 或 Left arrow 鍵。 順向瀏覽是由左到右，再由上到下。
• 按 Enter 或 Down 方向鍵可套用選取的篩選條件。 根據選取的篩選條件和部署，系統會在 [地圖] 區段下將一或多個節點醒目提示。
• 若要切換橫幅和地圖，請按 Ctrl+F6。

地圖上的鍵盤瀏覽

• 選取橫幅上的任何篩選條件並按下 Ctrl+F6 後，焦點就會移至地圖檢視中的其中一個醒目提示節點 (Azure 資料中心或國家/區域)。
• 若要移至地圖上其他醒目提示節點，請使用 Tab 或 Right arrow 鍵順向移動。 若要反向移動，請使用 Shift+Tab 或 Left arrow 鍵。
• 若要選取地圖中的任何醒目提示節點，請使用 Enter 或 Down arrow 鍵。
• 一選取任何這類節點後，焦點就會移至節點的 [資訊工具方塊]。 根據預設，焦點會移至 [資訊工具方塊] 上已關閉的按鈕。 若要進一步地在 [方塊] 檢視內移動，請分別使用 Right arrow 和 Left arrow 鍵來順向和反向移動。 按 Enter 的效果等同於在 [資訊工具方塊] 內選取焦點按鈕的效果。
• 若您在焦點於 [資訊工具方塊] 時按 Tab，焦點就會移至與所選節點位於相同大陸的端點。 使用 Right arrow 和 Left arrow 鍵可在這些端點之間移動。
• 若要移動至其他流量端點或大陸叢集，請使用 Tab 進行順向移動，使用 Shift+Tab 進行反向移動。
• 一旦焦點位於 [大陸叢集] 時，請使用 Enter 或 Down 方向鍵來醒目提示大陸叢集內的端點。 若要在端點和大陸叢集資訊方塊上的關閉按鈕之間移動，請分別使用 Right arrow 或 Left arrow 鍵來進行順向和反向移動。 在任何端點上，您都可以使用 Shift+L 來切換到從選取節點到端點的連接線。 您可以再按一次 Shift+L，即可移至所選的端點。

各階段的鍵盤瀏覽

• Esc 金鑰可將展開的選取範圍摺疊。
• Up-arrow 鍵可執行與 Esc 相同的動作。 Down arrow 鍵可執行與 Enter 相同的動作。
• 使用 Shift+Plus 可放大，使用 Shift+Minus 可縮小。

虛擬網路拓樸頁面包含兩個主要區段：

• 橫幅：虛擬網路拓撲上方的橫幅會提供各種按鈕，可選取流量發佈篩選器 (例如連線的虛擬網路、 中斷連線的虛擬網路及公用 IP)。 當您選取按鈕時，個別篩選條件便會套用至拓撲。 例如，如果您選取 [使用中] 按鈕，拓撲會將部署中的使用中虛擬網路醒目提示。
• 拓樸：橫幅下方的 [拓撲] 區段會顯示虛擬網路的流量分配。

橫幅上的鍵盤瀏覽

• 根據預設，系統會在虛擬網路拓樸頁面的橫幅上選擇「已連線的 Vnet」篩選條件。
• 若要移至另一個篩選條件，可使用 Tab 鍵順向移動。 若要反向移動，請使用 Shift+Tab 鍵。 順向瀏覽是由左到右，再由上到下。
• 按 Enter 可套用選取的篩選條件。 根據選取的篩選條件和部署，系統會在 [拓撲] 區段下將一或多個節點 (虛擬網路) 醒目提示。
• 若要切換橫幅和拓撲，請按 Ctrl+F6。

拓撲上的鍵盤瀏覽

• 選取橫幅上的任何篩選條件並按下 Ctrl+F6 後，焦點就會移至拓撲檢視中的其中一個醒目提示節點 (VNet)。
• 若要移至拓撲檢視上其他醒目提示節點，請使用 Shift+Right arrow 鍵順向移動。
• 在醒目提示的節點上，焦點就會移至節點的 [資訊工具方塊]。 根據預設，焦點會移至 [資訊工具方塊] 上的 [更多詳細資料] 按鈕。 若要進一步地在 [方塊] 檢視內移動，請分別使用 Right arrow 和 Left arrow 鍵來順向和反向移動。 按 Enter 的效果等同於在 [資訊工具方塊] 內選取焦點按鈕的效果。
• 選取任何這類節點時，可以按 Shift+Left arrow 鍵逐一前往其所有連線。 焦點會移至該連線的 [資訊工具方塊]。 任何時候只要再按一次 Shift+Right arrow，都可以將焦點轉移回該節點。

虛擬子網路拓樸頁面包含兩個主要區段：

• 橫幅：虛擬子網路拓撲上方的橫幅會提供各種按鈕，可選取流量發佈篩選器 (例如使用中、媒體及閘道子網路)。 當您選取按鈕時，個別篩選條件便會套用至拓撲。 例如，如果您選取 [使用中] 按鈕，拓撲會醒目提示部署中的使用中虛擬子網路。
• 拓樸：橫幅下方的 [拓撲] 區段會顯示虛擬子網路的流量分配。

橫幅上的鍵盤瀏覽

• 根據預設，系統會在虛擬子網路拓樸頁面的橫幅上選擇「子網路」篩選條件。
• 若要移至另一個篩選條件，可使用 Tab 鍵順向移動。 若要反向移動，請使用 Shift+Tab 鍵。 順向瀏覽是由左到右，再由上到下。
• 按 Enter 可套用選取的篩選條件。 根據選取的篩選條件和部署，系統會在 [拓撲] 區段下將一或多個節點 (子網路) 醒目提示。
• 若要切換橫幅和拓撲，請按 Ctrl+F6。

拓撲上的鍵盤瀏覽

• 選取橫幅上的任何篩選條件並按下 Ctrl+F6 後，焦點就會移至拓撲檢視中的其中一個醒目提示節點 (子網路)。
• 若要移至拓撲檢視上其他醒目提示節點，請使用 Shift+Right arrow 鍵順向移動。
• 在醒目提示的節點上，焦點就會移至節點的 [資訊工具方塊]。 根據預設，焦點會移至 [資訊工具方塊] 上的 [更多詳細資料] 按鈕。 若要進一步地在 [方塊] 檢視內移動，請分別使用 Right arrow 和 Left arrow 鍵來順向和反向移動。 按 Enter 的效果等同於在 [資訊工具方塊] 內選取焦點按鈕的效果。
• 選取任何這類節點時，可以按 Shift+Left arrow 鍵逐一前往其所有連線。 焦點會移至該連線的 [資訊工具方塊]。 任何時候只要再按一次 Shift+Right arrow，都可以將焦點轉移回該節點。