Nejčastější dotazy k analýze provozu

Seznam požadovaných požadavků najdete v části Požadavky analýzy provozu.

Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.

Ano, skupiny zabezpečení sítě můžou být v různých oblastech než vaše oblast pracovního prostoru služby Log Analytics.

Ano.

Ne, analýza provozu nepodporuje klasické skupiny zabezpečení sítě.

V rozevíracím seznamu pro výběr prostředků na řídicím panelu analýzy provozu musí být vybraná skupina prostředků prostředku virtuální sítě , nikoli skupina prostředků virtuálního počítače nebo skupiny zabezpečení sítě.

Ano. Pokud vyberete existující pracovní prostor, ujistěte se, že byl migrován do nového dotazovacího jazyka. Pokud nechcete pracovní prostor upgradovat, musíte vytvořit nový. Další informace o dotazovací jazyk Kusto (KQL) najdete v tématu Dotazy protokolu ve službě Azure Monitor.

Ano, váš účet úložiště Azure může být v jednom předplatném a váš pracovní prostor služby Log Analytics může být v jiném předplatném.

Ano. Protokoly toku můžete nakonfigurovat tak, aby se odesílaly do účtu úložiště umístěného v jiném předplatném za předpokladu, že máte příslušná oprávnění a že se účet úložiště nachází ve stejné oblasti jako skupina zabezpečení sítě (protokoly toku skupiny zabezpečení sítě) nebo virtuální sítě (protokoly toku virtuální sítě). Cílový účet úložiště musí sdílet stejného tenanta Microsoft Entra skupiny zabezpečení sítě nebo virtuální sítě.

Ne. Všechny prostředky musí být ve stejném tenantovi, včetně skupin zabezpečení sítě (protokolů toku skupiny zabezpečení sítě), virtuálních sítí (protokolů toku virtuální sítě), protokolů toků, účtů úložiště a pracovních prostorů služby Log Analytics (pokud je povolená analýza provozu).

Ano.

Ne. Pokud odstraníte účet úložiště, který se používá pro protokoly toku, nebudou ovlivněna data uložená v pracovním prostoru služby Log Analytics. Historická data můžete stále zobrazit v pracovním prostoru služby Log Analytics (některé metriky budou ovlivněny), ale analýza provozu už nebude zpracovávat žádné nové další protokoly toku, dokud neaktualizujete protokoly toku tak, aby používaly jiný účet úložiště.

Vyberte podporovanou oblast. Pokud vyberete nepodporované oblasti, zobrazí se chyba Nenalezena. Další informace najdete v tématu Analýza provozu podporované oblasti.

Aby Microsoft.Insights protokolování toku fungovalo správně, musí být zprostředkovatel zaregistrovaný. Pokud si nejste jistí, jestli Microsoft.Insights je poskytovatel zaregistrovaný pro vaše předplatné, přečtěte si pokyny k registraci na webu Azure Portal, PowerShellu nebo Azure CLI .

První zobrazení sestav na řídicím panelu může trvat až 30 minut. Řešení musí nejprve agregovat dostatek dat, aby bylo možné odvodit smysluplné přehledy a pak vygenerovat sestavy.

Vyzkoušejte následující možnosti:

• Změňte časový interval na horním panelu.
• Na horním panelu vyberte jiný pracovní prostor služby Log Analytics.
• Zkuste se po 30 minutách dostat k analýze provozu, pokud byla nedávno povolená.

Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Tato zpráva se může zobrazit z následujících důvodů:

• Analýza provozu byla nedávno povolená a možná ještě neagregovala dostatek dat, aby mohla odvodit smysluplné přehledy.
• Používáte bezplatnou verzi pracovního prostoru služby Log Analytics a překročili jste limity kvót. Možná budete muset použít pracovní prostor s větší kapacitou.

Vyzkoušejte navrhovaná řešení pro předchozí otázku. Pokud problémy potrvají, v microsoft Q&A můžete vyvolat obavy.

Na řídicím panelu se zobrazují informace o prostředcích; Nejsou však přítomny žádné statistiky související s toky. Data nemusí být přítomná kvůli žádným komunikačním tokům mezi prostředky. Počkejte 60 minut a znovu zkontrolujte stav. Pokud problém přetrvává a jste si jistí, že existují komunikační toky mezi prostředky, vzbuďte obavy v Q&A od Microsoftu.

Analýzy provozu můžete nakonfigurovat pomocí Windows PowerShellu verze 6.2.1 a vyšší. Pokud chcete nakonfigurovat protokolování toku a analýzu provozu pro konkrétní skupinu zabezpečení sítě pomocí PowerShellu, přečtěte si téma Povolení protokolů toků skupin zabezpečení sítě a analýzy provozu.

Ano, ke konfiguraci analýzy provozu můžete použít šablonu Azure Resource Manageru nebo soubor Bicep. Další informace najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manageru (ARM) a konfigurace protokolů toku NSG pomocí souboru Bicep.

Analýza provozu se měří. Měření vychází ze zpracování dat protokolu toku službou a ukládání výsledných vylepšených protokolů do pracovního prostoru služby Log Analytics.

Například podle cen služby Network Watcher a cen služby Azure Monitor v případě, že při zvažování oblasti USA – středozápad platí, že pokud data toku uložená v účtu úložiště zpracovávané analýzou provozu jsou 10 GB a rozšířené protokoly ingestované v pracovním prostoru služby Log Analytics jsou 1 GB, pak platí následující poplatky: 10 x 2,3$ + 1 x 2,76$ = 25,76$

Výchozí interval zpracování analýzy provozu je 60 minut, ale můžete vybrat zrychlené zpracování v 10 minutách. Další informace najdete v tématu Agregace dat v analýze provozu.

Analýza provozu spoléhá na interní systémy analýzy hrozeb Microsoftu, aby považovaly IP adresu za škodlivou. Tyto systémy využívají různorodé zdroje telemetrie, jako jsou produkty a služby Microsoftu, jednotka Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) a externí informační kanály a vytvářejí nad ním spoustu inteligentních informací. Některá z těchto dat jsou interní microsoft. Pokud se známá IP adresa označí jako škodlivá, vytvořte lístek podpory, abyste věděli podrobnosti.

Analýza provozu nemá integrovanou podporu pro výstrahy. Vzhledem k tomu, že jsou data analýzy provozu uložená v Log Analytics, můžete na ně psát vlastní dotazy a nastavit na ně upozornění. Postupujte následovně:

• V analýze provozu můžete použít odkaz Log Analytics.
• K zápisu dotazů použijte schéma analýzy provozu.
• Výběrem nového pravidla upozornění vytvořte výstrahu.
• Informace o vytvoření upozornění najdete v tématu Vytvoření nového pravidla upozornění.

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Pro IP adresy použijte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Pro čas použijte formát: rrrr-mm-dd 00:00:00

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Pro IP adresy:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Spusťte následující dotaz:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Stránka geografické mapy obsahuje dva hlavní oddíly:

• Banner: Banner v horní části geografické mapy poskytuje tlačítka pro výběr filtrů distribuce provozu (například Nasazení, Provoz ze zemí/oblastí a Škodlivý). Když vyberete tlačítko, použije se příslušný filtr na mapě. Pokud například vyberete tlačítko Aktivní, mapa zvýrazní aktivní datacentra ve vašem nasazení.
• Mapa: Pod bannerem se v části mapy zobrazuje distribuce provozu mezi datacentry Azure a zeměmi/oblastmi.

Navigace pomocí klávesnice na banneru

• Ve výchozím nastavení je výběr na stránce geografické mapy banneru filtrem Azure DCS.
• Pokud chcete přejít na jiný filtr, použijte buď Tab klíč, nebo Right arrow klíč. Pokud se chcete posunout dozadu, použijte buď Shift+Tab klíč, nebo Left arrow klíč. Navigace vpřed je zleva doprava a nahoře dolů.
• Vybraný filtr použijete stisknutím Enter klávesy se Down šipkou. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů v oddílu mapy.
• Pokud chcete přepínat mezi bannerem a mapou, stiskněte .Ctrl+F6

Navigace pomocí klávesnice na mapě

• Jakmile vyberete libovolný filtr na banneru a stisknete , fokus se přesune Ctrl+F6na jeden ze zvýrazněných uzlů (datacentrum Azure nebo země/ oblast) v zobrazení mapy.
• Pokud chcete přejít na jiné zvýrazněné uzly v mapě, použijte k pohybu vpřed buď Tab nebo Right arrow klíč. Použijte Shift+Tab nebo klávesu Left arrow pro pohyb dozadu.
• Pokud chcete vybrat libovolný zvýrazněný uzel v mapě, použijte klávesu Enter nebo Down arrow klíč.
• Při výběru těchto uzlů se fokus přesune do informačního pole pro daný uzel. Ve výchozím nastavení se fokus přesune na zavřené tlačítko v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte Right arrow a Left arrow klávesy k pohybu dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
• Když stisknete Tab fokus na informačním panelu, přesune se fokus na koncové body ve stejném kontinentu jako vybraný uzel. K procházení těchto koncových bodů použijte klíče Right arrowLeft arrow a klíče.
• Pokud chcete přejít na jiné koncové body toku nebo clustery kontinentů, použijte Tab k pohybu vpřed a Shift+Tab k pohybu dozadu.
• Když je fokus na clusterech kontinentů, zvýrazněte koncové body uvnitř kontinentu pomocí Enter kláves se Down šipkami. Pokud chcete procházet koncové body a tlačítko zavřít v informačním rámečku kontinentu, použijte Right arrowLeft arrow k pohybu dopředu a dozadu buď klíč, nebo ho použijte. Na libovolném koncovém bodu můžete přepnout Shift+L na připojovací řádek z vybraného uzlu na koncový bod. Dalším stisknutím Shift+L můžete přejít na vybraný koncový bod.

Navigace pomocí klávesnice v libovolné fázi

• Klávesa Esc sbalí rozbalený výběr.
• Klíč Up-arrow provede stejnou akci jako Esc. Klíč Down arrow provede stejnou akci jako Enter.
• Slouží Shift+Plus k přiblížení a Shift+Minus oddálení.

Stránka topologie virtuálních sítí obsahuje dvě hlavní části:

• Banner: Banner v horní části topologie virtuálních sítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například Připojení virtuálních sítí, odpojených virtuálních sítí a veřejných IP adres). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální sítě ve vašem nasazení.
• Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuálními sítěmi.

Navigace pomocí klávesnice na banneru

• Ve výchozím nastavení je výběr na stránce topologie virtuálních sítí pro banner filtr "Připojení virtuální sítě".
• Pokud chcete přejít na jiný filtr, použijte Tab klíč k pohybu vpřed. K pohybu dozadu použijte Shift+Tab klíč. Navigace vpřed je zleva doprava a nahoře dolů.
• Stisknutím Enter použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (virtuální síť) v části topologie.
• Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu Ctrl+F6.

Navigace pomocí klávesnice v topologii

• Po výběru jakéhokoli filtru na banneru a stisknutí se Ctrl+F6fokus přesune na jeden ze zvýrazněných uzlů (VNet) v zobrazení topologie.
• Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte Shift+Right arrow klíč pro pohyb vpřed.
• Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte klávesy Right arrow a Left arrow pohyb dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
• Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy Shift+Left arrow . Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesy Shift+Right arrow .

Stránka topologie virtuálních podsítí obsahuje dvě hlavní části:

• Banner: Banner v horní části topologie virtuálních podsítí poskytuje tlačítka pro výběr filtrů distribuce provozu (například aktivní, střední a podsítě brány). Když vyberete tlačítko, použije se příslušný filtr v topologii. Pokud například vyberete tlačítko Aktivní, topologie zvýrazní aktivní virtuální podsíť ve vašem nasazení.
• Topologie: Pod bannerem se v části topologie zobrazuje distribuce provozu mezi virtuální podsítěmi.

Navigace pomocí klávesnice na banneru

• Ve výchozím nastavení je výběr na stránce topologie virtuální podsítě pro banner filtr Podsítě.
• Pokud chcete přejít na jiný filtr, použijte Tab klíč k pohybu vpřed. K pohybu dozadu použijte Shift+Tab klíč. Navigace vpřed je zleva doprava a nahoře dolů.
• Stisknutím Enter použijete vybraný filtr. Na základě výběru filtru a nasazení se zvýrazní jeden nebo více uzlů (podsíť) v části topologie.
• Pokud chcete přepnout mezi bannerem a topologií, stiskněte klávesu Ctrl+F6.

Navigace pomocí klávesnice v topologii

• Po výběru jakéhokoli filtru na banneru a stisknutí se Ctrl+F6fokus přesune na jeden ze zvýrazněných uzlů (podsíť) v zobrazení topologie.
• Pokud chcete přejít na jiné zvýrazněné uzly v zobrazení topologie, použijte Shift+Right arrow klíč pro pohyb vpřed.
• Na zvýrazněných uzlech se fokus přesune do pole Informační nástroj pro daný uzel. Ve výchozím nastavení se fokus přesune na tlačítko Další podrobnosti v poli Informační nástroj. K dalšímu pohybu uvnitř zobrazení Box použijte Right arrow a Left arrow klávesy k pohybu dopředu a dozadu. Stisknutí Enter má stejný účinek jako výběr tlačítka fokusu v poli Informační nástroj.
• Při výběru všech takových uzlů můžete navštívit všechna jeho připojení, jedno po druhém, stisknutím klávesy Shift+Left arrow . Fokus se přesune do informačního panelu daného připojení. V libovolném okamžiku se fokus dá přesunout zpět na uzel opětovným stisknutím klávesy Shift+Right arrow .