Přehled analýzy provozu

Článek
11/27/2023

Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací ve vašich cloudových sítích. Analýzy provozu konkrétně analyzují protokoly toku služby Azure Network Watcher, aby poskytovaly přehled o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:

Vizualizujte síťovou aktivitu napříč předplatnými Azure.
Identifikace horkých míst
Zabezpečení sítě pomocí informací o následujících komponentách k identifikaci hrozeb:
- Otevřené porty
- Aplikace, které se pokoušejí o přístup k internetu
- Virtuální počítače, které se připojují k neautorným sítím
Optimalizujte nasazení sítě pro výkon a kapacitu tím, že rozumíte vzorům toku provozu napříč oblastmi Azure a internetem.
Připnutí chybných konfigurací sítě, které můžou vést k selhání připojení ve vaší síti.

Proč analýza provozu?

Je důležité monitorovat, spravovat a znát vlastní síť pro nekompromisní zabezpečení, dodržování předpisů a výkon. Znalost vlastního prostředí je pro ochranu a optimalizaci velmi důležitá. Často potřebujete znát aktuální stav sítě, včetně následujících informací:

Kdo se připojuje k síti?
Odkud se připojují?
Které porty jsou otevřené na internetu?
Jaké je očekávané chování sítě?
Existuje nějaké nepravidelné chování sítě?
Došlo k náhlému nárůstu provozu?

Cloudové sítě se liší od místních podnikových sítí. V místních sítích podporují směrovače a přepínače NetFlow a další ekvivalentní protokoly. Tato zařízení můžete použít ke shromažďování dat o síťovém provozu PROTOKOLU IP při jejich vstupu nebo ukončení síťového rozhraní. Analýzou dat toku provozu můžete vytvořit analýzu toku a objemu síťového provozu.

S virtuálními sítěmi Azure shromáždí protokoly toku data o síti. Tyto protokoly poskytují informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě nebo virtuální síť. Analýza provozu analyzuje nezpracované protokoly toku a kombinuje data protokolů s inteligentními informacemi o zabezpečení, topologii a geografické oblasti. Analýza provozu pak poskytuje přehled o toku provozu ve vašem prostředí.

Analýza provozu poskytuje následující informace:

Většina komunikujících hostitelů
Většina komunikačních aplikačních protokolů
Většina párů hostitelů konversující
Povolený a blokovaný provoz
Příchozí a odchozí provoz
Otevření internetových portů
Většina blokujících pravidel
Distribuce provozu na datacentrum Azure, virtuální síť, podsítě nebo podvodná síť

Klíčové komponenty

Pokud chcete použít analýzu provozu, potřebujete následující komponenty:

Network Watcher: Regionální služba, kterou můžete použít k monitorování a diagnostice podmínek na úrovni scénáře sítě v Azure. Protokoly toku NSG můžete zapnout a vypnout pomocí služby Network Watcher. Další informace najdete v tématu Co je Azure Network Watcher?
Log Analytics: Nástroj na webu Azure Portal, který používáte pro práci s daty protokolů služby Azure Monitor. Protokoly Azure Monitoru jsou služba Azure, která shromažďuje data monitorování a ukládá je v centrálním úložišti. Tato data můžou zahrnovat události, údaje o výkonu nebo vlastní data, která jsou poskytována prostřednictvím rozhraní Azure API. Po shromáždění těchto dat jsou k dispozici pro upozorňování, analýzu a export. Monitorování aplikací, jako je monitorování výkonu sítě a analýza provozu, používají protokoly Azure Monitoru jako základ. Další informace najdete v protokolech služby Azure Monitor. Log Analytics nabízí způsob, jak upravovat a spouštět dotazy na protokoly. Tento nástroj můžete také použít k analýze výsledků dotazu. Další informace najdete v tématu Přehled služby Log Analytics ve službě Azure Monitor.
Pracovní prostor Služby Log Analytics: Prostředí, ve které jsou uložená data protokolu služby Azure Monitor, která se týkají účtu Azure. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Přehled pracovního prostoru služby Log Analytics.
Kromě toho potřebujete pro protokolování toku povolenou skupinu zabezpečení sítě, pokud k analýze protokolů toku NSG používáte analýzu provozu nebo virtuální síť s povoleným protokolováním toku, pokud k analýze protokolů toku virtuální sítě používáte analýzy provozu (Preview):
- Skupina zabezpečení sítě (NSG): Prostředek, který obsahuje seznam pravidel zabezpečení, která povolují nebo zakazují síťový provoz do nebo z prostředků připojených k virtuální síti Azure. Skupiny zabezpečení sítě můžou být přidružené k podsítím, síťovým rozhraním (NIC), které jsou připojené k virtuálním počítačům (Resource Manager) nebo k jednotlivým virtuálním počítačům (classic). Další informace najdete v tématu Přehled skupiny zabezpečení sítě.
- Protokoly toku NSG: Zaznamenané informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě. Protokoly toku NSG se zapisují ve formátu JSON a zahrnují:
  - Odchozí a příchozí toky na základě pravidel.
  - Síťová karta, na kterou se tok vztahuje.
  - Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
  - Stav provozu, například povolený nebo odepřený
  Další informace o protokolech toku NSG najdete v přehledu protokolů toku NSG.
- Virtuální síť: Prostředek, který umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Další informace najdete v tématu Přehled virtuální sítě.
- Protokoly toku virtuální sítě (Preview): Zaznamenané informace o příchozím a výchozím provozu IP přes virtuální síť. Protokoly toku virtuální sítě se zapisují ve formátu JSON a zahrnují:
  - Odchozí a příchozí toky.
  - Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
  - Stav provozu, například povolený nebo odepřený
  Další informace o protokolech toku virtuální sítě najdete v přehledu protokolů toku virtuální sítě.
  
  Poznámka:
  
  Informace o rozdílech mezi protokoly toku NSG a protokoly toku virtuální sítě najdete v tématu Protokoly toku virtuální sítě ve srovnání s protokoly toků NSG.

Jak funguje analýza provozu

Analýza provozu zkoumá nezpracované protokoly toku. Potom sníží svazek protokolu agregací toků, které mají společnou zdrojovou IP adresu, cílovou IP adresu, cílový port a protokol.

Příkladem může být hostitel 1 na IP adrese 10.10.10.10 a Hostitel 2 na IP adrese 10.10.20.10. Předpokládejme, že tito dva hostitelé komunikují 100krát za jednu hodinu. V tomto případě obsahuje nezpracovaný protokol toku 100 položek. Pokud tito hostitelé pro každou z těchto 100 interakcí používají protokol HTTP na portu 80, má zkrácený protokol jednu položku. Tato položka uvádí, že Hostitel 1 a Hostitel 2 komunikovaly 100krát po dobu jedné hodiny pomocí protokolu HTTP na portu 80.

Omezené protokoly se vylepšují s informacemi o zeměpisné oblasti, zabezpečení a topologii a pak jsou uložené v pracovním prostoru služby Log Analytics. Následující diagram znázorňuje tok dat:

Diagram znázorňující tok dat síťového provozu z protokolu NSG na řídicí panel analýzy Střední kroky zahrnují agregaci a vylepšení.

Požadavky

Analýza provozu vyžaduje následující požadavky:

Předplatné s povolenou službou Network Watcher. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.
Protokoly toku NSG povolené pro skupiny zabezpečení sítě, které chcete monitorovat, nebo protokoly toku virtuální sítě povolené pro virtuální síť, kterou chcete monitorovat. Další informace najdete v tématu Vytvoření protokolu toku nebo povolení protokolů toku virtuální sítě.
Pracovní prostor Azure Log Analytics s přístupem pro čtení a zápis. Další informace najdete v tématu Vytvoření pracovního prostoru služby Log Analytics.
K vašemu účtu je potřeba přiřadit jednu z následujících předdefinovaných rolí Azure:

Model nasazení Role

Správce zdrojů Vlastník

Přispěvatel

Přispěvatel^{sítě 1} a Přispěvatel^{monitorování 2}

Pokud k vašemu účtu nejsou přiřazeny žádné z předchozích předdefinovaných rolí, přiřaďte k účtu vlastní roli . Vlastní role by měla podporovat následující akce na úrovni předplatného:
- Microsoft.Network/applicationGateways/read
- Microsoft.Network/connections/read
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/localNetworkGateways/read
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/routeTables/read
- Microsoft.Network/virtualNetworkGateways/read
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/expressRouteCircuits/read
- Microsoft.OperationalInsights/workspaces/read¹
- Microsoft.OperationalInsights/workspaces/sharedkeys/action¹
- Microsoft.Insights/dataCollectionRules/read²
- Microsoft.Insights/dataCollectionRules/write²
- Microsoft.Insights/dataCollectionRules/delete²
- Microsoft.Insights/dataCollectionEndpoints/read²
- Microsoft.Insights/dataCollectionEndpoints/write²
- Microsoft.Insights/dataCollectionEndpoints/delete²
¹ Přispěvatel sítě nepokrývá Microsoft.OperationalInsights/workspaces/* akce.

² Vyžaduje se pouze při použití analýzy provozu k analýze protokolů toku virtuální sítě (Preview). Další informace najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor a koncové body shromažďování dat ve službě Azure Monitor.

Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.

Upozornění

Pravidla shromažďování dat a prostředky koncového bodu shromažďování dat se vytvářejí a spravují pomocí analýz provozu. Pokud u těchto prostředků provedete nějakou operaci, analýza provozu nemusí fungovat podle očekávání.

Model nasazení	Role
Správce zdrojů	Vlastník
	Přispěvatel
	Přispěvatel^{sítě 1} a Přispěvatel^{monitorování 2}

Ceny

Podrobnosti o cenách najdete v tématu Ceny služby Network Watcher a ceny služby Azure Monitor.

Analýza provozu (nejčastější dotazy)

Odpovědi na nejčastější dotazy k analýze provozu najdete v tématu Nejčastější dotazy k analýze provozu.

Informace o používání analýzy provozu najdete ve scénářích využití.
Pokud chcete porozumět schématu a zpracování podrobností analýzy provozu, přečtěte si téma Schéma a agregace dat v Analýze provozu.