DatenverkehrsanalyseTraffic analytics

Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet.Traffic analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. Mit der Datenverkehrsanalyse werden die Flussprotokolle von Network Watcher für Netzwerksicherheitsgruppen (NSGs) analysiert, um Einblicke in den Datenfluss in Ihrer Azure-Cloud zu ermöglichen.Traffic analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:With traffic analytics, you can:

  • Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von HotspotsVisualize network activity across your Azure subscriptions and identify hot spots.
  • Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und virtuellen Computern (VM), die Verbindungen mit betrügerischen Netzwerken herstellenIdentify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und KapazitätUnderstand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führenPinpoint network misconfigurations leading to failed connections in your network.

Gründe für die Nutzung der DatenverkehrsanalyseWhy traffic analytics?

Es ist wichtig, dass Sie Ihr eigenes Netzwerk kennen, überwachen und verwalten, um die Sicherheit, Compliance und Leistung zu gewährleisten.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Eine genaue Kenntnis Ihrer eigenen Umgebung ist von großer Bedeutung für deren Schutz und Optimierung.Knowing your own environment is of paramount importance to protect and optimize it. Häufig müssen Sie den aktuellen Status des Netzwerks kennen und wissen, wer womit verbunden ist, von wo die Verbindung erstellt wird, welche Ports zum Internet geöffnet sind, welches Netzwerkverhalten zu erwarten ist oder ob unregelmäßiges Netzwerkverhalten oder plötzliche Anstiege beim Datenverkehr auftreten.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

Cloudnetzwerke unterscheiden sich von lokalen Unternehmensnetzwerken, in denen Sie über Netflow oder ähnliche protokollfähige Router und Switches verfügen, die Ihnen die Möglichkeit bieten, ein- und ausgehenden IP-Netzwerkdatenverkehr zu erfassen.Cloud networks are different than on-premises enterprise networks, where you have netflow or equivalent protocol capable routers and switches, which provide the capability to collect IP network traffic as it enters or exits a network interface. Durch die Analyse der Daten zum Datenverkehr können Sie eine Analyse der Datenflüsse und Mengen des Netzwerkdatenverkehrs erstellen.By analyzing traffic flow data, you can build an analysis of network traffic flow and volume.

Virtuelle Azure-Netzwerke bieten NSG-Datenflussprotokolle mit Informationen zum ein- und ausgehenden IP-Datenverkehr über eine Netzwerksicherheitsgruppe, die einzelnen Netzwerkschnittstellen, VMs oder Subnetzen zugeordnet ist.Azure virtual networks have NSG flow logs, which provide you information about ingress and egress IP traffic through a Network Security Group associated to individual network interfaces, VMs, or subnets. Durch die Analyse von unformatierten NSG-Flussprotokollen und das Einfügen von Informationen zu Sicherheit, Topologie und Geografie kann die Datenverkehrsanalyse Ihnen Einblicke in den Verkehrsfluss in Ihrer Umgebung verschaffen.By analyzing raw NSG flow logs, and inserting intelligence of security, topology, and geography, traffic analytics can provide you with insights into traffic flow in your environment. Traffic Analytics liefert Informationen wie die folgenden: Hosts und Anwendungsprotokolle mit der meisten Kommunikation, Hostpaare mit der meisten gemeinsamen Kommunikation, erlaubter/blockierter Datenverkehr, ein-/ausgehender Datenverkehr, offene Internetports, die Regeln, die am meisten blockieren, die Datenverkehrsverteilung nach Azure-Rechenzentrum, virtuelles Netzwerk, Subnetze oder nicht autorisierte Netzwerke.Traffic Analytics provides information such as most communicating hosts, most communicating application protocols, most conversing host pairs, allowed/blocked traffic, inbound/outbound traffic, open internet ports, most blocking rules, traffic distribution per Azure datacenter, virtual network, subnets, or, rogue networks.

Wichtige KomponentenKey components

  • Netzwerksicherheitsgruppe (NSG): enthält eine Liste mit Sicherheitsregeln, mit denen Netzwerkdatenverkehr für Ressourcen, die mit virtuellen Azure-Netzwerken verbunden sind, zugelassen oder abgelehnt wird.Network security group (NSG): Contains a list of security rules that allow or deny network traffic to resources connected to an Azure Virtual Network. NSGs können Subnetzen, einzelnen VMs (klassisch) oder einzelnen Netzwerkschnittstellen (NICs), die mit VMs (Resource Manager) verbunden sind, zugeordnet werden.NSGs can be associated to subnets, individual VMs (classic), or individual network interfaces (NIC) attached to VMs (Resource Manager). Weitere Informationen finden Sie unter Übersicht über Netzwerksicherheit.For more information, see Network security group overview.
  • NSG-Flussprotokolle (Netzwerksicherheitsgruppe): Ermöglichen das Anzeigen von Informationen zu ein- und ausgehendem IP-Datenverkehr über eine Netzwerksicherheitsgruppe.Network security group (NSG) flow logs: Allow you to view information about ingress and egress IP traffic through a network security group. Die NSG-Flussprotokolle sind im JSON-Format geschrieben und zeigen aus- und eingehende Datenflüsse pro Regel, die NIC, auf die sich der Datenfluss bezieht, Fünf-Tupel-Informationen über den Datenfluss (Quell-/Ziel-IP-Adresse, Quell-/Zielport, Protokoll) und Informationen zu zugelassenem oder verweigertem Datenverkehr.NSG flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, five-tuple information about the flow (source/destination IP address, source/destination port, and protocol), and if the traffic was allowed or denied. Weitere Informationen zu NSG-Flussprotokollen finden Sie unter Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen.For more information about NSG flow logs, see NSG flow logs.
  • Log Analytics: ein Azure-Dienst, der Überwachungsdaten sammelt und in einem zentralen Repository speichert.Log Analytics: An Azure service that collects monitoring data and stores the data in a central repository. Bei diesen Daten kann es sich um Ereignisse, Leistungsdaten oder benutzerdefinierte Daten handeln, die über die Azure-API bereitgestellt wurden.This data can include events, performance data, or custom data provided through the Azure API. Die gesammelten Daten können für Warnungen und Analysen genutzt und exportiert werden.Once collected, the data is available for alerting, analysis, and export. Überwachungsanwendungen, z.B. Netzwerkleistungsmonitor und die Datenverkehrsanalyse, werden auf der Grundlage von Log Analytics erstellt.Monitoring applications such as network performance monitor and traffic analytics are built using Log Analytics as a foundation. Weitere Informationen finden Sie unter Log Analytics.For more information, see Log analytics.
  • Log Analytics-Arbeitsbereich: Eine Instanz von Log Analytics, in der Daten zu einem Azure-Konto gespeichert werden.Log analytics workspace: An instance of log analytics, where the data pertaining to an Azure account, is stored. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs.For more information about log analytics workspaces, see Create a Log Analytics workspace.
  • Network Watcher: ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können.Network Watcher: A regional service that enables you to monitor and diagnose conditions at a network scenario level in Azure. Sie können die NSG-Flussprotokolle mit Network Watcher ein- und ausschalten.You can turn NSG flow logs on and off with Network Watcher. Weitere Informationen finden Sie unter Network Watcher.For more information, see Network Watcher.

Funktionsweise der DatenverkehrsanalyseHow traffic analytics works

Bei der Datenverkehrsanalyse werden die unformatierten NSG-Flussprotokolle untersucht und reduzierte Protokolle durch das Zusammenfassen allgemeiner Datenflüsse zwischen denselben Quell-IP-Adressen, Ziel-IP-Adressen, Zielports und Protokollen erfasst.Traffic analytics examines the raw NSG flow logs and captures reduced logs by aggregating common flows among the same source IP address, destination IP address, destination port, and protocol. Beispiel: Host 1 (IP-Adresse: 10.10.10.10) kommuniziert mit Host 2 (IP-Adresse: 10.10.20.10) über einen Zeitraum von einer Stunde 100-mal über einen Port (z.B. 80) und ein Protokoll (z.B. HTTP).For example, Host 1 (IP address: 10.10.10.10) communicating to Host 2 (IP address: 10.10.20.10), 100 times over a period of 1 hour using port (for example, 80) and protocol (for example, http). Das reduzierte Protokoll enthält anstelle von 100 Einträgen nur einen Eintrag – nämlich dass Host 1 und Host 2 über einen Zeitraum von einer Stunde 100-mal über Port 80 und das Protokoll HTTP kommuniziert haben.The reduced log has one entry, that Host 1 & Host 2 communicated 100 times over a period of 1 hour using port 80 and protocol HTTP, instead of having 100 entries. Die reduzierten Protokolle werden durch Informationen zu Geografie, Sicherheit und Topologie erweitert und anschließend in einem Log Analytics-Arbeitsbereich gespeichert.Reduced logs are enhanced with geography, security, and topology information, and then stored in a log analytics workspace. Das folgende Bild zeigt den Datenfluss:The following picture shows the data flow:

Verarbeitung des Datenflusses für NSG-Flussprotokolle

Unterstützte RegionenSupported regions

Sie können Traffic Analytics für Netzwerksicherheitsgruppen in einer der folgenden Regionen verwenden: „USA, Westen-Mitte“, „USA, Osten“, „USA, Osten 2“, „USA, Norden-Mitte“, „USA, Süden-Mitte“, „USA, Mitte“, „USA, Westen“, „USA, Westen 2“, „Kanada, Mitte“, „Europa, Westen“, „Europa, Norden“, „Vereinigtes Königreich, Westen“, „Vereinigtes Königreich, Süden“, „Japan, Osten“, „Indien, Mitte“, „Australien, Osten“, „Australien, Südosten“ und „Asien, Südosten“.You can use traffic analytics for NSGs in any of the following regions: West Central US, East US, East US 2, North Central US, South Central US, Central US, West US, West US-2, Canada Central, West Europe, North Europe, UK West, UK South, Japan East, India Central, Australia East, Australia Southeast, and Southeast Asia.

Der Log Analytics-Arbeitsbereich muss in einer der folgenden Regionen vorhanden sein: „USA, Westen-Mitte“, „USA, Osten“, „Europa, Westen“, „Vereinigtes Königreich, Süden“, „Kanada, Mitte“, „Japan, Osten“, „Indien, Mitte“, „Australien, Südosten“ oder „Asien, Südosten“.The log analytics workspace must exist in the West Central US, East US, West Europe, South UK, Central Canada, Japan East, India Central Australia Southeast, or the Southeast Asia region.

VoraussetzungenPrerequisites

BenutzerzugriffsanforderungenUser access requirements

Ihr Konto muss Mitglied in einer der folgenden integrierten Azure-Rollen sein:Your account must be a member of one of the following Azure built-in roles:

BereitstellungsmodellDeployment model RolleRole
Ressourcen-ManagerResource Manager Owner (Besitzer)Owner
MitwirkenderContributor
LeserReader
Mitwirkender von virtuellem NetzwerkNetwork Contributor
KlassischClassic KontoadministratorAccount administrator
DienstadministratorService administrator
Co-AdminCo-administrator

Wenn Ihr Konto nicht einer der integrierten Rollen zugewiesen ist, müssen Sie es einer benutzerdefinierten Rolle zuweisen, die einer der folgenden Aktionen auf Abonnementebene zugewiesen ist:If your account is not assigned to one of the built-in roles, it must be assigned to a custom role that is assigned the following actions, at the subscription level:

  • „Microsoft.Network/applicationGateways/read“"Microsoft.Network/applicationGateways/read"
  • „Microsoft.Network/connections/read“"Microsoft.Network/connections/read"
  • „Microsoft.Network/loadBalancers/read“"Microsoft.Network/loadBalancers/read"
  • „Microsoft.Network/localNetworkGateways/read“"Microsoft.Network/localNetworkGateways/read"
  • „Microsoft.Network/networkInterfaces/read“"Microsoft.Network/networkInterfaces/read"
  • „Microsoft.Network/networkSecurityGroups/read“"Microsoft.Network/networkSecurityGroups/read"
  • „Microsoft.Network/publicIPAddresses/read“"Microsoft.Network/publicIPAddresses/read"
  • „Microsoft.Network/routeTables/read“"Microsoft.Network/routeTables/read"
  • „Microsoft.Network/virtualNetworkGateways/read“"Microsoft.Network/virtualNetworkGateways/read"
  • „Microsoft.Network/virtualNetworks/read“"Microsoft.Network/virtualNetworks/read"

Informationen zum Überprüfen von Benutzerzugriffsberechtigungen finden Sie unter Häufig gestellte Fragen zu Datenverkehrsanalysen.For information on how to check user access permissions, see Traffic analytics FAQ.

Aktivieren von Network WatcherEnable Network Watcher

Um Datenverkehr analysieren zu können, benötigen Sie eine Instanz von Network Watcher, oder Sie aktivieren eine Network Watcher-Instanz in jeder Region mit Netzwerksicherheitsgruppen, deren Datenverkehr Sie analysieren möchten.To analyze traffic, you need to have an existing network watcher, or enable a network watcher in each region that you have NSGs that you want to analyze traffic for. Die Datenverkehrsanalyse kann für Netzwerksicherheitsgruppen aktiviert werden, die in einer der unterstützten Regionen gehostet werden.Traffic analytics can be enabled for NSGs hosted in any of the supported regions.

Erneutes Registrieren des NetzwerkressourcenanbietersRe-register the network resource provider

Bevor Sie die Datenverkehrsanalyse verwenden können, müssen Sie Ihren Netzwerkressourcenanbieter erneut registrieren.Before you can use traffic analytics, you must re-register your network resource provider. Klicken Sie im folgenden Codefeld auf Ausprobieren, um die Azure Cloud Shell zu öffnen.Click Try It in the following code box to open the Azure Cloud Shell. Die Cloud Shell meldet Sie automatisch bei Ihrem Azure-Abonnement an.The Cloud Shell automatically logs you into to your Azure subscription. Nachdem die Cloud Shell geöffnet ist, geben Sie den folgenden Befehl ein, um den Netzwerkressourcenanbieter erneut zu registrieren:Once the Cloud Shell is open, enter the following command to re-register the network resource provider:

Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.Network"

Auswählen einer NetzwerksicherheitsgruppeSelect a network security group

Vor der Aktivierung der NSG-Flussprotokollierung benötigen Sie eine Netzwerksicherheitsgruppe, deren Datenflüsse Sie protokollieren möchten.Before enabling NSG flow logging, you must have a network security group to log flows for. Falls Sie noch nicht über eine Netzwerksicherheitsgruppe verfügen, erstellen Sie eine anhand der Informationen in Erstellen von Netzwerksicherheitsgruppen.If you don't have a network security group, see Create a network security group to create one.

Wählen Sie auf der linken Seite des Azure-Portals Monitor, anschließend Network Watcher und dann NSG-Flussprotokolle aus.On the left side of the Azure portal, select Monitor, then Network watcher, and then select NSG flow logs. Wählen Sie die Netzwerksicherheitsgruppe aus, für die Sie ein NSG-Flussprotokoll aktivieren möchten, wie in der folgenden Abbildung gezeigt:Select the network security group that you want to enable an NSG flow log for, as shown in the following picture:

Auswählen von Netzwerksicherheitsgruppen für die Aktivierung der NSG-Flussprotokolle

Wenn Sie versuchen, die Datenverkehrsanalyse für eine NSG zu aktivieren, die in einer nicht unterstützten Region gehostet wird, erhalten Sie die Fehlermeldung „Nicht gefunden“.If you try to enable traffic analytics for an NSG that is hosted in any region other than the supported regions, you receive a "Not found" error.

Aktivieren der FlussprotokolleinstellungenEnable flow log settings

Vor der Aktivierung der Flussprotokolleinstellungen müssen Sie die folgenden Aufgaben ausführen:Before enabling flow log settings, you must complete the following tasks:

Registrieren Sie den Azure Insights-Anbieter, falls dieser nicht bereits für Ihr Abonnement registriert wurde:Register the Azure Insights provider, if it's not already registered for your subscription:

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Insights

Wenn Sie noch kein Azure Storage-Konto zum Speichern der NSG-Flussprotokolle besitzen, müssen Sie ein Speicherkonto erstellen.If you don't already have an Azure Storage account to store NSG flow logs in, you must create a storage account. Sie können mit dem folgenden Befehl ein Speicherkonto erstellen.You can create a storage account with the command that follows. Ersetzen Sie vor dem Ausführen des Befehls <replace-with-your-unique-storage-account-name> durch einen Namen, der an allen Azure-Standorten eindeutig und zwischen 3 und 24 Zeichen lang ist und nur Ziffern und Kleinbuchstaben enthält.Before running the command, replace <replace-with-your-unique-storage-account-name> with a name that is unique across all Azure locations, between 3-24 characters in length, using only numbers and lower-case letters. Sie können bei Bedarf auch den Namen der Ressourcengruppe ändern.You can also change the resource group name, if necessary.

New-AzureRmStorageAccount `
  -Location westcentralus `
  -Name <replace-with-your-unique-storage-account-name> `
  -ResourceGroupName myResourceGroup `
  -SkuName Standard_LRS `
  -Kind StorageV2

Wählen Sie die folgenden Optionen aus, wie in der Abbildung dargestellt:Select the following options, as shown in the picture:

  1. Wählen Sie Ein als Status aus.Select On for Status
  2. Wählen Sie ein vorhandenes Speicherkonto zum Speichern der Flussprotokolle aus.Select an existing storage account to store the flow logs in. Wenn Sie die Daten dauerhaft speichern möchten, legen Sie den Wert auf 0 fest.If you want to store the data forever, set the value to 0. Ihnen werden die Azure Storage-Gebühren für das Speicherkonto berechnet.You incur Azure Storage fees for the storage account.
  3. Legen Sie Vermerkdauer auf die Anzahl der Tage fest, die die Daten gespeichert werden sollen.Set Retention to the number of days you want to store data for.
  4. Wählen Sie Ein als Traffic Analytics-Status aus.Select On for Traffic Analytics Status.
  5. Wählen Sie einen vorhandenen Log Analytics-Arbeitsbereich aus, oder wählen Sie Neuen Arbeitsbereich erstellen, und erstellen Sie dann einen neuen Arbeitsbereich.Select an existing Log Analytics Workspace, or select Create New Workspace to create a new one. Traffic Analytics verwendet einen Log Analytics-Arbeitsbereich, um die aggregierten und indizierten Daten zu speichern, die dann zum Generieren der Analyse verwendet werden.A Log Analytics workspace is used by Traffic Analytics to store the aggregated and indexed data that is then used to generate the analytics. Wenn Sie einen vorhandenen Arbeitsbereich auswählen, muss sich dieser in einer unterstützten Region befinden und auf die neue Abfragesprache aktualisiert worden sein.If you select an existing workspace, it must exist in one of the supported regions and have been upgraded to the new query language. Wenn Sie einen vorhandenen Arbeitsbereich nicht aktualisieren möchten oder über keinen Arbeitsbereich in einer unterstützten Region verfügen, erstellen Sie einen neuen.If you do not wish to upgrade an existing workspace, or do not have a workspace in a supported region, create a new one. Weitere Informationen über Abfragesprachen finden Sie unter Upgrade von Azure Log Analytics auf die neue Protokollsuche.For more information about query languages, see Azure Log Analytics upgrade to new log search.

    Der Log Analytics-Arbeitsbereich, der die Lösung für die Datenverkehrsanalyse hostet, und die Netzwerksicherheitsgruppen (NSGs) müssen sich nicht in derselben Region befinden.The log analytics workspace hosting the traffic analytics solution and the NSGs do not have to be in the same region. Sie können die Datenverkehrsanalyse beispielsweise in einem Arbeitsbereich in der Region „Europa, Westen“ mit Netzwerksicherheitsgruppen in den Regionen „USA, Osten“ und „USA, Westen“ verwenden.For example, you may have traffic analytics in a workspace in the West Europe region, while you may have NSGs in East US and West US. Es können mehrere NSGs im selben Arbeitsbereich konfiguriert werden.Multiple NSGs can be configured in the same workspace.

  6. Wählen Sie Speichernaus.Select Save.

    Auswählen von Speicherkonto, Log Analytics-Arbeitsbereich und Traffic Analytics-Aktivierung

Wiederholen Sie die oben angegebenen Schritte für alle weiteren NSGs, für die Sie die Datenverkehrsanalyse aktivieren möchten.Repeat the previous steps for any other NSGs for which you wish to enable traffic analytics for. Die Daten aus den Flussprotokollen werden an den Arbeitsbereich gesendet, daher müssen Sie sicherstellen, dass die vor Ort geltenden Gesetze und Vorschriften in Ihrem Land eine Datenspeicherung in der Region, in der sich der Arbeitsbereich befindet, erlauben.Data from flow logs is sent to the workspace, so ensure that the local laws and regulations in your country permit data storage in the region where the workspace exists.

Sie können Datenverkehrsanalysen auch mit dem Cmdlet Set-AzureRmNetworkWatcherConfigFlowLog PowerShell in AzureRm PowerShell-Modulversion 6.2.1 oder höher konfigurieren.You can also configure traffic analytics using the Set-AzureRmNetworkWatcherConfigFlowLog PowerShell cmdlet in AzureRm PowerShell module version 6.2.1 or later. Führen Sie Get-Module -ListAvailable AzureRM aus, um die installierte Version zu ermitteln.Run Get-Module -ListAvailable AzureRM to find your installed version. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu.If you need to upgrade, see Install Azure PowerShell module.

Anzeigen der DatenverkehrsanalyseView traffic analytics

Wählen Sie auf der linken Seite im Portal Alle Dienste aus, und geben Sie dann Monitor in das Feld Filter ein.On the left-side of the portal, select All services, then enter Monitor in the Filter box. Wenn Monitor in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.When Monitor appears in the search results, select it. Wählen Sie zum Erkunden der Datenverkehrsanalyse und der zugehörigen Funktionen Network Watcher und dann Traffic Analytics aus.To start exploring traffic analytics and its capabilities, select Network watcher, then Traffic Analytics.

Zugreifen auf das Traffic Analytics-Dashboard

Das erstmalige Anzeigen des Dashboards kann bis zu 30 Minuten dauern, da Traffic Analytics zunächst ausreichend Daten für aussagekräftige Einblicke aggregieren muss, bevor Berichte generiert werden können.The dashboard may take up to 30 minutes to appear the first time because Traffic Analytics must first aggregate enough data for it to derive meaningful insights, before it can generate any reports.

VerwendungsszenarienUsage scenarios

Einige der Erkenntnisse, die Sie nach der vollständigen Konfiguration von Traffic Analytics erhalten können, sind:Some of the insights you might want to gain after Traffic Analytics is fully configured, are as follows:

Suchen von Datenverkehrs-HotspotsFind traffic hotspots

Suchen nachLook for

  • Welche Hosts, Subnetze und virtuellen Netzwerke senden oder empfangen den meisten Datenverkehr, lassen den meisten bösartigen Datenverkehr durch und blockieren wichtige Datenströme?Which hosts, subnets, and virtual networks are sending or receiving the most traffic, traversing maximum malicious traffic and blocking significant flows?
    • Sehen Sie sich vergleichende Diagramme für Host, Subnetz und virtuelles Netzwerk an.Check comparative chart for host, subnet, and virtual network. Wenn Sie wissen, welche Host, Subnetze und virtuelle Netzwerke den meisten Datenverkehr senden oder empfangen, können Sie die Hosts identifizieren, die den meisten Datenverkehr verarbeiten. Zudem können Sie feststellen, ob die Verteilung des Datenverkehrs ordnungsgemäß funktioniert.Understanding which hosts, subnets, and virtual networks are sending or receiving the most traffic can help you identify the hosts that are processing the most traffic, and whether the traffic distribution is done properly.
    • Sie können dann prüfen, ob die Menge an Datenverkehr für einen Host angemessen ist.You can evaluate if the volume of traffic is appropriate for a host. Stellt der Netzwerkverkehr ein normales Verhalten dar, oder bedürfen die Werte einer weiteren Untersuchung?Is the volume of traffic normal behavior, or does it merit further investigation?
  • Wie viel ein-/ausgehenden Datenverkehr gibt es?How much inbound/outbound traffic is there?
    • Kann bei dem Host davon ausgegangen werden, dass er mehr eingehenden als ausgehenden Datenverkehr (oder umgekehrt) empfängt?Is the host expected to receive more inbound traffic than outbound, or vice-versa?
  • Statistiken des blockierten DatenverkehrsStatistics of blocked traffic.
    • Warum wird auf einem Host eine große Menge an gutartigem Datenverkehr blockiert?Why is a host blocking a significant volume of benign traffic? Dieses Verhalten erfordert weitere Untersuchungen und wahrscheinlich eine Optimierung der Konfiguration.This behavior requires further investigation and probably optimization of configuration
  • Statistik des bösartigen zugelassenen/blockierten DatenverkehrsStatistics of malicious allowed/blocked traffic

    • Warum empfängt ein Host bösartigen Datenverkehr, und warum ist der Datenfluss aus bösartigen Quellen zugelassen?Why is a host receiving malicious traffic and why flows from malicious source is allowed? Dieses Verhalten erfordert weitere Untersuchungen und wahrscheinlich eine Optimierung der Konfiguration.This behavior requires further investigation and probably optimization of configuration.

      Wählen Sie unter Host die Option Alle anzeigen, wie in der folgenden Abbildung gezeigt:Select See all, under Host, as shown in the following picture:

      Dashboard mit Details zum Host mit dem meisten Datenverkehr

  • Das folgende Bild zeigt Zeittrends für die fünf Hosts mit der meisten Kommunikation und die zugehörigen Details zum Datenfluss (zugelassene und blockierte Datenflüsse – jeweils ein- und ausgehend) für einen Host:The following picture shows time trending for the top five talking hosts and the flow-related details (allowed – inbound/outbound and denied - inbound/outbound flows) for a host:

    Trend der fünf Hosts mit der meisten Kommunikation

Suchen nachLook for

  • Welche Hostpaare kommunizieren am meisten miteinander?Which are the most conversing host pairs?
    • Erwartbares Verhalten wie die Front-End- oder Back-End-Kommunikation oder abweichendes Verhalten wie Datenverkehr vom Back-End zum Internet.Expected behavior like front-end or back-end communication or irregular behavior, like back-end internet traffic.
  • Statistiken des zugelassenen/blockierten DatenverkehrsStatistics of allowed/blocked traffic
    • Warum wird auf einem Host besonders viel Datenverkehr zugelassen oder blockiert?Why a host is allowing or blocking significant traffic volume
  • Am häufigsten verwendetes Anwendungsprotokoll zwischen den Hostpaaren mit der meisten Konversation:Most frequently used application protocol among most conversing host pairs:

    • Sind diese Anwendungen im Netzwerk zugelassen?Are these applications allowed on this network?
    • Sind die Anwendungen ordnungsgemäß konfiguriert?Are the applications configured properly? Verwenden sie das richtige Protokoll für die Kommunikation?Are they using the appropriate protocol for communication? Wählen Sie unter Häufige Konversation die Option Alle anzeigen aus, wie in der folgenden Abbildung gezeigt:Select See all under Frequent conversation, as show in the following picture:

      Dashboard mit den häufigsten Kommunikationen

  • Das folgende Bild zeigt Zeittrends für die fünf häufigsten Kommunikationen und die zugehörigen Details zum Datenfluss – z.B. zugelassene und blockierte Datenflüsse (jeweils ein- und ausgehend) für zwei Kommunikationspartner:The following picture shows time trending for the top five conversations and the flow-related details such as allowed and denied inbound and outbound flows for a conversation pair:

    Details und Trends für die fünf häufigsten Kommunikationen

Suchen nachLook for

  • Welches Anwendungsprotokoll wird in Ihrer Umgebung am häufigsten verwendet, und welche Hosts verwenden das Anwendungsprotokoll als Kommunikationspartner am meisten?Which application protocol is most used in your environment, and which conversing host pairs are using the application protocol the most?

    • Sind diese Anwendungen im Netzwerk zugelassen?Are these applications allowed on this network?
    • Sind die Anwendungen ordnungsgemäß konfiguriert?Are the applications configured properly? Verwenden sie das richtige Protokoll für die Kommunikation?Are they using the appropriate protocol for communication? Als erwartetes Verhalten können allgemeine Ports wie z.B. 80 oder 443 angenommen werden.Expected behavior is common ports such as 80 and 443. Für die Standardkommunikation ist – sofern ungewöhnliche Ports angezeigt werden – eventuell eine Konfigurationsänderung erforderlich.For standard communication, if any unusual ports are displayed, they might require a configuration change. Wählen Sie unter Anwendungsport die Option Alle anzeigen, wie in der folgenden Abbildung gezeigt:Select See all under Application port, in the following picture:

      Dashboard mit den häufigsten Anwendungsprotokollen

  • Die folgenden Bilder zeigen Zeittrends für die fünf am häufigsten verwendeten L7-Protokolle und Details zum Datenfluss (z.B. erlaubte und verweigerte Datenflüsse) für ein L7-Protokoll:The following pictures show time trending for the top five L7 protocols and the flow-related details (for example, allowed and denied flows) for an L7 protocol:

    Details und Trends für die fünf am häufigsten verwendeten L7-Protokolle

    Details zum Datenfluss zu einem Anwendungsprotokoll in der Protokollsuche

Suchen nachLook for

  • Trends zur Kapazitätsauslastung eines VPN-Gateways in Ihrer Umgebung.Capacity utilization trends of a VPN gateway in your environment.
    • Jede VPN-SKU erlaubt eine gewisse Bandbreite.Each VPN SKU allows a certain amount of bandwidth. Werden die VPN-Gateways zu wenig ausgelastet?Are the VPN gateways underutilized?
    • Erreichen Ihre Gateways ihre Kapazität?Are your gateways reaching capacity? Sollten Sie ein Upgrade auf die nächsthöhere SKU ausführen?Should you upgrade to the next higher SKU?
  • Welche Hosts kommunizieren am häufigsten über welches VPN-Gateway und welchen Port?Which are the most conversing hosts, via which VPN gateway, over which port?

    • Ist dieses Muster normal?Is this pattern normal? Wählen Sie unter VPN-Gateway die Option Alle anzeigen, wie in der folgenden Abbildung gezeigt:Select See all under VPN gateway, as shown in the following picture:

      Dashboard mit den aktivsten VPN-Verbindungen

  • Das folgende Bild zeigt Zeittrends zur Kapazitätsauslastung eines Azure-VPN-Gateways und Details zum Datenfluss (z.B. erlaubte Datenflüsse und Ports):The following picture shows time trending for capacity utilization of an Azure VPN Gateway and the flow-related details (such as allowed flows and ports):

    Auslastungstrend eines VPN-Gateways und Details zum Datenfluss

Visualisieren der Verteilung des Datenverkehrs nach GeografieVisualize traffic distribution by geography

Suchen nachLook for

  • Verteilung des Datenverkehrs pro Rechenzentrum, z.B. Hauptquellen des Datenverkehrs in einem Rechenzentrum, häufigste betrügerische Netzwerke, die mit dem Rechenzentrum kommunizieren und Anwendungsprotokolle mit der meisten Kommunikation.Traffic distribution per data center such as top sources of traffic to a datacenter, top rogue networks conversing with the data center, and top conversing application protocols.

    • Wenn Sie in einem Rechenzentrum mehr Last beobachten, können Sie eine effizientere Verteilung des Datenverkehrs planen.If you observe more load on a data center, you can plan for efficient traffic distribution.
    • Wenn betrügerische Netzwerke im Rechenzentrum kommunizieren, korrigieren Sie die NSG-Regeln, um diese Netzwerke zu blockieren.If rogue networks are conversing in the data center, then correct NSG rules to block them.

      Wählen Sie unter Ihre Umgebung die Option Karte anzeigen, wie in der folgenden Abbildung gezeigt:Select View map under Your environment, as shown in the following picture:

      Dashboard mit Verteilung des Datenverkehrs

  • Sie können in der Geomap auf dem oberen Menüband Parameter, z.B. Rechenzentren (bereitgestellt/nicht bereitgestellt/aktiv/inaktiv/Traffic Analytics aktiviert/Traffic Analytics nicht aktiviert), und Länder, die gutartigen/bösartigen Datenverkehr mit der aktiven Bereitstellung haben, auswählen:The geo-map shows the top ribbon for selection of parameters such as data centers (Deployed/No-deployment/Active/Inactive/Traffic Analytics Enabled/Traffic Analytics Not Enabled) and countries contributing Benign/Malicious traffic to the active deployment:

    Geomap mit aktiver Bereitstellung

  • Die Geomap zeigt die Verteilung des Datenverkehrs in einem Rechenzentrum aus Ländern und Kontinenten mit blauen (gutartiger Datenverkehr) und roten (bösartiger Datenverkehr) Linien:The geo-map shows the traffic distribution to a data center from countries and continents communicating to it in blue (Benign traffic) and red (malicious traffic) colored lines:

    Geomap mit Verteilung des Datenverkehrs auf Länder und Kontinente

    Details zum Datenfluss für die Verteilung des Datenverkehrs in der Protokollsuche

Visualisieren der Verteilung des Datenverkehrs nach virtuellen NetzwerkenVisualize traffic distribution by virtual networks

Suchen nachLook for

  • Verteilung des Datenverkehrs nach virtuellem Netzwerk, Topologie, Hauptquellen des Datenverkehrs in das virtuelle Netzwerk, häufigste bösartige Netzwerke mit Kommunikation im virtuellen Netzwerk und Anwendungsprotokolle mit der meisten Kommunikation.Traffic distribution per virtual network, topology, top sources of traffic to the virtual network, top rogue networks conversing to the virtual network, and top conversing application protocols.

    • Verstehen, welches virtuelle Netzwerk mit welchem virtuellen Netzwerk kommuniziert.Knowing which virtual network is conversing to which virtual network. Wenn die Kommunikation nicht der Erwartung entspricht, kann sie korrigiert werden.If the conversation is not expected, it can be corrected.
    • Wenn bösartige Netzwerke mit einem virtuellen Netzwerk kommunizieren, können Sie die NSG-Regeln anpassen, um diese Netzwerke zu blockieren.If rogue networks are conversing with a virtual network, you can correct NSG rules to block the rogue networks.

      Wählen Sie unter Ihre Umgebung die Option VNETs anzeigen, wie in der folgenden Abbildung gezeigt:Select View VNets under Your environment, as shown in the following picture:

      Dashboard mit VNET-Verteilung

  • Sie können in der Topologie des virtuellen Netzwerks auf dem oberen Menüband Parameter auswählen, z.B. für ein virtuelles Netzwerk (Verbindungen zwischen virtuellen Netzwerken/aktiv/inaktiv), externe Verbindungen, aktive Datenflüsse und bösartige Datenflüsse im virtuellen Netzwerk.The Virtual Network Topology shows the top ribbon for selection of parameters like a virtual network’s (Inter virtual network Connections/Active/Inactive), External Connections, Active Flows, and Malicious flows of the virtual network.

  • In der Topologie des virtuellen Netzwerks wird die Verteilung des Datenverkehrs in einem virtuellen Netzwerk im Hinblick auf die Datenflüsse (erlaubt/blockiert/eingehend/ausgehend/gutartig/bösartig), das Anwendungsprotokoll und die Netzwerksicherheitsgruppen dargestellt. Beispiel:The Virtual Network Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and network security groups, for example:

    Topologie eines virtuellen Netzwerks mit der Verteilung des Datenverkehr und Details zum Datenfluss

    Details zum Datenfluss für die Verteilung des Datenverkehrs in einem virtuellen Netzwerk in der Protokollsuche

Suchen nachLook for

  • Verteilung des Datenverkehrs nach Subnetz, Topologie, Hauptquellen des in das Subnetz eingehenden Datenverkehrs, häufigsten bösartigen Netzwerken mit Kommunikation mit dem Subnetz und Anwendungsprotokollen mit der meisten Kommunikation.Traffic distribution per subnet, topology, top sources of traffic to the subnet, top rogue networks conversing to the subnet, and top conversing application protocols.
    • Verstehen, welches Subnetz mit welchem Subnetz kommuniziert.Knowing which subnet is conversing to which subnet. Wenn unerwartete Kommunikationen angezeigt werden, können Sie Ihre Konfiguration korrigieren.If you see unexpected conversations, you can correct your configuration.
    • Wenn bösartige Netzwerke mit einem Subnetz kommunizieren, können Sie dies beheben, indem Sie die NSG-Regeln zum Blockieren von bösartigen Netzwerken anpassen.If rogue networks are conversing with a subnet, you are able to correct it by configuring NSG rules to block the rogue networks.
  • Sie können in der Subnetztopologie auf dem oberen Menüband Parameter auswählen, z.B. aktive/inaktive Subnetze, externe Verbindungen, aktive Datenflüsse und bösartige Datenflüsse im Subnetz.The Subnets Topology shows the top ribbon for selection of parameters such as Active/Inactive subnet, External Connections, Active Flows, and Malicious flows of the subnet.
  • In der Topologie des Subnetzes wird die Verteilung des Datenverkehrs in einem Subnetz im Hinblick auf die Datenflüsse (erlaubt/blockiert/eingehend/ausgehend/gutartig/bösartig), das Anwendungsprotokoll und die Netzwerksicherheitsgruppen dargestellt. Beispiel:The Subnet Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and NSGs, for example:

    Subnetztopologie mit Verteilung des Datenverkehrs in einem Subnetz eines virtuellen Netzwerks im Hinblick auf die Datenflüsse

Suchen nachLook for

Verteilung des Datenverkehrs nach Anwendungsgateway, Lastenausgleichsmodul, Topologie, Hauptquellen des Datenverkehrs, häufigsten bösartigen Netzwerken mit Kommunikation zum Anwendungsgateway und Lastenausgleichsmodul sowie Anwendungsprotokollen mit der meisten Kommunikation.Traffic distribution per Application gateway & Load Balancer, topology, top sources of traffic, top rogue networks conversing to the Application gateway & Load Balancer, and top conversing application protocols.

  • Wissen, welches Subnetz mit welchem Anwendungsgateway bzw. Lastenausgleichsmodul kommuniziert.Knowing which subnet is conversing to which Application gateway or Load Balancer. Wenn unerwartete Kommunikationen beobachtet werden, können Sie Ihre Konfiguration korrigieren.If you observe unexpected conversations, you can correct your configuration.
  • Wenn bösartige Netzwerke mit einem Anwendungsgateway oder Lastenausgleichsmodul kommunizieren, können Sie dies beheben, indem Sie die NSG-Regeln zum Blockieren von bösartigen Netzwerken anpassen.If rogue networks are conversing with an Application gateway or Load Balancer, you are able to correct it by configuring NSG rules to block the rogue networks.

    subnet-topology-showcasing-traffic-distribution-to-a-application-gateway-subnet-with-regards-to-flows

Anzeigen der Ports und virtuellen Computer, die Datenverkehr aus dem Internet empfangenView ports and virtual machines receiving traffic from the internet

Suchen nachLook for

  • Welche offenen Ports kommunizieren über das Internet?Which open ports are conversing over the internet?

    • Wenn Sie unerwartete offene Ports finden, können Sie Ihre Konfiguration korrigieren:If unexpected ports are found open, you can correct your configuration:

      Dashboard mit Ports, die Datenverkehr aus dem Internet empfangen und dorthin senden

      Details zu Azure-Zielports und -hosts

Suchen nachLook for

Tritt in Ihrer Umgebung bösartiger Datenverkehr auf?Do you have malicious traffic in your environment? Wo stammt dieser her?Where is it originating from? Wohin ist er gerichtet?Where is it destined to?

Details zum Datenfluss bei bösartigem Datenverkehr in der Protokollsuche

Suchen nachLook for

  • Welche NSG/NSG-Regeln weisen in einem Vergleichsdiagramm mit Datenflussverteilung die meisten Treffer auf?Which NSG/NSG rules have the most hits in comparative chart with flows distribution?
  • Welche Kommunikationspartner sind pro NSG/NSG-Regeln am häufigsten Quelle und Ziel?What are the top source and destination conversation pairs per NSG/NSG rules?

    Dashboard mit Statistiken zu NSG-Treffern

  • Die folgenden Bilder zeigen Zeittrends für Treffer von NSG-Regeln und Details zum Datenfluss zwischen Quelle und Ziel für eine Netzwerksicherheitsgruppe:The following pictures show time trending for hits of NSG rules and source-destination flow details for a network security group:

    • Schnelle Erkennung, welche NSG und NSG-Regeln bösartige Datenflüsse durchlaufen und welche die wichtigsten bösartigen IP-Adressen sind, die auf Ihre Cloudumgebung zugreifen.Quickly detect which NSGs and NSG rules are traversing malicious flows and which are the top malicious IP addresses accessing your cloud environment
    • Identifizieren, welche NSG/NSG-Regeln wichtigen Datenverkehr im Netzwerk zulassen bzw. blockieren.Identify which NSG/NSG rules are allowing/blocking significant network traffic
    • Auswählen der Hauptfilter für allgemeine Prüfung einer NSG oder von NSG-RegelnSelect top filters for granular inspection of an NSG or NSG rules

      Zeittrends für Treffer von NSG-Regeln und häufigste NSG-Regeln

      Statistische Details zu den häufigsten NSG-Regeln in der Protokollsuche

Häufig gestellte FragenFrequently asked questions

Antworten auf häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu Traffic Analytics.To get answers to frequently asked questions, see Traffic analytics FAQ.