Domande frequenti su Analisi del traffico

Per un elenco dei prerequisiti necessari, vedere Prerequisiti per l'analisi del traffico.

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

Sì, i gruppi di sicurezza di rete possono trovarsi in aree diverse rispetto all'area dell'area di lavoro Log Analytics.

Sì.

No, l'analisi del traffico non supporta i gruppi di sicurezza di rete classici.

Nell'elenco a discesa selezione delle risorse nel dashboard di Analisi del traffico è necessario selezionare il gruppo di risorse della risorsa Rete virtuale, non il gruppo di risorse della macchina virtuale o del gruppo di sicurezza di rete.

Sì. Se si seleziona un'area di lavoro esistente, assicurarsi che sia stata eseguita la migrazione al nuovo linguaggio di query. Se non si vuole aggiornare l'area di lavoro, è necessario crearne uno nuovo. Per altre informazioni su Linguaggio di query Kusto (KQL), vedere Query di log in Monitoraggio di Azure.

Sì, l'account di archiviazione di Azure può trovarsi in una sottoscrizione e l'area di lavoro Log Analytics può trovarsi in una sottoscrizione diversa.

Sì. È possibile configurare i log dei flussi da inviare a un account di archiviazione situato in una sottoscrizione diversa, purché si disponga dei privilegi appropriati e che l'account di archiviazione si trovi nella stessa area del gruppo di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete) o della rete virtuale (log del flusso di rete virtuale). L'account di archiviazione di destinazione deve condividere lo stesso tenant di Microsoft Entra del gruppo di sicurezza di rete o della rete virtuale.

No. Tutte le risorse devono trovarsi nello stesso tenant, inclusi i gruppi di sicurezza di rete (log dei flussi del gruppo di sicurezza di rete), le reti virtuali (log dei flussi di rete virtuale), i log dei flussi, gli account di archiviazione e le aree di lavoro Log Analytics (se è abilitata l'analisi del traffico).

Sì.

No. Se si elimina l'account di archiviazione usato per i log dei flussi, i dati archiviati nell'area di lavoro Log Analytics non saranno interessati. È comunque possibile visualizzare i dati cronologici nell'area di lavoro Log Analytics (alcune metriche saranno interessate), ma l'analisi del traffico non elabora più nuovi log di flusso aggiuntivi fino a quando non si aggiornano i log del flusso per usare un account di archiviazione diverso.

Selezionare un'area supportata. Se si seleziona un'area non supportata, viene visualizzato un errore "Non trovato". Per altre informazioni, vedere Aree supportate da Analisi del traffico.

Il Microsoft.Insights provider deve essere registrato per il corretto funzionamento della registrazione dei flussi. Se non si è certi che il provider sia registrato per la Microsoft.Insights sottoscrizione, vedere portale di Azure, PowerShell o istruzioni dell'interfaccia della riga di comando di Azure su come registrarlo.

Il dashboard potrebbe richiedere fino a 30 minuti per visualizzare i report per la prima volta. La soluzione deve prima aggregare dati sufficienti per derivare informazioni dettagliate significative, quindi genera report.

Provare le opzioni seguenti:

• Modificare l'intervallo di tempo nella barra superiore.
• Selezionare una diversa area di lavoro Log Analytics nella barra superiore.
• Provare ad accedere ad Analisi del traffico dopo 30 minuti, se è stata abilitata di recente.

Se i problemi persistono, generare problemi in Domande e risposte Microsoft.

È possibile che venga visualizzato questo messaggio perché:

• Analisi del traffico è stato abilitato di recente ed è possibile che non abbia già aggregato dati sufficienti per ricavare informazioni dettagliate significative.
• Si sta usando la versione gratuita dell'area di lavoro Log Analytics e sono stati superati i limiti di quota. Potrebbe essere necessario utilizzare un'area di lavoro con una capacità maggiore.

Provare le soluzioni suggerite per la domanda precedente. Se i problemi persistono, generare problemi in Domande e risposte Microsoft.

Le informazioni sulle risorse sono visualizzate nel dashboard; Tuttavia, non sono presenti statistiche correlate al flusso. I dati potrebbero non essere presenti a causa della mancanza di flussi di comunicazione tra le risorse. Attendere 60 minuti e ricontrollare lo stato. Se il problema persiste e si è certi che i flussi di comunicazione tra le risorse esistano, generare problemi in Microsoft Q&A.

È possibile configurare l'analisi del traffico usando Windows PowerShell versione 6.2.1 e successive. Per configurare la registrazione dei flussi e l'analisi del traffico per un gruppo di sicurezza di rete specifico tramite PowerShell, vedere Abilitare i log dei flussi dei gruppi di sicurezza di rete e l'analisi del traffico.

Sì, è possibile usare un modello di Azure Resource Manager o un file Bicep per configurare l'analisi del traffico. Per altre informazioni, vedere Configurare i log dei flussi dei gruppi di sicurezza di rete usando un modello di Azure Resource Manager (ARM) e Configurare i log dei flussi dei gruppi di sicurezza di rete usando un file Bicep.

L'analisi del traffico viene misurata. La misurazione si basa sull'elaborazione dei dati del registro di flusso da parte del servizio e sulla memorizzazione dei registri avanzati risultanti in un'area di lavoro Log Analytics.

Ad esempio, in base ai prezzi di Network Watcher e ai prezzi di Monitoraggio di Azure, considerando l'area Stati Uniti centro-occidentali, se i dati dei flussi archiviati in un account di archiviazione elaborato da Analisi del traffico sono di 10 GB e i log avanzati inseriti nell'area di lavoro Log Analytics sono 1 GB, gli addebiti applicabili sono: 10 x 2,3$ + 1 x 2,76$ = 25,76$

L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ma è possibile selezionare l'elaborazione accelerata a intervalli di 10 minuti. Per altre informazioni, vedere Aggregazione dei dati nell'analisi del traffico.

L'analisi del traffico si basa su sistemi di intelligence sulle minacce interni Di Microsoft per considerare un INDIRIZZO IP dannoso. Questi sistemi sfruttano origini di telemetria diverse, ad esempio prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU), Microsoft Security Response Center (MSRC) e feed esterni e creano molte informazioni su di esso. Alcuni di questi dati sono interni di Microsoft. Se un indirizzo IP noto viene contrassegnato come dannoso, generare un ticket di supporto per conoscere i dettagli.

L'analisi del traffico non include il supporto predefinito per gli avvisi. Tuttavia, poiché i dati di analisi del traffico vengono archiviati in Log Analytics, è possibile scrivere query personalizzate e impostare avvisi su di essi. Seguire questa procedura:

• È possibile usare il collegamento di Log Analytics nell'analisi del traffico.
• Usare lo schema di analisi del traffico per scrivere le query.
• Selezionare Nuova regola di avviso per creare l'avviso.
• Vedere Creare una nuova regola di avviso per creare l'avviso.

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Per gli indirizzi IP, usare la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Per il tempo, usare il formato: aaaa-mm-gg 00:00:00

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Per gli indirizzi IP:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Usa la query seguente:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

La pagina della mappa geografica contiene due sezioni principali:

• Banner: il banner nella parte superiore della mappa geografica fornisce pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, Distribuzione, Traffico da paesi/aree geografiche e Dannoso). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla mappa. Ad esempio, se si seleziona il pulsante Attivo, la mappa evidenzia i centri dati attivi nella distribuzione remota.
• Mappa: sotto al banner, la sezione Mappa mostra la distribuzione del traffico tra i data center di Azure e i paesi/le aree.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina mappa geografica per il banner è il filtro "Data center di Azure".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab o Right arrow. Per spostarsi indietro, utilizzare il pulsante Shift+Tab o Left arrow. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere il tasto di direzione Enter o Down per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi nella sezione Mappa.
• Per alternare tra Banner e Mappa, premere Ctrl+F6.

Navigazione da tastiera sulla mappa

• Dopo aver selezionato un filtro nel banner e aver premuto Ctrl+F6, lo stato attivo passa a uno dei nodi evidenziati (data center di Azure o Paese/area geografica) nella visualizzazione mappa.
• Per spostarsi su altri nodi evidenziati nella mappa, utilizzare Tab o il tasto Right arrow per spostarsi in avanti. Utilizzare Shift+Tab o il tasto Left arrow per spostarsi all'indietro.
• Per selezionare qualsiasi nodo evidenziato nella mappa, usare il tasto Enter o Down arrow.
• Selezionando uno di questi nodi, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, lo stato attivo passerà al pulsante di chiusura nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Premendo Tab mentre è attiva la casella degli strumenti Informazioni, lo stato attivo passa agli endpoint dello stesso continente del nodo selezionato. Usare i tasti Right arrow e Left arrow per spostarsi tra questi endpoint.
• Per passare ad altri endpoint di flusso o cluster del continente, usare Tab per spostarsi in avanti e Shift+Tab per spostarsi all'indietro.
• Quando lo stato attivo si trova su Cluster del continente, usare i tasti di direzione Enter o Down per evidenziare gli endpoint all'interno del cluster del continente. Per spostarsi tra gli endpoint e il pulsante di chiusura nella casella Informazioni del cluster del continente, usare il tasto Right arrow o Left arrow rispettivamente per il movimento in avanti e all'indietro. In qualsiasi endpoint è possibile usare Shift+L per passare alla linea di connessione dal nodo selezionato all'endpoint. È possibile premere nuovamente Shift+L per spostarsi all'endpoint selezionato.

Navigazione da tastiera in qualsiasi momento

• La Esc chiave comprime la selezione espansa.
• Il tasto Up-arrow esegue la stessa azione di Esc. Il tasto Down arrow esegue la stessa azione di Enter.
• Usare Shift+Plus per fare zoom avanti e Shift+Minus per fare zoom indietro.

La pagina della topologia di rete virtuale contiene due sezioni principali:

• Banner: il banner nella parte superiore della topologia di rete virtuale fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, Reti virtuali connesse, Reti virtuali disconnesse e IP pubblici). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le reti virtuali attive nella distribuzione remota.
• Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le reti virtuali.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina della topologia di rete virtuale per il banner è il filtro "VNet connesse".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere Enter per applicare il filtro selezionato. In base alla selezione e all'implementazione del filtro, vengono evidenziati uno o più nodi (rete virtuale) nella sezione topologia.
• Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

• Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (VNet) nella visualizzazione della topologia.
• Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
• Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.

La pagina della topologia di subnet virtuale contiene due sezioni principali:

• Banner: il banner nella parte superiore della topologia delle subnet virtuali fornisce i pulsanti per selezionare i filtri di distribuzione del traffico (ad esempio, le subnet Attivo, Medio e Gateway). Quando si seleziona un pulsante, il filtro corrispondente viene applicato sulla topologia. Ad esempio, se si seleziona il pulsante Attivo, la topologia evidenzia le subnet virtuali attive nella distribuzione remota.
• Topologia: sotto al banner, la sezione topologia mostra la distribuzione del traffico tra le subnet virtuali.

Navigazione da tastiera sul banner

• Per impostazione predefinita, la selezione nella pagina della topologia di subnet virtuale per il banner è il filtro "Subnet".
• Per spostarsi su un altro filtro, utilizzare il pulsante Tab per spostarsi in avanti. Per tornare indietro, utilizzare il tasto Shift+Tab. La direzione di navigazione in avanti è da sinistra a destra, seguita dalla direzione dall'alto verso il basso.
• Premere Enter per applicare il filtro selezionato. In base alla selezione e alla distribuzione del filtro, vengono evidenziati uno o più nodi (subnet) nella sezione Topologia.
• Per passare dal banner alla topologia, premere Ctrl+F6.

Navigazione da tastiera sulla topologia

• Dopo aver selezionato un filtro nel banner e premuto Ctrl+F6, lo stato attivo si sposta su uno dei nodi evidenziati (Subnet) nella visualizzazione della topologia.
• Per spostarsi su altri nodi evidenziati nella visualizzazione della topologia, utilizzare il tasto Shift+Right arrow per spostarsi in avanti.
• Sui nodi evidenziati, lo stato attivo si sposta sulla casella degli strumenti Informazioni relativa al nodo. Per impostazione predefinita, la messa a fuoco viene spostata sul pulsante Altri dettagli nella casella degli strumenti Informazioni. Per spostarsi ulteriormente all'interno della visualizzazione della casella, usare i tasti Right arrow e Left arrow per andare in avanti o indietro. Premere Enter equivale a selezionare il pulsante con stato attivo nella casella degli strumenti Informazioni.
• Una volta selezionati tali nodi, è possibile consultarne tutte le connessioni, una per una, premendo il tasto Shift+Left arrow. L’attenzione si sposta sulla casella degli strumenti Informazioni di tale connessione. In qualsiasi momento è possibile spostare nuovamente l’attenzione sul nodo premendo nuovamente Shift+Right arrow.