Este artigo traz respostas às perguntas mais frequentes sobre análise de tráfego no Observador de Rede do Azure.
Quais pré-requisitos são necessários para usar a análise de tráfego?
Consulte Pré-requisitos de análise de tráfego para obter uma lista dos pré-requisitos necessários.
Como posso verificar se tenho as funções necessárias?
Para saber como verificar as funções atribuídas a um usuários para uma assinatura, consulte Listar as atribuições de função do Azure usando o portal do Azure. Se você não conseguir ver as atribuições de função, entre em contato com o respectivo administrador de assinatura.
Posso habilitar logs de fluxo para grupos de segurança de rede que estão em regiões diferentes da minha região do espaço de trabalho?
Sim, os grupos de segurança de rede podem estar em regiões diferentes da região do seu workspace do Log Analytics.
Vários grupos de segurança de rede podem ser configurados dentro de um único espaço de trabalho?
Sim.
Os grupos Clássicos de segurança de rede são suportados?
Não, a análise de tráfego não suporta grupos clássicos de segurança de rede.
Por que a análise de tráfego não exibe os dados dos meus grupos de segurança de rede habilitados para análise de tráfego?
No menu suspenso de seleção de recursos no painel de análise de tráfego, o grupo de recursos do recurso Rede Virtual deve ser selecionado, não o grupo de recursos da máquina virtual ou grupo de segurança de rede.
Posso usar um workspace existente?
Sim. Se você selecionar um workspace existente, verifique se ele foi migrado para o novo idioma de consulta. Se não quiser atualizar o espaço de trabalho, você precisará criar um novo. Para obter mais informações sobre a Linguagem de Consulta Kusto (KQL), consulte Registrar consultas no Azure Monitor.
Minha conta de armazenamento do Azure pode estar em uma assinatura e meu workspace do Log Analytics pode estar em uma assinatura diferente?
Sim, sua conta de armazenamento do Azure pode estar em uma assinatura e seu workspace do Log Analytics pode estar em uma assinatura diferente.
Posso armazenar logs brutos em uma assinatura diferente da assinatura usada para os grupos de segurança de rede ou para as redes virtuais?
Sim. Você pode configurar os logs de fluxo para serem enviados para uma conta de armazenamento localizada em uma assinatura diferente, desde que tenha os privilégios apropriados e que a conta de armazenamento esteja localizada na mesma região que o grupo de segurança de rede (logs de fluxo do grupo de segurança de rede) ou rede virtual (logs de fluxo da rede virtual). A conta de armazenamento de destino deve compartilhar o mesmo locatário do Microsoft Entra do grupo de segurança de rede ou da rede virtual.
Meus recursos de log de fluxo e contas de armazenamento podem estar em locatários diferentes?
Não. Todos os recursos devem estar no mesmo locatário, incluindo grupos de segurança de rede (logs de fluxo do grupo de segurança de rede), redes virtuais (logs de fluxo da rede virtual), logs de fluxo, contas de armazenamento e workspaces do Log Analytics (se a análise de tráfego estiver habilitada).
Posso configurar uma política de retenção diferente para a conta de armazenamento do que para o workspace do Log Analytics?
Sim.
Perderei os dados armazenados no workspace do Log Analytics se excluir a conta de armazenamento usada para o log de fluxo?
Não. Se você excluir a conta de armazenamento usada para os logs de fluxo, os dados armazenados no workspace do Log Analytics não serão afetados. Você ainda pode visualizar os dados históricos no workspace do Log Analytics (algumas métricas podem ser afetadas), mas a análise de tráfego não processará mais nenhum novo log de fluxo adicional até que você atualize os logs de fluxo para usar uma conta de armazenamento diferente.
E se eu não conseguir configurar um grupo de segurança de rede para análise de tráfego devido a um erro "Não encontrado"?
Selecione uma região suportada. Se você selecionar uma região sem suporte, receberá um erro "Não encontrado". Para obter mais informações, confira Regiões suportadas pela análise de tráfego.
E se eu estiver recebendo o status “Falha ao carregar” na página de logs de fluxo?
O provedor Microsoft.Insights
deve estar registrado para que o registro de fluxo funcione corretamente. Se você não tiver certeza se o provedor Microsoft.Insights
está registrado para sua assinatura, consulte as instruções no portal do Azure, PowerShell ou na CLI do Azure sobre como registrá-lo.
Configurei a solução. Por que não visualizo nada no painel?
O painel pode levar até 30 minutos para mostrar os relatórios pela primeira vez. A solução deve primeiro agregar dados suficientes para obter insights significativos e, em seguida, gerar relatórios.
E se eu receber esta mensagem: “Não conseguimos encontrar nenhum dado neste workspace para o intervalo de tempo selecionado. Tente alterar o intervalo de tempo ou selecione um workspace diferente. ”?
Experimente as opções a seguir:
- Altere o intervalo de tempo na barra superior.
- Selecione um espaço de trabalho do Log Analytics diferente na barra superior.
- Tente acessar a análise de tráfego após 30 minutos, se ela foi ativada recentemente.
Se os problemas persistirem, compartilhe suas preocupações no Microsoft Q&A.
E se eu receber esta mensagem: “Analisando seus logs de fluxo do NSG pela primeira vez. Esse processo pode demorar de 20 a 30 minutos para ser concluído. Verifique de volta depois de algum tempo."?
Você pode ver esta mensagem porque:
- A análise de tráfego foi ativada recentemente e pode ainda não ter agregado dados suficientes para obter insights significativos.
- Você está usando a versão gratuita do workspace do Log Analytics e ela excedeu os limites da cota. Pode ser necessário usar um workspace com uma capacidade maior.
Experimente as soluções sugeridas para a pergunta anterior. Se os problemas persistirem, compartilhe suas preocupações no Microsoft Q&A.
E se eu receber esta mensagem: “Parece que temos dados de recursos (Topologia) e nenhuma informação de fluxos. Para obter mais informações, clique aqui para ver os dados dos recursos e consultar as perguntas frequentes.”?
Você está vendo as informações dos recursos no painel; no entanto, nenhuma estatística relacionada ao fluxo está presente. Os dados podem não estar presentes porque não há fluxos de comunicação entre os recursos. Aguarde 60 minutos e volte a verificar o estado. Se o problema persistir e você tiver certeza de que existem fluxos de comunicação entre os recursos, compartilhe suas preocupações no Microsoft Q&A.
Posso configurar a análise de tráfego usando o PowerShell?
Você pode configurar a análise de tráfego usando o Windows PowerShell versão 6.2.1 e superior. Para configurar o registro do fluxo e a análise de tráfego para um grupo de segurança de rede específico usando o PowerShell, confira Habilitar os logs de fluxo e análise de tráfego do grupo de segurança de rede.
Posso configurar a análise de tráfego usando um modelo ou cliente do Azure Resource Manager?
Sim, você pode usar um modelo do Azure Resource Manager ou um arquivo Bicep para configurar a análise de tráfego. Para obter mais informações, consulte Configurar logs de fluxo do NSG usando um modelo do Azure Resource Manager (ARM) e Configurar logs de fluxo NSG usando um arquivo Bicep.
Como a Análise de Tráfego é precificada?
A análise de tráfego é medida. A medição é baseada no processamento de dados brutos do log de fluxo pelo serviço. Para saber mais, confira Preço do Observador de Rede.
Os logs aprimorados ingeridos no workspace do Log Analytics podem ser mantidos sem custo por até 31 dias (ou 90 dias se o Microsoft Sentinel estiver habilitado no workspace). Para saber mais, confira Preço do Azure Monitor.
Com que frequência a análise de tráfego processa os dados?
O intervalo padrão de processamento da análise de tráfego é de 60 minutos, no entanto, você pode selecionar o processamento acelerado em intervalos de 10 minutos. Para obter mais informações, confira Agregação de dados na análise de tráfego.
Como a análise de tráfego decide que um IP é mal-intencionado?
A análise de tráfego depende dos sistemas internos de inteligência contra ameaças da Microsoft para considerar um IP como mal-intencionado. Esses sistemas aproveitam várias fontes de telemetria, como os produtos e os serviços da Microsoft, a Unidade de Crimes Digitais da Microsoft, o MSRC (Microsoft Security Response Center) e os feeds externos, além de criar muita inteligência sobre isso. Alguns desses dados são Internos da Microsoft. Se um IP conhecido estiver sendo sinalizado como mal-intencionado, crie um tíquete de suporte para saber os detalhes.
Como posso definir alertas sobre os dados de análise de tráfego?
A análise de tráfego não tem suporte interno para alertas. No entanto, como os dados de análise de tráfego são armazenados no Log Analytics, você pode escrever consultas personalizadas e definir alertas sobre elas. Siga estas etapas:
- Você pode usar o link do Log Analytics na análise de tráfego.
- Use o esquema de análise de tráfego para escrever suas consultas.
- Selecione Nova regra de alerta para criar o alerta.
- Consulte Criar uma nova regra de alerta para criar o alerta.
Como fazer para verificar quais máquinas virtuais estão recebendo a maior parte do tráfego local?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart
Para IPs, utilize a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart
Para o tempo, use o seguinte formato: aaaa-mm-dd 00:00:00
Como fazer para verificar o desvio padrão no tráfego recebido por minhas máquinas virtuais a partir de máquinas locais?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm
Para IPs:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S"
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP)
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP
Como verificar quais portas estão acessíveis (ou bloqueadas) entre os pares de IPs com as regras de NSG?
Use a seguinte consulta:
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s
Como posso navegar usando o teclado no modo de exibição de mapa geográfico?
A página do mapa geográfico contém duas seções principais:
- Faixa: a faixa na parte superior do mapa geográfico fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, Implantação, Tráfego de países/regiões e Mal-intencionado). Quando você seleciona um botão, o respectivo filtro é aplicado no mapa. Por exemplo, se você selecionar o botão Ativo, o mapa destacará os datacenters ativos em sua implantação.
- Mapa: abaixo do banner, a seção do mapa mostra a distribuição de tráfego entre os datacenters e países/regiões do Azure.
Navegação do teclado no banner
- Por padrão, a seleção na página de mapa geográfico do banner é o filtro "Azure DCs".
- Para ir para outro filtro, use a tecla
Tab
ouRight arrow
. Para retroceder, use a teclaShift+Tab
ou aLeft arrow
tecla. A navegação para frente é da esquerda para a direita, seguida de cima para baixo. - Pressione
Enter
ou aDown
tecla de seta para aplicar o filtro selecionado. Com base na seleção e na implantação do filtro, um ou vários nós na seção do mapa são realçados. - Para alternar entre banner e mapa, pressione
Ctrl+F6
.
Navegação do teclado no mapa
- Depois de selecionar qualquer filtro na faixa e pressionar
Ctrl+F6
, o foco é movido para um dos nós destacados (datacenter do Azure ou País/Região) na exibição do mapa. - Para mover para outros nós destacados no mapa, use
Tab
ou a teclaRight arrow
para o movimento de avanço. UseShift+Tab
ou a teclaLeft arrow
para movimento para trás. - Para selecionar qualquer nó destacado no mapa, utilize a tecla
Enter
ouDown arrow
. - Na seleção de quaisquer desses nós, o foco move-se para a Caixa de Ferramentas de Informações do nó. Por padrão, o foco move-se para o botão próximo à Caixa de Ferramentas de Informações. Para mover-se ainda mais dentro da visão Box, use as teclas
Right arrow
eLeft arrow
para avançar e voltar, respectivamente. PressionarEnter
tem o mesmo efeito que selecionar o botão com foco na Caixa de Ferramentas de Informações. - Quando você pressiona
Tab
enquanto o foco está na Caixa de Ferramentas de Informações, o foco se move para os pontos finais no mesmo continente que o nó selecionado. Use as teclasRight arrow
eLeft arrow
para percorrer esses endpoints. - Para mover para outros pontos finais de fluxo ou clusters continentais, use
Tab
para o movimento de avanço eShift+Tab
para o movimento de retrocesso. - Quando o foco estiver em Continent clusters , use as teclas de seta
Enter
ouDown
para realçar os pontos de extremidade dentro do cluster do continente. Para percorrer os endpoints e o botão fechar na caixa de informações do cluster do continente, use a teclaRight arrow
ouLeft arrow
para o movimento de avanço e retrocesso, respectivamente. Em qualquer ponto de extremidade você poderá utilizarShift+L
para alternar para a linha de conexão do nó selecionado para o ponto de extremidade. Você pode pressionarShift+L
novamente para ir para o terminal selecionado.
Navegação do teclado em qualquer estágio
- A chave
Esc
recolhe a seleção expandida. - A tecla
Up-arrow
realiza a mesma ação queEsc
. A teclaDown arrow
realiza a mesma ação queEnter
. - Utilize
Shift+Plus
para ampliar eShift+Minus
para reduzir.
Como fazer para navegar usando o teclado no modo de exibição de topologia de rede virtual?
A página de topologia de redes virtuais contém duas seções principais:
- Banner: o banner na parte superior da topologia de redes virtuais fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, redes virtuais conectadas, redes virtuais desconectadas e IPs públicos). Quando você seleciona um botão, o respectivo filtro é aplicado na topologia. Por exemplo, se você selecionar o botão Ativo, a topologia destacará as redes virtuais ativas em sua implantação.
- Topologia: abaixo do banner, a seção de topologia mostra a distribuição de tráfego entre as redes virtuais.
Navegação do teclado no banner
- Por padrão, a seleção na página de topologia de redes virtuais para o banner é o filtro “Conectado VNets”.
- Para ir para outro filtro, use a tecla
Tab
para avançar. Para retroceder, use a teclaShift+Tab
. A navegação para frente é da esquerda para a direita, seguida de cima para baixo. - Pressione
Enter
para aplicar o filtro selecionado. Com base na seleção e na implantação do filtro, um ou vários nós (rede virtual) na seção de topologia são realçados. - Para alternar entre o banner e a topologia, pressione
Ctrl+F6
.
Navegação do teclado na topologia
- Depois de selecionar qualquer filtro no banner e pressionar
Ctrl+F6
, o foco é movido para um dos nós destacados (VNet) na visualização de topologia. - Para mover para outros nós destacados na visualização de topologia, use a tecla
Shift+Right arrow
para o movimento de avanço. - Em nós realçados, o foco é movido para a Caixa de Ferramentas de Informações para o nó. Por padrão, o foco é movido para o botão Mais detalhes na Caixa de ferramentas de informações. Para mover-se ainda mais dentro da visão Box, use as teclas
Right arrow
eLeft arrow
para mover para frente e para trás, respectivamente. PressionarEnter
tem o mesmo efeito que selecionar o botão com foco na Caixa de Ferramentas de Informações. - Na seleção de qualquer desses nós, você pode visitar todas as suas conexões, uma a uma, pressionando a tecla
Shift+Left arrow
. O foco se move para a Caixa de ferramentas de informações dessa conexão. A qualquer momento, o foco pode ser deslocado de volta para o nó pressionandoShift+Right arrow
novamente.
Como posso navegar usando o teclado no modo de exibição de topologia de sub-rede?
A página de topologia de sub-redes virtuais contém duas seções principais:
- Banner : o banner na parte superior da topologia de sub-redes virtuais fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, sub-redes Ativas, Médias e de Gateway). Quando você seleciona um botão, o respectivo filtro é aplicado na topologia. Por exemplo, se você selecionar o botão Ativo, a topologia destacará a sub-rede virtual ativa em sua implantação.
- Topologia: abaixo do banner, a seção de topologia mostra a distribuição de tráfego entre as sub-redes virtuais.
Navegação do teclado no banner
- Por padrão, a seleção na página de topologia das sub-redes virtuais para o banner é o filtro "Sub-redes".
- Para ir para outro filtro, use a tecla
Tab
para avançar. Para retroceder, use a teclaShift+Tab
. A navegação para frente é da esquerda para a direita, seguida de cima para baixo. - Pressione
Enter
para aplicar o filtro selecionado. Com base na seleção e na implantação de filtros, um ou vários nós (Sub-rede) na seção de topologia são realçados. - Para alternar entre o banner e a topologia, pressione
Ctrl+F6
.
Navegação do teclado na topologia
- Depois de selecionar qualquer filtro no banner e pressionar
Ctrl+F6
, o foco se moverá para um dos nós destacados (Sub-rede) na visualização de topologia. - Para mover para outros nós destacados na visualização de topologia, use a tecla
Shift+Right arrow
para o movimento de avanço. - Em nós realçados, o foco é movido para a Caixa de Ferramentas de Informações para o nó. Por padrão, o foco é movido para o botão Mais detalhes na Caixa de ferramentas de informações. Para mover-se ainda mais dentro da visão Box, use as teclas
Right arrow
eLeft arrow
para avançar e voltar, respectivamente. PressionarEnter
tem o mesmo efeito que selecionar o botão com foco na Caixa de Ferramentas de Informações. - Na seleção de tais nós, você pode visitar todas as suas conexões, uma a uma, pressionando a tecla
Shift+Left arrow
. O foco se move para a Caixa de ferramentas de informações dessa conexão. A qualquer momento, o foco pode ser deslocado de volta para o nó pressionandoShift+Right arrow
novamente.