Perguntas frequentes sobre análise de tráfego (FAQ)

Este artigo fornece respostas para as perguntas mais frequentes sobre análise de tráfego no Azure Network Watcher.

Quais são os pré-requisitos necessários para usar a análise de tráfego?

Consulte Pré-requisitos de análise de tráfego para obter uma lista dos pré-requisitos necessários.

Como posso verificar se tenho as funções necessárias?

Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de função, contacte o respetivo administrador de subscrição.

Posso habilitar logs de fluxo para grupos de segurança de rede que estão em regiões diferentes da região do meu espaço de trabalho?

Sim, os grupos de segurança de rede podem estar em regiões diferentes da região do espaço de trabalho do Log Analytics.

Vários grupos de segurança de rede podem ser configurados em um único espaço de trabalho?

Sim.

Os grupos de segurança de rede Classic são suportados?

Não, a análise de tráfego não suporta grupos de segurança de rede clássicos.

Por que a análise de tráfego não exibe dados para meus grupos de segurança de rede habilitados para análise de tráfego?

Na lista suspensa de seleção de recursos no painel de análise de tráfego, o grupo de recursos do recurso Rede Virtual deve ser selecionado, não o grupo de recursos da máquina virtual ou do grupo de segurança de rede.

Posso usar um espaço de trabalho existente?

Sim. Se você selecionar um espaço de trabalho existente, verifique se ele foi migrado para o novo idioma de consulta. Se você não quiser atualizar o espaço de trabalho, precisará criar um novo. Para obter mais informações sobre Kusto Query Language (KQL), consulte Consultas de log no Azure Monitor.

Minha conta de armazenamento do Azure pode estar em uma assinatura e meu espaço de trabalho do Log Analytics estar em uma assinatura diferente?

Sim, sua conta de armazenamento do Azure pode estar em uma assinatura e seu espaço de trabalho do Log Analytics pode estar em uma assinatura diferente.

Posso armazenar logs brutos em uma assinatura diferente da assinatura usada para grupos de segurança de rede ou redes virtuais?

Sim. Você pode configurar logs de fluxo a serem enviados para uma conta de armazenamento localizada em uma assinatura diferente, desde que tenha os privilégios apropriados e que a conta de armazenamento esteja localizada na mesma região que o grupo de segurança de rede (logs de fluxo do grupo de segurança de rede) ou a rede virtual (logs de fluxo de rede virtual). A conta de armazenamento de destino deve compartilhar o mesmo locatário do Microsoft Entra do grupo de segurança de rede ou rede virtual.

Meus recursos de log de fluxo e contas de armazenamento podem estar em locatários diferentes?

N.º Todos os recursos devem estar no mesmo locatário, incluindo grupos de segurança de rede (logs de fluxo de grupo de segurança de rede), redes virtuais (logs de fluxo de rede virtual), logs de fluxo, contas de armazenamento e espaços de trabalho do Log Analytics (se a análise de tráfego estiver habilitada).

Posso configurar uma política de retenção diferente para a conta de armazenamento do espaço de trabalho do Log Analytics?

Sim.

Perderei os dados armazenados no espaço de trabalho do Log Analytics se excluir a conta de armazenamento usada para o registro de fluxo?

N.º Se você excluir a conta de armazenamento usada para logs de fluxo, os dados armazenados no espaço de trabalho do Log Analytics não serão afetados. Você ainda pode visualizar dados históricos no espaço de trabalho do Log Analytics (algumas métricas serão afetadas), mas a análise de tráfego não processará mais novos logs de fluxo adicionais até que você atualize os logs de fluxo para usar uma conta de armazenamento diferente.

E se eu não conseguir configurar um grupo de segurança de rede para análise de tráfego devido a um erro "Não encontrado"?

Selecione uma região suportada. Se você selecionar uma região sem suporte, receberá um erro "Não encontrado". Para obter mais informações, consulte Regiões suportadas pela análise de tráfego.

E se eu estiver recebendo o status: "Falha ao carregar" na página de logs de fluxo?

O Microsoft.Insights provedor deve estar registrado para que o log de fluxo funcione corretamente. Se você não tiver certeza se o provedor está registrado para sua assinatura, consulte as Microsoft.Insights instruções do portal do Azure, PowerShell ou CLI do Azure sobre como registrá-lo.

Eu configurei a solução. Por que não estou vendo nada no painel?

O painel pode levar até 30 minutos para mostrar relatórios pela primeira vez. A solução deve primeiro agregar dados suficientes para obter insights significativos e, em seguida, gerar relatórios.

E se eu receber esta mensagem: "Não foi possível encontrar nenhum dado neste espaço de trabalho para o intervalo de tempo selecionado. Tente alterar o intervalo de tempo ou selecione um espaço de trabalho diferente."?

Tente as seguintes opções:

  • Altere o intervalo de tempo na barra superior.
  • Selecione um espaço de trabalho diferente do Log Analytics na barra superior.
  • Tente acessar a análise de tráfego após 30 minutos, se ela tiver sido ativada recentemente.

Se os problemas persistirem, levante preocupações nas Perguntas e Respostas da Microsoft.

E se eu receber esta mensagem: "Analisando seus logs de fluxo NSG pela primeira vez. Este processo pode levar de 20 a 30 minutos para ser concluído. Volte depois de algum tempo."?

Poderá ver esta mensagem porque:

  • A análise de tráfego foi habilitada recentemente e pode ainda não ter agregado dados suficientes para obter insights significativos.
  • Você está usando a versão gratuita do espaço de trabalho do Log Analytics e ela excedeu os limites de cota. Talvez seja necessário usar um espaço de trabalho com uma capacidade maior.

Experimente as soluções sugeridas para a pergunta anterior. Se os problemas persistirem, levante preocupações nas Perguntas e Respostas da Microsoft.

E se eu receber esta mensagem: "Parece que temos dados de recursos (topologia) e nenhuma informação de fluxos. Para obter mais informações, clique aqui para ver os dados dos recursos e consulte as perguntas frequentes."?

Você está vendo as informações de recursos no painel; no entanto, não existem estatísticas relacionadas com os fluxos. Os dados podem não estar presentes devido à ausência de fluxos de comunicação entre os recursos. Aguarde 60 minutos e verifique novamente o status. Se o problema persistir e você tiver certeza de que existem fluxos de comunicação entre recursos, levante preocupações nas Perguntas e Respostas da Microsoft.

Posso configurar a análise de tráfego usando o PowerShell?

Você pode configurar a análise de tráfego usando o Windows PowerShell versão 6.2.1 e superior. Para configurar o log de fluxo e a análise de tráfego para um grupo de segurança de rede específico usando o PowerShell, consulte Habilitar logs de fluxo de grupo de segurança de rede e análise de tráfego.

Posso configurar a análise de tráfego usando um modelo do Azure Resource Manager ou um arquivo Bicep?

Sim, você pode usar um modelo do Azure Resource Manager ou um arquivo Bicep para configurar a análise de tráfego. Para obter mais informações, consulte Configurar logs de fluxo do NSG usando um modelo do Azure Resource Manager (ARM) e Configurar logs de fluxo do NSG usando um arquivo Bicep.

Qual é o preço da análise de tráfego?

A análise de tráfego é limitada. A medição é baseada no processamento de dados brutos de log de fluxo pelo serviço. Para obter mais informações, consulte Preços do Inspetor de Rede.
Os logs aprimorados ingeridos no espaço de trabalho do Log Analytics podem ser retidos gratuitamente por até os primeiros 31 dias (ou 90 dias se o Microsoft Sentinel estiver habilitado no espaço de trabalho). Para obter mais informações, consulte Preços do Azure Monitor.

Com que frequência a análise de tráfego processa dados?

O intervalo de processamento padrão da análise de tráfego é de 60 minutos, no entanto, você pode selecionar o processamento acelerado em intervalos de 10 minutos. Para obter mais informações, consulte Agregação de dados na análise de tráfego.

Como a análise de tráfego decide que um IP é malicioso?

A análise de tráfego depende dos sistemas internos de inteligência de ameaças da Microsoft para considerar um IP como malicioso. Esses sistemas aproveitam diversas fontes de telemetria, como produtos e serviços da Microsoft, a Microsoft Digital Crimes Unit (DCU), o Microsoft Security Response Center (MSRC) e feeds externos e criam muita inteligência sobre isso. Alguns desses dados são Microsoft Internal. Se um IP conhecido estiver sendo sinalizado como malicioso, levante um tíquete de suporte para saber os detalhes.

Como posso definir alertas sobre dados de análise de tráfego?

A análise de tráfego não tem suporte integrado para alertas. No entanto, como os dados de análise de tráfego são armazenados no Log Analytics, você pode escrever consultas personalizadas e definir alertas sobre elas. Siga estes passos:

  • Você pode usar o link do Log Analytics na análise de tráfego.
  • Use o esquema de análise de tráfego para escrever suas consultas.
  • Selecione Nova regra de alerta para criar o alerta.
  • Consulte Criar uma nova regra de alerta para criar o alerta.

Como verifico quais máquinas virtuais estão recebendo mais tráfego local?

Utilize a consulta seguinte:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

Para IPs, use a seguinte consulta:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

Para o tempo, use o formato: aaaa-mm-dd 00:00:00

Como verifico o desvio padrão no tráfego recebido por minhas máquinas virtuais de máquinas locais?

Utilize a consulta seguinte:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

Para IPs:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

Como verifico quais portas estão acessíveis (ou bloqueadas) entre pares de IP com regras NSG?

Utilize a consulta seguinte:

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

Como posso navegar usando o teclado na visualização de mapa geográfico?

A página do mapa geográfico contém duas seções principais:

  • Banner: O banner na parte superior do mapa geográfico fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, Implantação, Tráfego de países/regiões e Malicioso). Quando você seleciona um botão, o respetivo filtro é aplicado no mapa. Por exemplo, se você selecionar o botão Ativo, o mapa destacará os datacenters ativos em sua implantação.
  • Mapa: abaixo do banner, a seção de mapa mostra a distribuição do tráfego entre datacenters do Azure e países/regiões.

Navegação pelo teclado no banner

  • Por padrão, a seleção na página de mapa geográfico para o banner é o filtro "Azure DCs".
  • Para mover para outro filtro, use a tecla ou a Tab Right arrow chave. Para retroceder, use a tecla ou a Shift+Tab Left arrow tecla . A navegação para a frente é da esquerda para a direita, seguida de cima para baixo.
  • Pressione Enter ou a tecla de seta Down para aplicar o filtro selecionado. Com base na seleção e implantação do filtro, um ou vários nós na seção do mapa são realçados.
  • Para alternar entre banner e mapa, pressione Ctrl+F6.

Navegação pelo teclado no mapa

  • Depois de selecionar qualquer filtro no banner e pressionar Ctrl+F6, o foco se move para um dos nós realçados (datacenter do Azure ou País/Região) na exibição de mapa.
  • Para mover para outros nós realçados no mapa, use uma ou Tab a Right arrow tecla para o movimento para avançar. Use Shift+Tab ou a Left arrow tecla para o movimento para trás.
  • Para selecionar qualquer nó realçado no mapa, use a Enter tecla ou Down arrow .
  • Na seleção de tais nós, o foco se move para a Caixa de Ferramentas de Informação para o nó. Por padrão, o foco se move para o botão fechado na Caixa de Ferramentas de Informações. Para continuar a mover-se dentro da vista Caixa , utilize Right arrow as teclas e Left arrow para avançar e retroceder, respetivamente. Pressionar Enter tem o mesmo efeito que selecionar o botão focado na Caixa de Ferramentas de Informação.
  • Quando você pressiona Tab enquanto o foco está na Caixa de Ferramentas de Informação, o foco se move para os pontos finais no mesmo continente que o nó selecionado. Use as Right arrow teclas e Left arrow para percorrer esses pontos de extremidade.
  • Para mover para outros pontos finais de fluxo ou clusters de continentes, use Tab para o movimento para frente e Shift+Tab para o movimento para trás.
  • Quando o foco estiver em clusters de continente, use as teclas de seta Enter ou Down para realçar os pontos finais dentro do cluster de continente. Para percorrer os pontos finais e o botão fechar na caixa de informações do cluster continente, use a Right arrow tecla ou Left arrow para o movimento para frente e para trás, respectivamente. Em qualquer ponto de extremidade, você pode usar Shift+L para alternar para a linha de conexão do nó selecionado para o ponto de extremidade. Você pode pressionar Shift+L novamente para ir para o ponto de extremidade selecionado.

Navegação pelo teclado em qualquer fase

  • A Esc chave recolhe a seleção expandida.
  • A Up-arrow chave executa a mesma ação que Esc. A Down arrow chave executa a mesma ação que Enter.
  • Use Shift+Plus para aumentar e Shift+Minus diminuir o zoom.

Como posso navegar usando o teclado na visualização de topologia de rede virtual?

A página de topologia de redes virtuais contém duas seções principais:

  • Banner: O banner na parte superior da topologia de redes virtuais fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, Redes virtuais conectadas, Redes virtuais desconectadas e IPs públicos). Quando você seleciona um botão, o respetivo filtro é aplicado na topologia. Por exemplo, se você selecionar o botão Ativo, a topologia destacará as redes virtuais ativas em sua implantação.
  • Topologia: Abaixo do banner, a seção de topologia mostra a distribuição do tráfego entre redes virtuais.

Navegação pelo teclado no banner

  • Por padrão, a seleção na página de topologia de redes virtuais para o banner é o filtro "Connected VNets".
  • Para ir para outro filtro, use a Tab tecla para avançar. Para retroceder, use a Shift+Tab chave. A navegação para a frente é da esquerda para a direita, seguida de cima para baixo.
  • Pressione Enter para aplicar o filtro selecionado. Com base na seleção e implantação do filtro, um ou vários nós (rede virtual) na seção de topologia são realçados.
  • Para alternar entre o banner e a topologia, pressione Ctrl+F6.

Navegação por teclado na topologia

  • Depois de selecionar qualquer filtro no banner e pressionar Ctrl+F6, o foco se move para um dos nós realçados (VNet) na visualização de topologia.
  • Para mover para outros nós realçados na visualização de topologia, use a Shift+Right arrow tecla para movimento para frente.
  • Nos nós realçados, o foco se move para a Caixa de Ferramentas de Informações do nó. Por padrão, o foco se move para o botão Mais detalhes na Caixa de Ferramentas de Informações. Para continuar a mover-se dentro da vista Caixa , utilize as Right arrow teclas e Left arrow para avançar e retroceder, respetivamente. Pressionar Enter tem o mesmo efeito que selecionar o botão focado na Caixa de Ferramentas de Informação.
  • Na seleção de tais nós, você pode visitar todas as suas conexões, uma a uma, pressionando a Shift+Left arrow tecla . O foco se move para a Caixa de Ferramentas de Informação dessa conexão. A qualquer momento, o foco pode ser deslocado de volta para o nó pressionando Shift+Right arrow novamente.

Como posso navegar usando o teclado na visualização de topologia de sub-rede?

A página de topologia de sub-redes virtuais contém duas seções principais:

  • Banner: O banner na parte superior da topologia de sub-redes virtuais fornece botões para selecionar filtros de distribuição de tráfego (por exemplo, sub-redes Ativo, Médio e Gateway). Quando você seleciona um botão, o respetivo filtro é aplicado na topologia. Por exemplo, se você selecionar o botão Ativo, a topologia destacará a sub-rede virtual ativa em sua implantação.
  • Topologia: Abaixo do banner, a seção de topologia mostra a distribuição do tráfego entre sub-redes virtuais.

Navegação pelo teclado no banner

  • Por padrão, a seleção na página de topologia de sub-redes virtuais para o banner é o filtro "Sub-redes".
  • Para ir para outro filtro, use a Tab tecla para avançar. Para retroceder, use a Shift+Tab chave. A navegação para a frente é da esquerda para a direita, seguida de cima para baixo.
  • Pressione Enter para aplicar o filtro selecionado. Com base na seleção e implantação do filtro, um ou vários nós (Sub-rede) na seção de topologia são realçados.
  • Para alternar entre o banner e a topologia, pressione Ctrl+F6.

Navegação por teclado na topologia

  • Depois de selecionar qualquer filtro no banner e pressionar Ctrl+F6, o foco se move para um dos nós realçados (Sub-rede) na visualização de topologia.
  • Para mover para outros nós realçados na visualização de topologia, use a Shift+Right arrow tecla para movimento para frente.
  • Nos nós realçados, o foco se move para a Caixa de Ferramentas de Informações do nó. Por padrão, o foco se move para o botão Mais detalhes na Caixa de Ferramentas de Informações. Para continuar a mover-se dentro da vista Caixa , utilize Right arrow as teclas e Left arrow para avançar e retroceder, respetivamente. Pressionar Enter tem o mesmo efeito que selecionar o botão focado na Caixa de Ferramentas de Informação.
  • Na seleção de tais nós, você pode visitar todas as suas conexões, uma a uma, pressionando Shift+Left arrow a tecla . O foco se move para a Caixa de Ferramentas de Informação dessa conexão. A qualquer momento, o foco pode ser deslocado de volta para o nó pressionando Shift+Right arrow novamente.