Поделиться через

Общие сведения об аналитике трафика

  • Статья

Аналитика трафика — это облачное решение, которое позволяет следить за действиями пользователя и приложения в ваших облачных сетях. В частности, аналитика трафика анализирует журналы потоков Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

  • Визуализируйте сетевую активность в ваших подписках Azure.

  • Определение точек доступа.

  • Защита сети с помощью сведений о следующих компонентах для выявления угроз:

    • Открытие портов
    • приложения, которые пытаются получить доступ к Интернету;
    • виртуальные машины, подключающиеся к несанкционированным сетям.

  • Оптимизация развертывания сети для повышения производительности и эффективного использования емкости путем изучения закономерностей потока трафика в регионах Azure и Интернете.

  • Оперативное обнаружение неверных конфигураций сети, которые могут привести к сбоям подключений в сети.

Зачем аналитика трафика?

Крайне важно выполнять мониторинг своей сети, управлять ею и знать ее структуру для обеспечения соответствия требованиям, высокой производительности и защиты от несанкционированного доступа. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Во многих случаях нужно иметь представление о текущем состоянии сети, в частности знать следующее:

  • Кто подключается к сети?
  • Откуда они подключаются?
  • Какие порты открыты в Интернете?
  • Каково ожидаемое поведение сети?
  • Наблюдается ли нерегулярное поведение в сети?
  • Есть ли внезапный рост трафика?

Облачные сети отличаются от локальных корпоративных сетей. В локальных сетях маршрутизаторы и коммутаторы поддерживают NetFlow и другие эквивалентные протоколы. Эти устройства позволяют выполнять сбор данных об IP-трафике при входе или выходе из сетевого интерфейса. С помощью анализа данных потока трафика можно выполнить анализ потока и объема трафика.

С помощью виртуальных сетей Azure журналы потоков собирают данные о сети. Эти журналы предоставляют сведения о входе и исходящего IP-трафика через группу безопасности сети или виртуальную сеть. Аналитика трафика анализирует необработанные журналы потоков и объединяет данные журнала с аналитикой безопасности, топологии и географии. Затем решение предоставляет аналитические сведения о потоке трафика в вашей среде.

Аналитика трафика предоставляет следующие данные:

  • узлы с наибольшим объемом передаваемых данных;
  • протоколы приложений с наибольшим объемом передаваемых данных;
  • пара узлов, больше всего взаимодействующих между собой;
  • разрешенный и заблокированный трафик;
  • Входящий и исходящий трафик.
  • Открытые порты Интернета.
  • правила, устанавливающие самый высокий уровень блокировки;
  • распределение трафика для каждого центра обработки данных Azure, виртуальной сети, подсетей или несанкционированной сети.

Ключевые компоненты

Чтобы использовать аналитику трафика, вам потребуются следующие компоненты:

  • Наблюдатель за сетями — это региональная служба, с помощью которой вы можете выполнять мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Вы можете использовать Наблюдатель за сетями для включения и отключения журналов потоков в подписке. Дополнительные сведения см. в статьях "Что такое Azure Наблюдатель за сетями?" и "Включение или отключение Azure Наблюдателя за сетями".

  • Log Analytics. Средство на портале Azure, используемое для работы с данными журналов Azure Monitor. Журналы Azure Monitor — это служба Azure, которая собирает данные мониторинга и сохраняет их в центральном репозитории. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", используют журналы Azure Monitor в качестве основы. Дополнительные сведения см. в статье Журналы Azure Monitor. Log Analytics предоставляет способ изменения и выполнения запросов к журналам. Кроме того, с помощью этого средства можно анализировать результаты запроса. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  • Рабочая область Log Analytics. Среда, в которой хранятся данные журналов Azure Monitor, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в разделе "Обзор рабочей области Log Analytics" и "Создание рабочей области Log Analytics".

  • Кроме того, необходимо включить группу безопасности сети с включенными журналами потоков, если вы используете аналитику трафика для анализа журналов потоков группы безопасности сети, или виртуальная сеть с включенными журналами потоков, если вы используете аналитику трафика для анализа журналов потоков виртуальной сети.

    • Группа безопасности сети (NSG) — ресурс, содержащий список правил безопасности, которые разрешают или запрещают сетевой трафик или из ресурсов, подключенных к виртуальной сети Azure. Группы безопасности сети могут быть связаны с подсетями, сетевыми интерфейсами (NIC), которые подключены к виртуальным машинам (Resource Manager), или к отдельным виртуальным машинам (classic). Дополнительные сведения см. в статье Безопасность сети.

    • Журналы потоков группы безопасности сети: сведения о записанном входящем и исходящем IP-трафике через группу безопасности сети. Журналы потоков группы безопасности сети записываются в формате JSON и включают:

      • входящие и исходящие потоки для каждого правила;
      • Сетевой адаптер, к которому относится данный поток.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения см. в разделе "Общие сведения о журналах потоков группы безопасности сети" и "Создание журнала потока группы безопасности сети".

    • Виртуальная сеть (виртуальная сеть) — ресурс, который позволяет многим типам ресурсов Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Дополнительные сведения см. в обзоре виртуальной сети.

    • Журналы потоков виртуальной сети: записанные данные о входящем и исходящем IP-трафике через виртуальную сеть. Журналы потоков виртуальной сети записываются в формате JSON и включают:

      • Исходящие и входящий потоки.
      • Сведения о потоке, такие как исходные и конечные IP-адреса, исходные и конечные порты и протокол.
      • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

      Дополнительные сведения см. в обзоре журналов потоков виртуальной сети и создании журнала потоков виртуальной сети. Сведения о различиях между журналами потоков группы безопасности сети и журналами потоков виртуальной сети см. в разделе журналы потоков виртуальной сети по сравнению с журналами потоков группы безопасности сети.

Примечание.

Чтобы использовать аналитику трафика, необходимо назначить одну из следующих встроенных ролей Azure вашей учетной записи:

Модель развертывания Роль
Диспетчер ресурсов Владелец
Участник
Участник сети и участник мониторинга

1 Участник сети не покрывает Microsoft.OperationalInsights/workspaces/* действия.

Если ни одна из предыдущих встроенных ролей не назначена вашей учетной записи, назначьте пользовательскую роль , которая поддерживает действия, перечисленные в журналах потоков и разрешениях аналитики трафика.

Как работает решение "Аналитика трафика"

Аналитика трафика проверяет необработанные журналы потоков. Затем решение уменьшает объем журнала, агрегируя потоки с общим IP-адресом источника, IP-адресом назначения, портом назначения и протоколом.

Для примера возьмем узел 1 с IP-адресом 10.10.10.10 и узел 2 с IP-адресом 10.10.20.10. Предположим, что за один час эти два хоста общаются 100 раз. В этом случае необработанный журнал потоков будет содержать 100 записей. Если эти узлы используют протокол HTTP в порте 80 для каждой из этих 100 операций взаимодействия, в сокращенном журнале будет одна запись. Эта запись указывает на то, что узел 1 и узел 2 обмениваются данными 100 раз в течение одного часа с помощью протокола HTTP через порт 80.

Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующей схеме показано представление потока данных:

Схема, показывающая, как данные сетевого трафика передаются из журнала группы безопасности сети на панель мониторинга аналитики. Средние шаги включают агрегирование и улучшение.

Доступность

В следующих таблицах перечислены поддерживаемые регионы, в которых можно включить аналитику трафика для журналов потоков и рабочих областей Log Analytics, которые можно использовать.

Область/регион Журналы потоков группы безопасности сети Журналы потоков виртуальной сети Аналитика трафика Рабочая область Log Analytics
Южная Бразилия
Юго-Восточная Бразилия
Центральная Канада
Восточная Канада
Центральная часть США
Восточная часть США
Восточная часть США 2
Центральная Мексика
Центрально-северная часть США
Центрально-южная часть США
Центрально-западная часть США
западная часть США
западная часть США 2
Запад США 3

Примечание.

Если журналы потоков поддерживаются в регионе, но рабочая область Log Analytics не поддерживается в этом регионе для аналитики трафика, вы можете использовать рабочую область Log Analytics из любого другого поддерживаемого региона. В этом случае не будет никаких дополнительных расходов на передачу данных между регионами для использования рабочей области Log Analytics из другого региона.

Цены

Сведения о ценах см. в ценах Network Watcher и Azure Monitor.

Часто задаваемые вопросы о аналитике трафика

Чтобы получить ответы на наиболее часто задаваемые вопросы об аналитике трафика, ознакомьтесь с часто задаваемыми вопросами о аналитике трафика.

Связанный контент