Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этой статьи вы узнаете, как получить инсайты о трафике после настройки аналитики трафика в различных сценариях.
Найдите точки доступа для трафика
Ищите
- Какие узлы, подсети, виртуальные сети и масштабируемый набор виртуальных машин отправляют или получают больше всего трафика, обходя максимальный объем вредоносного трафика и блокируя значительные потоки?
- Проверьте сравнительную таблицу для узлов, подсетей, виртуальных сетей и масштабируемого набора виртуальных машин. Понимание того, какие узлы, подсети, виртуальные сети и масштабируемый набор виртуальных машин отправляют или получают больше всего трафика, может помочь вам определить, какие узлы обрабатывают наибольший объем трафика, а также правильно ли распределяется трафик.
- Вы можете оценить, подходит ли объем трафика для узла сети. Является ли объем трафика нормальным поведением или он заслуживает дальнейшего изучения?
- Какой объем входящего/исходящего трафика существует?
- Ожидается, что хост будет получать больше входящего трафика, чем исходящего, или наоборот?
- Статистика заблокированного трафика.
- Почему хост блокирует значительный объем безобидного трафика? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации
- Статистика разрешенного/заблокированного вредоносного трафика
Почему хост получает вредоносный трафик и почему разрешены потоки из вредоносных источников? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации.
Выберите Просмотреть все в разделе IP, как показано на следующем рисунке, чтобы просмотреть временные тренды для пяти основных говорящих узлов и сведения, связанные с потоком (разрешенные — входящие/исходящие и запрещенные — входящие/исходящие потоки) для узла:
Ищите
Какие пары хостов наиболее общающиеся?
- Ожидаемое поведение, например взаимодействие с внешним или серверным интерфейсом, или нерегулярное поведение, например внутренний интернет-трафик.
Статистика разрешенного/заблокированного трафика
- Почему хост разрешает или блокирует значительный объем трафика
Наиболее часто используемый прикладной протокол среди большинства взаимодействующих пар хостов:
На следующем рисунке показаны временные тренды для пяти основных диалогов и сведения, связанные с потоком, такие как разрешенные и запрещенные входящие и исходящие потоки для пары разговоров:
Ищите
Какой протокол приложения чаще всего используется в вашей среде и какие пары узлов чаще всего используют протокол приложения?
Разрешены ли эти приложения в этой сети?
Правильно ли настроены приложения? Используют ли они соответствующий протокол для связи? Ожидаемое поведение — это общие порты, такие как 80 и 443. При стандартном обмене данными, если отображаются какие-либо необычные порты, может потребоваться изменение конфигурации. Выберите Просмотреть все в разделе Порт приложения на следующем рисунке:
На следующих изображениях показаны временные тренды для пяти основных протоколов L7 и сведения, связанные с потоком (например, разрешенные и запрещенные потоки) для протокола L7:
Ищите
Тенденции использования ресурсов VPN-шлюза в вашей среде.
- Каждый номер SKU VPN обеспечивает определенную пропускную способность. Не используются ли VPN-шлюзы в недостаточной степени?
- Ваши шлюзы работают на пределе своих возможностей? Следует ли переходить на следующий более высокий SKU?
Какие хосты наиболее часто общаются, через какой VPN-шлюз, через какой порт?
На следующем рисунке показаны временные тенденции использования емкости VPN-шлюза Azure и сведения, связанные с потоком (например, разрешенные потоки и порты):
Визуализируйте распределение трафика по географии
Ищите
Распределение трафика по центрам обработки данных, например основные источники трафика в центр обработки данных, основные несанкционированные сети, взаимодействующие с центром обработки данных, и протоколы приложений, которые чаще всего взаимодействуют.
Если вы наблюдаете большую нагрузку на центр обработки данных, вы можете спланировать эффективное распределение трафика.
Если несанкционированные сети обмениваются данными в центре обработки данных, вы можете установить правила группы безопасности сети, чтобы заблокировать их.
Выберите Просмотреть карту в разделе Ваша среда, как показано на следующем рисунке:
На геокарте отображается верхняя лента для выбора параметров, таких как центры обработки данных (Развернуто/Не развернуто/Активно/Неактивно/Аналитика трафика включена/Аналитика трафика не включена) и страны и регионы, вносящие доброкачественный/вредоносный трафик в активное развертывание:
На геокарте синим (безобидный трафик) и красными (вредоносный трафик) линиями показано распределение трафика в дата-центр из стран/регионов и континентов, которые к нему обращаются:
В колонке "Дополнительная аналитика " региона Azure также отображается общий объем трафика, оставшегося в этом регионе (т. е. источник и назначение в том же регионе). Кроме того, он дает представление об обмене трафиком между зонами доступности центра обработки данных.
Визуализируйте распределение трафика по виртуальным сетям
Ищите
Распределение трафика по виртуальным сетям, топология, основные источники трафика в виртуальную сеть, основные несанкционированные сети, взаимодействующие с виртуальной сетью, и основные протоколы взаимодействующих приложений.
Знание того, какая виртуальная сеть взаимодействует с какой виртуальной сетью. Если разговор неожиданный, его можно корректировать.
Если несанкционированные сети взаимодействуют с виртуальной сетью, можно скорректировать правила группы безопасности сети, чтобы блокировать несанкционированные сети.
Выберите Просмотр виртуальных сетей в разделе Ваша среда , как показано на следующем рисунке:
В разделе Топология виртуальной сети отображается верхняя лента для выбора таких параметров, как параметры виртуальной сети (Подключения между виртуальными сетями/Активные/Неактивные), Внешние подключения, Активные потоки и Вредоносные потоки виртуальной сети.
Топологию виртуальной сети можно отфильтровать по подпискам, рабочим областям, группам ресурсов и временному интервалу. Дополнительные фильтры, которые помогают понять поток: тип потока (InterVNet, IntraVNET и т. д.), Направление потока (входящий, исходящий), Состояние потока (разрешенный, заблокированный), Виртуальные сети (целевые и подключенные), Тип подключения (пиринг или шлюз — P2S и S2S) и NSG. Используйте эти фильтры, чтобы сосредоточиться на виртуальных сетях, которые вы хотите подробно изучить.
Вы можете увеличивать и уменьшать масштаб при просмотре топологии виртуальной сети с помощью колеса прокрутки мыши. Щелчок левой кнопкой мыши и перемещение мыши позволяет перетащить топологию в нужном направлении. Вы также можете использовать сочетания клавиш для выполнения следующих действий: A (для перетаскивания влево), D (для перетаскивания вправо), W (для перетаскивания вверх), S (для перетаскивания вниз), + (для увеличения), - (для уменьшения), R (для сброса масштаба).
Топология виртуальной сети показывает распределение трафика в виртуальную сеть по потокам (разрешено/заблокировано/входящему/исходящему/доброкачественному/вредоносному), протоколу приложения и группам безопасности сети, например:
Ищите
Распределение трафика по подсетям, топология, основные источники трафика в подсеть, основные несанкционированные сети, взаимодействующие с подсетью, и основные протоколы приложений, взаимодействующие друг с другом.
- Знание того, какая подсеть взаимодействует с какой подсетью. Если вы видите неожиданные разговоры, вы можете скорректировать конфигурацию.
- Если несанкционированные сети взаимодействуют с подсетью, вы можете исправить это, настроив правила NSG для блокировки несанкционированных сетей.
Топология подсетей показывает верхнюю ленту для выбора таких параметров, как активная/неактивная подсеть, внешние подключения, активные потоки и вредоносные потоки подсети.
Вы можете увеличивать и уменьшать масштаб при просмотре топологии виртуальной сети с помощью колеса прокрутки мыши. Щелчок левой кнопкой мыши и перемещение мыши позволяет перетащить топологию в нужном направлении. Вы также можете использовать сочетания клавиш для выполнения следующих действий: A (для перетаскивания влево), D (для перетаскивания вправо), W (для перетаскивания вверх), S (для перетаскивания вниз), + (для увеличения), - (для уменьшения), R (для сброса масштаба).
Топология подсети показывает распределение трафика в виртуальную сеть по потокам (разрешенные/заблокированные/входящие/исходящие/доброкачественные/вредоносные), протоколу приложения и группам безопасности сети, например:
Ищите
Распределение трафика по шлюзу приложений и балансировщику нагрузки, топология, основные источники трафика, основные несанкционированные сети, взаимодействующие со шлюзом приложений и балансировщиком нагрузки, и основные протоколы взаимодействующих приложений.
Знание того, какая подсеть взаимодействует с каким шлюзом приложений или подсистемой балансировки нагрузки. Если вы заметите неожиданные разговоры, вы можете скорректировать свою конфигурацию.
Если несанкционированные сети взаимодействуют со шлюзом приложений или подсистемой балансировки нагрузки, вы можете исправить это, настроив правила NSG для блокировки несанкционированных сетей.
Просмотр портов и виртуальных машин, получающих трафик из Интернета
Ищите
- Какие открытые порты обмениваются данными через Интернет?
Просмотр сведений о публичных IP-адресах, взаимодействующих с вашим развертыванием
Ищите
- Какие общедоступные IP-адреса взаимодействуют с моей сетью? Каковы данные WHOIS и географическое местоположение всех общедоступных IP-адресов?
- Какие вредоносные IP-адреса отправляют трафик в мои развертывания? Каков тип угрозы и описание угрозы для вредоносных IP-адресов?
В разделе «Информация о публичных IP-адресах» представлена сводка по всем типам общедоступных IP-адресов, присутствующих в сетевом трафике. Выберите интересующий вас тип общедоступного IP-адреса для просмотра сведений. На панели аналитики трафика выберите любой IP-адрес для просмотра информации о нем. Дополнительные сведения о представленных полях данных см. в разделе Схема сведений об общедоступном IP-адресе .
Визуализация тенденций в группах безопасности сети (NSG) и правилах NSG
Ищите
Какие правила NSG/NSG имеют наибольшее количество попаданий на сравнительной диаграмме с распределением потоков?
Каковы основные пары исходной и целевой бесед в соответствии с правилами NSG/NSG?
На следующих изображениях показаны временные тенденции срабатывания правил NSG, а также детали потоков "источник-назначение" для группы безопасности сети.
Быстро определяйте, какие группы безопасности сети и правила NSG пересекаются с вредоносными потоками, и какие основные вредоносные IP-адреса обращаются к вашей облачной среде.
Определите, какие правила NSG/NSG позволяют или блокируют значительный сетевой трафик.
Выбор верхних фильтров для детальной проверки NSG или правил NSG