Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
流量分析是一种基于云的解决方案,可用于了解云网络上的用户和应用程序活动。 具体而言,流量分析会分析Azure Network Watcher流日志,以便深入了解Azure云中的流量流。 使用流量分析可以:
可视化Azure订阅中的网络活动。
识别热点。
使用有关以下组件的信息来识别威胁,以保护网络:
- 打开端口
- 尝试访问 Internet 的应用程序
- 连接到恶意网络的虚拟机 (VM)
通过了解跨Azure区域和 Internet 的流量流模式,优化网络部署的性能和容量。
查明可能导致网络连接失败的不当网络配置。
为何要使用流量分析?
在监控、管理和了解自己的网络,以确保不受损的安全性、合规性和性能是至关重要的。 在保护和优化自己的环境之前,了解该环境至关重要。 你通常需要知道网络的当前状态,包括以下信息:
- 谁正在连接到网络?
- 他们从哪个位置进行连接?
- 向 Internet 开放了哪些端口?
- 预期的网络行为是什么?
- 是否存在异常网络行为?
- 流量是否突然增长?
云网络不同于本地企业网络。 在本地网络中,路由器和交换机支持 NetFlow 和其他类似协议。 当 IP 网络流量进入或退出网络接口时,你可以使用这些设备来收集其相关数据。 通过分析流量流数据,可以生成网络流量流和流量大小的分析数据。
使用Azure虚拟网络时,流日志会收集有关网络的数据。 这些日志提供有关通过网络安全组或虚拟网络的传入和传出 IP 流量的信息。 流量分析分析原始流日志,并将日志数据与有关安全性、拓扑和地理位置的情报相结合。 然后,流量分析会为您提供在您的环境中流量的洞察。
流量分析提供以下信息:
- 通信最活跃的主机
- 通信最活跃的应用程序协议
- 最活跃会话的主机对
- 允许和阻止的流量
- 入站和出站流量
- 开放的 Internet 端口
- 拦截最多流量的规则
- 每个Azure数据中心、虚拟网络、子网或流氓网络的流量分布
关键组件
要使用流量分析,需要以下组件:
Network Watcher:一种区域服务,可用于在Azure的网络方案级别监视和诊断条件。 可以使用Network Watcher在订阅中打开和关闭流日志。 有关详细信息,请参阅 什么是 Azure Network Watcher? 和 启用或禁用 Azure Network Watcher。
Log Analytics:Azure门户中用于处理Azure Monitor日志数据的工具。 Azure Monitor日志是一项Azure服务,用于收集监视数据并将数据存储在中央存储库中。 此数据可以包括事件、性能数据或通过 Azure API 提供的自定义数据。 收集数据后,可以分析、导出数据,或根据数据发出警报。 监视应用程序(如网络性能监视器和流量分析)使用Azure Monitor日志作为基础。 有关详细信息,请参阅 Azure Monitor Logs。 Log Analytics提供了在日志上编辑和运行查询的方法。 还可以使用此工具分析查询结果。 有关详细信息,请参阅《Azure Monitor 中的日志分析概述》。
Log Analytics工作区:存储与Azure帐户相关的Azure Monitor日志数据的环境。 有关Log Analytics工作区的详细信息,请参阅 Log Analytics 工作区的Overview 和 创建Log Analytics工作区。
此外,如果使用流量分析分析网络安全组流日志,需要为流日志记录启用网络安全组;如果使用流量分析分析虚拟网络流日志,需要为流日志记录启用虚拟网络:
网络安全组(NSG):一种资源,包含一系列安全规则,用于允许或拒绝连接到 Azure 虚拟网络的资源的网络流量。 网络安全组可以与子网、附加到虚拟机(Resource Manager)的网络接口(NIC)或单个虚拟机(经典)相关联。 有关详细信息,请参阅网络安全组概述。
网络安全组流日志:记录了有关通过网络安全组传入和传出 IP 流量的信息。 网络安全组流日志是以 JSON 格式写入的,其中包括:
- 根据每个规则的出站和入站流。
- 该流所适用的 NIC。
- 有关流的信息,例如源和目标 IP 地址、源和目标端口,以及协议。
- 流量的状态,例如允许或拒绝。
有关详细信息,请参阅网络安全组流日志概述和创建网络安全组流日志。
Virtual 网络(VNet):一种资源,使许多类型的Azure资源能够安全地相互通信、Internet 和本地网络。 有关详细信息,请参阅虚拟网络概述。
虚拟网络流日志:记录了有关通过虚拟网络传入和传出 IP 流量的信息。 虚拟网络流日志是以 JSON 格式写入的,其中包括:
- 出站流和入站流。
- 有关流的信息,例如源和目标 IP 地址、源和目标端口,以及协议。
- 流量的状态,例如允许或拒绝。
有关详细信息,请参阅虚拟网络流日志概述和创建虚拟网络流日志。 若要了解网络安全组流日志与虚拟网络流日志之间的差异,请参阅网络安全组流日志与虚拟网络流日志的对比。
注释
要使用流量分析,您必须具有所需的权限。 有关更多信息,请参阅 流量分析权限。
流量分析的工作原理
流量分析检查原始流日志。 然后,它通过聚合具有共同源 IP 地址、目标 IP 地址、目标端口和协议的流来减少日志量。
例如,主机 1 的 IP 地址为 10.10.10.10,主机 2 的 IP 地址为 10.10.20.10。 假设这两个主机在一小时内进行了 100 次通信。 在这种情况下,原始流日志将包含 100 个条目。 如果对于这 100 次交互中的每次交互,这两个主机在端口 80 上使用 HTTP 协议,则缩减后的日志只包含一个条目。 该条目指出,在一小时内,主机 1 和主机 2 在端口 80 上使用 HTTP 协议通信了 100 次。
减少的日志通过地理、安全性和拓扑信息增强,然后存储在Log Analytics工作区中。 下图显示了数据流:
可用性
下表列出了支持的区域,可在其中为流日志启用流量分析,以及可以使用的Log Analytics工作区。
- 由世纪互联运营的 Azure
| 区域 | 虚拟网络流日志 | 流量分析 | Log Analytics工作区 |
|---|---|---|---|
| 中国东部 | ✓ | ||
| 中国东部 2 | ✓ | ✓ | ✓ |
| 中国东部 3 | ✓ | ✓ | |
| 中国北部 | ✓ | ✓ | ✓ |
| 中国北部 2 | ✓ | ✓ | ✓ |
| 中国北部 3 | ✓ | ✓ |
注释
如果区域中支持流日志,但该区域中不支持Log Analytics工作区进行流量分析,则可以使用来自任何其他受支持区域的Log Analytics工作区。 在这种情况下,使用来自另一个区域的Log Analytics工作区不会产生任何其他跨区域数据传输费用。
定价
有关定价详细信息,请参阅 Network Watcher 定价和 Azure Monitor 定价。
流量分析 FAQ
要获取有关流量分析的最常见问题的解答,请参阅流量分析常见问题解答。