流量分析常见问题解答 (FAQ)

有关所需先决条件的列表，请参阅流量分析先决条件。

若要了解如何检查分配给用户用于订阅的角色，请参阅使用 Azure 门户列出 Azure 角色分配。 如果看不到角色分配，请联系相应的订阅管理员。

是的，网络安全组可与 Log Analytics 工作区位于不同区域。

可以。

否，流量分析不支持经典网络安全组。

在“流量分析”仪表板的资源选择下拉列表中，必须选择“虚拟网络”资源的资源组，而不是虚拟机或网络安全组的资源组。

是的。 如果选择现有的工作区，请确保已将此工作区迁移到新的查询语言。 如果不想要升级该工作区，则需要创建新的工作区。 有关 Kusto 查询语言 (KQL) 的详细信息，请参阅 Azure Monitor 中的日志查询。

是，可将 Azure 存储帐户置于一个订阅中，并将 Log Analytics 工作区置于另一个订阅中。

是的。 可以将流日志配置为发送到一个位于其他订阅中的存储帐户，前提是你有适当的权限，并且该存储帐户与网络安全组（网络安全组流日志）或虚拟网络（虚拟网络流日志）位于同一区域。 目标存储帐户必须共享网络安全组或虚拟网络的同一 Microsoft Entra 租户。

否。 包括网络安全组（网络安全组流日志）、虚拟网络（虚拟网络流日志）、流日志、存储帐户和 Log Analytics 工作区（如果启用了流量分析）在内的所有资源必须位于同一租户中。

是的。

否。 如果删除用于流日志的存储帐户，Log Analytics 工作区中存储的数据不会受到影响。 你仍然可以在 Log Analytics 工作区中查看历史数据（某些指标会受到影响），但流量分析将不再处理任何新的附加流日志，直到你更新流日志以使用其他存储帐户。

选择支持的区域。 如果选择不支持的区域，则会收到“未找到”错误。 有关详细信息，请参阅流量分析支持的区域。

要使流日志记录正常工作，必须注册 Microsoft.Insights 提供程序。 如果不确定是否已为订阅注册 Microsoft.Insights 提供程序，请参阅 Azure 门户、PowerShell 或 Azure CLI 说明，了解如何注册它。

仪表板首次显示报告最长可能需要花费 30 分钟。 解决方案必须先聚合足够的数据才能派生有意义的见解，然后才能生成报告。

请尝试以下选项：

• 在上部菜单栏中更改时间间隔。
• 在上部菜单栏中选择不同的 Log Analytics 工作区。
• 如果流量分析是最近才启用的，请尝试在 30 分钟后访问它。

如果问题仍未解决，请在 Azure 支持中咨询。

出现此消息的可能原因有：

• 流量分析最近才启用，可能尚未聚合足够的数据，无法获得有意义的见解。
• 你正在使用免费版 Log Analytics 工作区，它超出了配额限制。 可能需要使用容量更大的工作区。

尝试上一问题的建议解决方案。 如果问题仍未解决，请在 Azure 支持中咨询。

仪表板上显示了资源信息，但未显示与流相关的统计信息。 由于资源之间没有通信流，因此可能不显示数据。 请在 60 分钟后重新检查状态。 如果问题仍未解决，而你确信资源之间存在通信流，请在 Azure 支持中咨询。

可使用版本 6.2.1 及以上版本的 Windows PowerShell 配置流量分析。 若要使用 PowerShell 为特定网络安全组配置流日志记录和流量分析，请参阅启用网络安全组流日志和流量分析。

是的，可以使用 Azure 资源管理器模板或 Bicep 文件来配置流量分析。 有关详细信息，请参阅使用 Azure 资源管理器 (ARM) 模板配置 NSG 流日志和使用 Bicep 文件配置 NSG 流日志。

流量分析计量。 计量基于服务对原始流日志数据的处理。 有关详细信息，请参阅网络观察程序定价。
Log Analytics 工作区中引入的增强型日志最多可免费保留 31 天（如果工作区上启用了 Microsoft Sentinel，则最多可以保留 90 天）。 有关详细信息，请参阅 Azure Monitor 定价。

流量分析的默认处理间隔为 60 分钟，但可以选择以 10 分钟的间隔加速处理。 有关详细信息，请参阅流量分析中的数据聚合。

流量分析依靠 Microsoft 内部威胁智能系统来确定某个 IP 是否为恶意 IP。 这些系统利用各种遥测源，例如 Azure 产品和服务、Microsoft 反数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC) 和外部馈送，并在此基础上构建大量情报。 其中一些数据是 Microsoft 内部数据。 如果已知 IP 被标记为恶意 IP，请提出支持票证以了解详细信息。

流量分析没有对警报的内置支持。 但是，由于流量分析数据存储在 Log Analytics 中，因此可以编写自定义查询并对其设置警报。 请执行以下步骤：

• 可以在流量分析中使用 Log Analytics 链接。
• 使用流量分析架构编写查询。
• 选择“新建警报规则”来创建警报。
• 请参阅“新建警报规则”来创建警报。

使用以下查询：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by vm
| render timechart

对于 IP，请使用以下查询：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d 
| make-series TotalTraffic = sum(traffic) default = 0 on FlowStartTime_t from datetime(<time>) to datetime(<time>) step 1 m by IP
| render timechart

对于时间，请使用格式：yyyy-mm-dd 00:00:00

使用以下查询：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand vm = pack_array(VM1_s, VM2_s) to typeof(string)
| where isnotempty(vm) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + utboundBytes_d
| summarize deviation = stdev(traffic) by vm

对于 IP：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowType_s == "S2S" 
//| where <Scoping condition>
| mvexpand IP = pack_array(SrcIP_s, DestIP_s) to typeof(string)
| where isnotempty(IP) 
| extend traffic = AllowedInFlows_d + DeniedInFlows_d + AllowedOutFlows_d + DeniedOutFlows_d // For bytes use: | extend traffic = InboundBytes_d + OutboundBytes_d
| summarize deviation = stdev(traffic) by IP

使用以下查询：

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and TimeGenerated between (startTime .. endTime)
| extend sourceIPs = iif(isempty(SrcIP_s), split(SrcPublicIPs_s," "), pack_array(SrcIP_s)),
destIPs = iif(isempty(DestIP_s), split(DestPublicIPs_s," "), pack_array(DestIP_s))
| mvexpand SourceIp = sourceIPs to typeof(string)
| mvexpand DestIp = destIPs to typeof(string)
| project SourceIp = tostring(split(SourceIp, "|")[0]), DestIp = tostring(split(DestIp, "|")[0]), NSGList_s, NSGRule_s, DestPort_d, L4Protocol_s, FlowStatus_s 
| summarize DestPorts= makeset(DestPort_d) by SourceIp, DestIp, NSGList_s, NSGRule_s, L4Protocol_s, FlowStatus_s

地图页面包含两个主要部分：

• 横幅：地理图顶部的横幅提供了选择流量分布筛选器（例如，部署、来自国家/地区的流量和恶意）的按钮。 选择某按钮时，将在地图上应用相应的筛选器。 例如，如果选择“活动”按钮，则地图会突出显示部署中的活动数据中心。
• 地图：标题下的地图部分显示 Microsoft 数据中心和国家/地区之间的流量分配。

• 地图页面标题部分默认选择“Azure DC”筛选器。
• 若要移至另一个筛选器，请使用 Tab 或 Right arrow 键。 若要向后移动，请使用 Shift+Tab 或 Left arrow 键。 向前导航是从左到右，然后是从上到下。
• 按 Enter 或 Down 箭头键可应用选定的筛选器。 根据选择的筛选器和部署，将在下方的“地图”部分突出显示一个或多个节点。
• 若要在“标题”与“地图”之间切换，请按 Ctrl+F6。

• 在横幅中选择任一筛选器并按 Ctrl+F6 后，焦点将移至地图视图中某个突出显示的节点（Azure 数据中心或国家/地区）。
• 若要移至地图中其他突出显示的节点，请使用 Tab 或 Right arrow 键向前移动。 使用 Shift+Tab 或 Left arrow 键向后移动。
• 若要在地图中选择突出显示的任一节点，可以使用 Enter 或 Down arrow 键。
• 选择任一此类节点后，焦点会转移到节点的“信息工具框”。 默认情况下，焦点会转移到“信息工具框”中的关闭按钮。 若要进一步在“框”视图中移动，可分别使用 Right arrow 和 Left arrow 键向前和向后移动。 按 Enter 的效果与在“信息工具框”中选择聚焦的按钮相同。
• 当焦点位于“信息工具框”时，如果按 Tab，则焦点会移至选定节点所在的同一大洲中的终结点。 使用 Right arrow 和 Left arrow 键可浏览这些终结点。
• 若要移至其他流终结点或大洲群集，请使用 Tab 向前移动，或使用 Shift+Tab 向后移动。
• 焦点位于“大洲群集”时，可以使用 Enter 或 Down 箭头键突出显示大洲群集中的终结点。 若要在大洲群集的信息框中浏览终结点和使用关闭按钮，可分别使用 Right arrow 或 Left arrow 键向前或向后移动。 在任一终结点上，可以使用 Shift+L 切换到从选定节点到终结点的连接线。 可以再次按 Shift+L 以移至所选终结点。

• Esc 键可折叠展开的选定内容。
• 按 Up-arrow 键可执行按 Esc 时所执行的相同操作。 按 Down arrow 键可执行按 Enter 时所执行的相同操作。
• 使用 Shift+Plus 可以放大，使用 Shift+Minus 可以缩小。

虚拟网络拓扑页面包含两个主要部分：

• 标题：虚拟网络拓扑顶部标题提供用于选择流量分布筛选器（例如，“已连接的虚拟网络”、“已断开连接的虚拟网络”和“公共 IP”）的按钮。 选择某按钮时，将在拓扑上应用相应的筛选器。 例如，如果选择“活动”按钮，则拓扑会突出显示部署中的活动虚拟网络。
• 拓扑：标题下的拓扑部分显示虚拟网络之间的流量分布。

• 虚拟网络拓扑页面标题部分默认选择“已连接的 VNet”筛选器。
• 若要移至另一个筛选器，请使用 Tab 键向前移动。 若要向后移动，请使用 Shift+Tab 键。 向前导航是从左到右，然后是从上到下。
• 按 Enter 可应用选定的筛选器。 根据选择的筛选器和部署，将在下方的“拓扑”部分突出显示一个或多个节点（虚拟网络）。
• 若要在“标题”与“拓扑”之间切换，请按 Ctrl+F6。

• 在标题中选择任一筛选器并按 Ctrl+F6 后，焦点移至拓扑视图中某个突出显示的节点 (VNet)。
• 若要移至拓扑视图中其他突出显示的节点，请使用 Shift+Right arrow 键向前移动。
• 在突出显示的节点上，焦点会移至节点的“信息工具框”。 默认情况下，焦点会移至“信息工具框”中的“更多详细信息”按钮 。 若要进一步在“框”视图中移动，可分别使用 Right arrow 和 Left arrow 键向前和向后移动。 按 Enter 的效果与在“信息工具框”中选择聚焦的按钮相同。
• 选择任何此类节点时，可通过按 Shift+Left arrow 键逐个访问其所有连接。 焦点将移至该连接的“信息工具框”。 在任何时候，都可通过再次按 Shift+Right arrow，将焦点移回该节点。

虚拟子网拓扑页面包含两个主要部分：

• 标题：虚拟子网拓扑顶部的标题提供用于选择流量分布筛选器（例如“活动”、“中型”和“网关子网”）的按钮。 选择某按钮时，将在拓扑上应用相应的筛选器。 例如，如果选择“活动”按钮，则拓扑会突出显示部署中的活动虚拟子网。
• 拓扑：标题下的拓扑部分显示虚拟子网络之间的流量分布。

• 虚拟子网拓扑页面标题部分默认选择“子网”筛选器。
• 若要移至另一个筛选器，请使用 Tab 键向前移动。 若要向后移动，请使用 Shift+Tab 键。 向前导航是从左到右，然后是从上到下。
• 按 Enter 可应用选定的筛选器。 根据选择的筛选器和部署，将在“拓扑”部分下面突出显示一个或多个节点（子网）。
• 若要在“标题”与“拓扑”之间切换，请按 Ctrl+F6。

• 在标题中选择任一筛选器并按 Ctrl+F6 后，焦点移至拓扑视图中某个突出显示的节点（子网）。
• 若要移至拓扑视图中其他突出显示的节点，请使用 Shift+Right arrow 键向前移动。
• 在突出显示的节点上，焦点会移至节点的“信息工具框”。 默认情况下，焦点会移至“信息工具框”中的“更多详细信息”按钮 。 若要进一步在“框”视图中移动，可分别使用 Right arrow 和 Left arrow 键向前和向后移动。 按 Enter 的效果与在“信息工具框”中选择聚焦的按钮相同。
• 选择任何此类节点时，可通过按 Shift+Left arrow 键逐个访问其所有连接。 焦点将移至该连接的“信息工具框”。 在任何时候，都可通过再次按 Shift+Right arrow，将焦点移回该节点。