Este artigo fornece respostas para as perguntas mais frequentes sobre o Observador de Rede do Azure.
Geral
O que é o Observador de Rede?
O Inspetor de Rede fornece um conjunto de ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos IaaS (Infraestrutura como Serviço), que incluem máquinas virtuais, redes virtuais, gateways de aplicativos, balanceadores de carga e outros recursos em uma rede virtual do Azure. Não é uma solução para monitorar a infraestrutura PaaS (Platform-as-a-Service) ou obter análises web/móveis.
Que ferramentas o Observador de Rede oferece?
O Observador de Rede fornece três conjuntos principais de recursos:
- Monitorização
- A vista de topologia mostra-lhe os recursos na sua rede virtual e as relações entre eles.
- O monitor de ligação permite monitorizar a conectividade e a latência entre extremidades dentro e fora do Azure.
- Ferramentas de diagnóstico de rede
- A verificação do fluxo de IP permite detetar problemas de filtragem de tráfego no nível da máquina virtual.
- O diagnóstico de NSG permite detetar problemas de filtragem de tráfego numa máquina virtual, num conjunto de dimensionamento de máquinas virtuais ou ao nível de um gateway de aplicação.
- O próximo salto ajuda você a verificar rotas de tráfego e detetar problemas de roteamento.
- Resolução de problemas de ligação permite uma verificação única da conectividade e da latência entre uma máquina virtual e o anfitrião do Bastion, o gateway de aplicações ou outra máquina virtual.
- A captura de pacotes permite capturar o tráfego da máquina virtual.
- Resolução de problemas de VPN executa várias verificações de diagnóstico nos seus gateways e ligações VPN para ajudar a diagnosticar problemas.
- Trânsito
- Os registos de fluxo da rede virtual e os registos de fluxo dos grupos de segurança de rede permitem registar o tráfego de rede que passa pelas suas redes virtuais e pelos grupos de segurança de rede (NSGs), respetivamente.
- A análise de tráfego processa os dados do log de fluxo do grupo de segurança de rede, permitindo visualizar, consultar, analisar e entender o tráfego da rede.
Para obter informações mais detalhadas, consulte Visão geral do Inspetor de Rede.
Como funcionam os preços do Observador de Rede?
Consulte Preços do Observador de Rede para obter detalhes de preços sobre diferentes componentes do Observador de Rede.
Em que regiões o Observador de Rede é atualmente suportado e disponível?
Consulte Regiões do Observador de Rede para saber mais sobre as regiões que suportam o Observador de Rede.
Que permissões são necessárias para utilizar o Observador de Rede?
Consulte Permissões RBAC do Azure necessárias para usar o Inspetor de Rede para obter uma lista detalhada das permissões necessárias para cada um dos recursos do Inspetor de Rede.
Como posso ativar o Observador de Rede?
O serviço Inspetor de Rede é ativado automaticamente para cada assinatura. Tem de ativar manualmente o Observador de Rede se tiver optado por não ativar automaticamente o Observador de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.
O que é o modelo de implantação do Observador de Rede?
O recurso principal do Observador de Rede é implementado com uma instância única em cada região. Formato de nomenclatura padrão: NetworkWatcher_RegionName. Exemplo: NetworkWatcher_centralus é o recurso Observador de Rede para a região "EUA Central". Você pode personalizar o nome da instância do Inspetor de Rede usando PowerShell ou API REST.
Por que o Azure permite apenas uma instância do Observador de Rede por região?
O Observador de Rede só precisa ser ativado uma vez por região e por assinatura para que seus recursos funcionem. O Inspetor de Rede é habilitado em uma região criando uma instância do Inspetor de Rede nessa região.
Como posso gerir o recurso Observador de Rede?
O recurso Inspetor de Rede representa o serviço de back-end para o Inspetor de Rede, que é totalmente gerenciado pelo Azure. No entanto, você pode criar ou excluir o recurso Inspetor de Rede para habilitá-lo ou desabilitá-lo em uma região específica. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.
Posso mover a instância do Inspetor de Rede de uma região para outra?
Não, não há suporte para mover o recurso Inspetor de Rede ou qualquer um de seus recursos filhos entre regiões. Para obter mais informações, consulte Suporte a operações de movimentação para recursos de rede.
Posso mover a instância do Inspetor de Rede de um grupo de recursos para outro?
Sim, há suporte para mover o recurso Inspetor de Rede entre grupos de recursos. Para obter mais informações, consulte Suporte para operações de movimentação de recursos de rede.
O que é o NetworkWatcherRG?
NetworkWatcherRG é um grupo de recursos que é criado automaticamente para recursos do Observador de Rede. Por exemplo, as instâncias regionais do Inspetor de Rede e os recursos de log de fluxo do grupo de segurança de rede são criados no grupo de recursos NetworkWatcherRG . Você pode personalizar o nome do grupo de recursos do Inspetor de Rede usando PowerShell, CLI do Azure ou API REST.
O Observador de Rede armazena dados de clientes?
O Observador de Rede do Azure não armazena dados do cliente, exceto para o monitor de Conexão. O monitor de conexão armazena dados do cliente, que são armazenados automaticamente pelo Inspetor de Rede em uma única região para atender aos requisitos de residência de dados na região.
Quais são os limites de recursos no Observador de Rede?
O Observador de Rede tem os seguintes limites:
| Recurso | Limite |
|---|---|
| Instâncias do Inspetor de Rede por região e por assinatura | 1 (Uma instância em uma região para permitir o acesso ao serviço na região) |
| Monitores de ligação por região e por subscrição | 100 |
| Número máximo de grupos de testes por monitor de ligações | 20 |
| Número máximo de origens e destinos por monitor de ligações | 100 |
| Número máximo de configurações de teste por cada monitor de ligação | 20 |
| Sessões de captura de pacotes por região, por subscrição | 10.000 (Apenas número de sessões, capturas não salvas) |
| Operações de resolução de problemas de VPN por subscrição | 1 (Número de operações ao mesmo tempo) |
Disponibilidade e redundância do serviço
A zona do Observador de Rede é resiliente?
Sim, o serviço Inspetor de Rede é resiliente a zonas por padrão.
Como configuro o serviço Inspetor de Rede para ser resiliente à zona?
Nenhuma configuração é necessária para habilitar a resiliência de zona. A resiliência de zona para recursos do Inspetor de Rede está disponível por padrão e é gerenciada pelo próprio serviço.
Agente do Observador de Rede
Por que preciso instalar o Observador de Rede Agent?
O Agente Inspetor de Rede é necessário para qualquer recurso do Inspetor de Rede que gere ou intercete tráfego de uma máquina virtual.
Que funcionalidades requerem o Observador de Rede Agent?
Os recursos Monitor de conexão, Captura de pacotes e Solução de problemas de conexão (teste de conectividade) exigem a presença da extensão Observador de Rede.
Qual é a versão mais recente do Observador de Rede Agent?
A versão mais recente da extensão Observador de Rede é1.4.3914.3... Para obter mais informações, consulte Atualizar a extensão do Observador de Rede do Azure para a versão mais recente.
Quais portas o Observador de Rede Agent usa?
-
Linux: o Observador de Rede Agent usa portas disponíveis a partir de
port 50000até chegar aoport 65535. - Windows: o Agente Inspetor de Rede usa as portas com as quais o sistema operacional responde quando consultado por portas disponíveis.
Com quais endereços IP o Observador de Rede Agent se comunica?
O Agente do Observador de Rede requer conectividade TCP de saída para 169.254.169.254 através de port 80 e para 168.63.129.16 através de port 8037. O agente usa esses endereços IP para se comunicar com a plataforma Azure.
Monitor de ligação
O monitor de conexão suporta VMs clássicas?
Não, o monitor de ligação não suporta VMs clássicas. Para obter mais informações, consulte Migrar recursos IaaS do clássico para o Azure Resource Manager.
E se a minha topologia não estiver enriquecida ou se os meus hops tiverem informação em falta?
A topologia pode ser decorada de não-Azure para o Azure somente se o recurso do Azure de destino e o recurso do monitor de conexão estiverem na mesma região.
O que acontece se a criação do monitor de conexão falhar com o seguinte erro: "Não permitimos a criação de pontos de extremidade diferentes para a mesma VM"?
A mesma VM do Azure não pode ser usada com configurações diferentes no mesmo monitor de conexão. Por exemplo, não há suporte para o uso da mesma VM com um filtro e sem um filtro no mesmo monitor de conexão.
O que acontece se o motivo da falha no teste for "Nada a exibir"?
Os problemas apresentados no painel do monitor de ligação são detetados durante a deteção da topologia ou a exploração de saltos. Pode haver casos em que o valor limite definido para a % de perda ou o RTT é atingido, mas não sejam encontrados problemas nos saltos.
Ao migrar um monitor de conexão existente (clássico) para o monitor de conexão mais recente, o que acontece se os testes de ponto de extremidade externo forem migrados apenas com o protocolo TCP?
Não há nenhuma opção de seleção de protocolo no monitor de conexão (clássico). Os testes no monitor de conexão (clássico) usam apenas o protocolo TCP, e é por isso que, durante a migração, criamos uma configuração TCP em testes no novo monitor de conexão.
Há alguma limitação para usar o Azure Monitor e o Arc Agents com o monitor de conexão?
Atualmente, existe uma restrição regional quando um ponto final utiliza agentes do Azure Monitor e do Arc com o espaço de trabalho do Log Analytics associado. Como resultado desta limitação, o espaço de trabalho do Log Analytics associado tem de estar na mesma região que o ponto final do Arc. Os dados ingeridos em espaços de trabalho individuais podem ser combinados numa única vista; consulte Consultar dados em espaços de trabalho, aplicações e recursos do Log Analytics no Azure Monitor.
Registos de fluxo
Para que serve o registo de fluxos?
Os registos de fluxo permitem registar informações de fluxo de cinco tuplos relativas ao tráfego IP do Azure que passa por um grupo de segurança de rede ou por uma rede virtual do Azure. Os logs de fluxo brutos são gravados em uma conta de armazenamento do Azure. A partir daí, você pode processá-los, analisá-los, consultá-los ou exportá-los conforme necessário.
Os logs de fluxo afetam a latência ou o desempenho da rede?
Os dados do log de fluxo são coletados fora do caminho do tráfego de rede, portanto, não afetam a taxa de transferência ou a latência da rede. Você pode criar ou excluir logs de fluxo sem qualquer risco de impacto no desempenho da rede.
Qual é a diferença entre os registos de fluxo do NSG e os diagnósticos do NSG?
Os logs de fluxo do grupo de segurança de rede registram o tráfego que flui através de um grupo de segurança de rede. Por outro lado, o diagnóstico NSG retorna todos os grupos de segurança de rede que seu tráfego está atravessando e as regras de cada grupo de segurança de rede que são aplicadas a esse tráfego. Use o diagnóstico NSG para verificar se as regras do grupo de segurança de rede estão sendo aplicadas conforme o esperado.
Posso registar o tráfego ESP e AH utilizando os registos de fluxo do grupo de segurança de rede?
Não, os logs de fluxo do grupo de segurança de rede não suportam protocolos ESP e AH.
Posso registrar o tráfego ICMP usando logs de fluxo?
Não, os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual não suportam o protocolo ICMP.
Posso excluir um grupo de segurança de rede que tenha o log de fluxo habilitado?
Sim. O recurso de log de fluxo associado também será excluído. Os dados de registo de fluxo são mantidos na conta de armazenamento durante o período de retenção configurado no registo de fluxo.
Posso mover um grupo de segurança de rede que tenha o log de fluxo habilitado para um grupo de recursos ou assinatura diferente?
Sim, mas você deve excluir o recurso de log de fluxo associado. Depois de migrar o grupo de segurança de rede, pode recriar os registos de fluxo para ativar o registo de fluxo nesse grupo.
Posso usar uma conta de armazenamento em uma assinatura diferente do grupo de segurança de rede ou da rede virtual para a qual o log de fluxo está habilitado?
Sim, você pode usar uma conta de armazenamento de uma assinatura diferente, desde que essa assinatura esteja na mesma região do grupo de segurança de rede e associada ao mesmo locatário Microsoft Entra do grupo de segurança de rede ou da assinatura da rede virtual.
Como posso garantir que a Análise de Tráfego tem visibilidade sobre os recursos dentro de uma subscrição?
Deve ativar pelo menos um Registo de Fluxo de Rede Virtual na subscrição. A Análise de Tráfego processa dados apenas a partir dos registos de fluxo ativados, pelo que configurar um registo de fluxo garante que a Análise de Tráfego pode aceder e analisar a atividade da rede para os recursos dessa subscrição.
Como posso utilizar registos de fluxo com uma conta de armazenamento por detrás de uma firewall?
Para usar uma conta de armazenamento atrás de um firewall, você precisa permitir que serviços confiáveis do Azure acessem sua conta de armazenamento:
- Vá para a conta de armazenamento digitando o nome da conta de armazenamento na caixa de pesquisa na parte superior do portal.
- Em Segurança + rede, selecione Rede e, em seguida, selecione Firewalls e redes virtuais.
- Em Acesso à rede pública, selecione Habilitado a partir de redes virtuais e endereços IP selecionados. Em seguida, em Exceções, marque a caixa ao lado de Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.
- Ative os registos de fluxo criando um registo de fluxo para o recurso de destino com a conta de armazenamento. Para obter mais informações, consulte Criar um log de fluxo.
Você pode verificar os logs de armazenamento após alguns minutos. Você verá um TimeStamp atualizado ou um novo arquivo JSON criado.
Quantas regras de política de retenção uma conta de armazenamento pode ter?
Atualmente, uma conta de armazenamento suporta 100 regras, e cada regra pode incluir 10 prefixos de blobs. Se você atingir o limite, poderá definir a política de retenção como 0 ao habilitar novos logs de fluxo de rede virtual e, em seguida, adicionar manualmente uma regra de retenção para a assinatura.
Para criar uma regra de subscrição de política de retenção, siga estes passos:
- Vá para a conta de armazenamento digitando o nome da conta de armazenamento na caixa de pesquisa na parte superior do portal.
- Em Gerenciamento de dados, selecione Gerenciamento do ciclo de vida.
- Selecione + Adicionar regra.
- Na seção Detalhes, selecione as seguintes configurações: Escopo da regra:Limitar blobs com filtros, Tipo de blob:Blobs de bloco e Subtipo de blob:Blobs de base.
- Na secção Blobs básicos, configure as suas definições de retenção.
- Na seção Conjunto de filtros , formate o prefixo Blob da seguinte forma:
"insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG" - Selecione Adicionar.
O que acontece se eu tiver uma regra de política de retenção de log de fluxo e uma regra de nível de assinatura ao mesmo tempo?
A regra com um período de retenção mais curto tem precedência.
Por que vejo alguns erros 403 nos logs de atividade da conta de armazenamento?
O Observador de Rede tem um mecanismo de fallback integrado que ele usa ao se conectar a uma conta de armazenamento atrás de um firewall (firewall habilitado). Ele tenta se conectar à conta de armazenamento usando uma chave e, se isso falhar, alterna para um token. Nesse caso, um erro 403 é registrado no log de atividades da conta de armazenamento.
O Observador de Rede pode enviar dados de logs de fluxo para uma conta de armazenamento habilitada com o Private Endpoint?
Sim, o Observador de Rede suporta o envio de dados de registos de fluxo para uma conta de armazenamento ativada para um ponto final privado.
Como utilizar registos de fluxo com uma conta de armazenamento protegida por um ponto final de serviço?
Os registos de fluxo são compatíveis com extremidades de serviço sem necessitarem de qualquer configuração adicional. Para obter mais informações, consulte Ativar um ponto final de serviço.
Qual é a diferença entre as versões 1 e 2 dos logs de fluxo?
A versão 2 dos registos de fluxo introduz o conceito de estado de fluxo e armazena informações sobre bytes e pacotes transmitidos. Para obter mais informações, consulte formato do registo de fluxo do grupo de segurança de rede.
Posso criar um registo de fluxo para um grupo de segurança de rede que tem um bloqueio só de leitura?
Não, um bloqueio read-only num grupo de segurança de rede impede a criação do registo de fluxo correspondente do grupo de segurança de rede.
Posso criar um log de fluxo para um grupo de segurança de rede que tenha um bloqueio de não exclusão?
Sim, um bloqueio de não eliminação no grupo de segurança de rede não impede a criação nem a modificação do registo de fluxo correspondente do grupo de segurança de rede.
Posso automatizar os logs de fluxo do grupo de segurança de rede?
Sim, você pode automatizar os logs de fluxo do grupo de segurança de rede por meio de modelos do Azure Resource Manager (modelos ARM). Para obter mais informações, consulte Configurar logs de fluxo do NSG usando um modelo do Azure Resource Manager (ARM).
Análise de tráfego
Posso habilitar logs de fluxo para recursos que estão em regiões diferentes da região do meu espaço de trabalho?
Sim, as redes virtuais e os grupos de segurança de rede podem estar em regiões diferentes da região do espaço de trabalho do Log Analytics.
Vários grupos de segurança de rede podem ser configurados em um único espaço de trabalho?
Sim.
Por que a análise de tráfego não exibe dados para meus grupos de segurança de rede habilitados para análise de tráfego?
Na lista suspensa de seleção de recursos no painel de análise de tráfego, o grupo de recursos do recurso Rede Virtual deve ser selecionado, não o grupo de recursos da máquina virtual ou do grupo de segurança de rede.
Por que alguns recursos aparecem como "Desconhecido" na análise de tráfego?
A análise de tráfego executa uma verificação de descoberta de recursos a cada 6 horas para identificar novas VMs, NICs, redes virtuais e sub-redes. Quando uma nova VM ou NIC é criada após o ciclo de descoberta mais recente e os dados de fluxo são coletados antes da próxima descoberta, a análise de tráfego ainda não pode associar o tráfego a um recurso conhecido. Como resultado, esses recursos são temporariamente rotulados como desconhecidos na visualização de análise.
Posso restringir o acesso público ao recurso do endpoint de coleta de dados (DCE) criado pela análise de tráfego?
Sim, você pode desabilitar o acesso público ao recurso de ponto de extremidade de coleta de dados (DCE) para bloquear o tráfego público de entrada para ele. A ingestão continua a funcionar sem associar o recurso DCE a um escopo de Link Privado do Azure Monitor.
Posso usar um espaço de trabalho existente?
Sim. Se você selecionar um espaço de trabalho existente, verifique se ele foi migrado para o novo idioma de consulta. Se você não quiser atualizar o espaço de trabalho, precisará criar um novo. Para obter mais informações sobre Kusto Query Language (KQL), consulte Consultas de log no Azure Monitor.
Minha conta de armazenamento do Azure pode estar em uma assinatura e meu espaço de trabalho do Log Analytics estar em uma assinatura diferente?
Sim, sua conta de armazenamento do Azure pode estar em uma assinatura e seu espaço de trabalho do Log Analytics pode estar em uma assinatura diferente.
Posso armazenar logs brutos em uma assinatura diferente da assinatura usada para grupos de segurança de rede ou redes virtuais?
Sim. Você pode configurar logs de fluxo a serem enviados para uma conta de armazenamento localizada em uma assinatura diferente, desde que tenha os privilégios apropriados e que a conta de armazenamento esteja localizada na mesma região que o grupo de segurança de rede (logs de fluxo do grupo de segurança de rede) ou a rede virtual (logs de fluxo de rede virtual). A conta de armazenamento de destino deve compartilhar o mesmo locatário do Microsoft Entra do grupo de segurança de rede ou rede virtual.
Meus recursos de log de fluxo e contas de armazenamento podem estar em locatários diferentes?
Não. Todos os recursos devem estar no mesmo locatário, incluindo grupos de segurança de rede (logs de fluxo de grupo de segurança de rede), redes virtuais (logs de fluxo de rede virtual), logs de fluxo, contas de armazenamento e espaços de trabalho do Log Analytics (se a análise de tráfego estiver habilitada).
Posso configurar uma política de retenção diferente para a conta de armazenamento do espaço de trabalho do Log Analytics?
Sim.
Ao visualizar minhas pastas de trabalho do Traffic Analytics, meus dados não são carregados devido a "erro de pouca memória". Como posso corrigir isso para exibir meus dados na pasta de trabalho?
As pastas de trabalho do Traffic Analytics são alimentadas por consultas do Log Analytics. Se a consulta exceder os limites para análise de registos, a pasta de trabalho poderá apresentar erros de memória baixa. Para melhorar o desempenho e reduzir erros de pouca memória, os utilizadores podem usar clusters dedicados de Log Analytics.
Perderei os dados armazenados no espaço de trabalho do Log Analytics se excluir a conta de armazenamento usada para o registro de fluxo?
Não. Se você excluir a conta de armazenamento usada para logs de fluxo, os dados armazenados no espaço de trabalho do Log Analytics não serão afetados. Você ainda pode exibir dados históricos no espaço de trabalho do Log Analytics (algumas métricas serão afetadas), mas a análise de tráfego não processará mais novos logs de fluxo até que você atualize os logs de fluxo para usar uma conta de armazenamento diferente.
E se eu não conseguir configurar um grupo de segurança de rede para análise de tráfego devido a um erro "Não encontrado"?
Selecione uma região suportada. Se você selecionar uma região não suportada, receberá um erro "Não encontrado". Para obter mais informações, consulte Regiões suportadas pela análise de tráfego.
E se eu obtiver o estado: "Falha ao carregar" na página de registos de fluxo?
O Microsoft.Insights provedor deve estar registrado para que o log de fluxo funcione corretamente. Se não tiveres certeza se o Microsoft.Insights provedor está registrado para a tua assinatura, consulta as instruções de gestão dos logs de fluxo do NSG para saber como registrá-lo.
Configurei a solução. Por que não estou vendo nada no painel?
O painel pode levar até 30 minutos para mostrar relatórios pela primeira vez. A solução deve primeiro agregar dados suficientes para obter insights significativos e, em seguida, gerar relatórios.
E se eu receber esta mensagem: "Não foi possível encontrar nenhum dado neste espaço de trabalho para o intervalo de tempo selecionado. Tente alterar o intervalo de tempo ou selecione um espaço de trabalho diferente."?
Tente as seguintes opções:
- Altere o intervalo de tempo na barra superior.
- Selecione um espaço de trabalho diferente do Log Analytics na barra superior.
- Tente acessar a análise de tráfego após 30 minutos, se ela tiver sido ativada recentemente.
E se eu receber esta mensagem: "Analisando seus logs de fluxo NSG pela primeira vez. Este processo pode levar de 20 a 30 minutos para ser concluído. Volte depois de algum tempo."?
Poderá ver esta mensagem porque:
- A análise de tráfego foi habilitada recentemente e pode ainda não ter agregado dados suficientes para obter insights significativos.
- Você está usando a versão gratuita do espaço de trabalho do Log Analytics e ela excedeu os limites de cota. Talvez seja necessário usar um espaço de trabalho com uma capacidade maior.
Experimente as soluções sugeridas para a pergunta anterior. Se os problemas persistirem, levante preocupações nas Perguntas e Respostas da Microsoft.
E se eu receber esta mensagem: "Parece que temos dados de recursos (topologia) e nenhuma informação de fluxos. Para obter mais informações, clique aqui para ver os dados dos recursos e consulte as perguntas frequentes."?
Você está vendo as informações de recursos no painel; no entanto, não existem estatísticas relacionadas com os fluxos. Os dados podem não estar presentes devido à ausência de fluxos de comunicação entre os recursos. Aguarde 60 minutos e verifique novamente o status. Se o problema persistir e você tiver certeza de que existem fluxos de comunicação entre recursos, levante preocupações nas Perguntas e Respostas da Microsoft.
Qual é o preço da análise de tráfego?
A análise de tráfego é monitorizada. A medição é baseada no processamento de dados brutos de log de fluxo pelo serviço. Para obter mais informações, consulte Preços do Monitor de Rede.
Os logs aprimorados ingeridos no espaço de trabalho do Log Analytics podem ser retidos gratuitamente por até os primeiros 31 dias (ou 90 dias se o Microsoft Sentinel estiver habilitado no espaço de trabalho). Para obter mais informações, consulte Preços do Azure Monitor.
Porque é que vejo transações adicionais de armazenamento quando os registos de fluxo NSG e o Traffic Analytics estão ativados?
Quando os registos de fluxo NSG são ativados, os registos de fluxo são escritos na conta de Armazenamento do Azure configurada. Para gerar informações analíticas de tráfego, o Observador de Rede do Azure realiza operações de back-end sobre estes dados armazenados para processar, agregar e enriquecer registos de fluxo. Estas interações de armazenamento backend são necessárias para funcionalidades analíticas e ocorrem mesmo que não consulte ativamente os dados. Pode controlar o impacto global de custos ajustando o âmbito do registo de fluxo, a retenção e se a Análise de Tráfego está ativada. Para mais informações, consulte os preços dos registos de fluxo NSG.
Com que frequência a análise de tráfego processa dados?
O intervalo de processamento padrão da análise de tráfego é de 60 minutos, no entanto, você pode selecionar o processamento acelerado em intervalos de 10 minutos. Para obter mais informações, consulte Agregação de dados na análise de tráfego.
Quais são os outros recursos criados com o meu espaço de trabalho?
A análise de tráfego cria e gerencia recursos de regra de coleta de dados (DCR) e ponto de extremidade de coleta de dados (DCE) no mesmo grupo de recursos do espaço de trabalho, prefixados com NWTA. Se realizar qualquer operação nestes recursos, a análise de tráfego poderá não funcionar conforme esperado. Para obter mais informações, consulte Agregação de dados na análise de tráfego. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.
Posso aplicar bloqueios aos recursos DCE e DCR criados pela análise de tráfego?
Não é recomendável aplicar bloqueios aos recursos DCR e DCE criados pela análise de tráfego, pois esses recursos são gerenciados pelo serviço. Os recursos bloqueados não são limpos após a exclusão dos logs de fluxo relacionados. Se realizar qualquer operação nestes recursos, a análise de tráfego poderá não funcionar conforme esperado. Para obter mais informações, consulte Agregação de dados na análise de tráfego.
Como a análise de tráfego decide que um IP é malicioso?
A análise de tráfego depende dos sistemas internos de inteligência de ameaças da Microsoft para considerar um IP como malicioso. Esses sistemas usam diversas fontes de telemetria, como produtos e serviços da Microsoft, a Microsoft Digital Crimes Unit (DCU), o Centro de Resposta de Segurança da Microsoft (MSRC) e feeds externos e criam inteligência sobre isso. Alguns desses dados são internos da Microsoft. Se um IP conhecido está a ser sinalizado como malicioso, crie um pedido de suporte para saber os detalhes.
Como posso definir alertas sobre dados de análise de tráfego?
A análise de tráfego não tem suporte integrado para alertas. No entanto, como os dados de análise de tráfego são armazenados no Log Analytics, você pode escrever consultas personalizadas e definir alertas sobre elas. Siga estes passos:
- Você pode usar o link do Log Analytics na análise de tráfego.
- Use o esquema de análise de tráfego para escrever suas consultas.
- Selecione Nova regra de alerta para criar o alerta.
- Consulte Criar uma nova regra de alerta para criar o alerta.
A análise de tráfego é suportada em um espaço de trabalho do Log Analytics com o Perímetro de Segurança de Rede habilitado?
Não, atualmente não é suportado. Se um espaço de trabalho do Log Analytics for implantado atrás de um perímetro de segurança de rede, a análise de tráfego não poderá ingerir dados dele.
Ferramentas de diagnóstico de rede
Existem limitações com as ferramentas de diagnóstico de rede para o Application Gateway?
Sim. A solução de problemas de conexão e o diagnóstico NSG não oferecem suporte a implantações privadas do Application Gateway. Para obter mais informações, consulte Implantação do Private Application Gateway.