Udostępnij przez

Scenariusze użycia analizy ruchu

Z tego artykułu dowiesz się, jak uzyskać szczegółowe informacje o ruchu po skonfigurowaniu analizy ruchu w różnych scenariuszach.

Znajdowanie punktów o dużym natężeniu ruchu drogowego

Szukaj

  • Które hosty, podsieci, sieci wirtualne i zestaw skalowania maszyn wirtualnych wysyłają lub odbierają najwięcej ruchu, przechodząc przez maksymalny złośliwy ruch i blokując znaczące przepływy?
    • Sprawdź wykres porównawczy dla hostów, podsieci, sieci wirtualnej i zestawu skalowania maszyn wirtualnych. Zrozumienie, które hosty, podsieci, sieci wirtualne i zestaw skalowania maszyn wirtualnych wysyłają lub odbierają największy ruch, może pomóc w zidentyfikowaniu hostów, które przetwarzają największy ruch, oraz w ustaleniu, czy dystrybucja ruchu jest wykonywana prawidłowo.
    • Możesz ocenić, czy natężenie ruchu jest odpowiednie dla hosta. Czy natężenie ruchu jest normalnym zachowaniem, czy też zasługuje na dalsze badania?
  • Ile jest ruchu przychodzącego/wychodzącego?
    • Czy oczekuje się, że host będzie odbierał więcej ruchu przychodzącego niż wychodzącego, czy na odwrót?
  • Statystyki zablokowanego ruchu.
    • Dlaczego host blokuje znaczną ilość nieszkodliwego ruchu? Takie zachowanie wymaga dalszych badań i prawdopodobnie optymalizacji konfiguracji
  • Statystyki złośliwego dozwolonego/zablokowanego ruchu

    • Dlaczego host odbiera złośliwy ruch i dlaczego dozwolone są przepływy ze złośliwych źródeł? To zachowanie wymaga dalszych badań i prawdopodobnie optymalizacji konfiguracji.

      Wybierz pozycję Zobacz wszystko pod IP, jak pokazano na poniższym obrazku, aby zobaczyć trendy czasowe dla pięciu najbardziej aktywnych hostów oraz szczegółowe informacje o przepływach (dozwolone - przychodzące/wychodzące; odrzucone - przychodzące/wychodzące) dla hosta.

      Zrzut ekranu pulpitu nawigacyjnego przedstawiającego hosta z większością szczegółów ruchu.

Szukaj

  • Jakie są najczęściej rozmawiające pary hostów?

    • Oczekiwane zachowanie, takie jak komunikacja między front-endem a back-endem, lub nieregularne zachowanie, takie jak ruch internetowy w back-endzie.

  • Statystyki dozwolonego/zablokowanego ruchu

    • Dlaczego host zezwala na znaczny ruch lub go blokuje

  • Najczęściej używany protokół aplikacji wśród najczęściej konwersujących par hostów:

    • Czy te aplikacje są dozwolone w tej sieci?

    • Czy aplikacje są poprawnie skonfigurowane? Czy używają odpowiedniego protokołu do komunikacji? Wybierz pozycję Zobacz wszystko w obszarze Częsta konwersacja, jak pokazano na poniższej ilustracji:

      Zrzut ekranu pulpitu nawigacyjnego przedstawiającego najczęstsze rozmowy.

  • Na poniższej ilustracji przedstawiono trendy czasowe dla pięciu najważniejszych konwersacji oraz szczegóły związane z przepływem dla pary konwersacji, takie jak dozwolone i odrzucone przepływy przychodzące i wychodzące.

    Zrzut ekranu z pięcioma najważniejszymi szczegółami i trendami rozmowy.

Szukaj

  • Który protokół aplikacji jest najczęściej używany w danym środowisku i które pary hostów konwersujących najczęściej korzystają z protokołu aplikacji?

    • Czy te aplikacje są dozwolone w tej sieci?

    • Czy aplikacje są poprawnie skonfigurowane? Czy używają odpowiedniego protokołu do komunikacji? Oczekiwane zachowanie to typowe porty, takie jak 80 i 443. W przypadku standardowej komunikacji, jeśli wyświetlane są jakiekolwiek nietypowe porty, mogą one wymagać zmiany konfiguracji. Wybierz pozycję Zobacz wszystko w obszarze Port aplikacji na poniższej ilustracji:

      Zrzut ekranu pulpitu nawigacyjnego prezentującego najważniejsze protokoły aplikacji.

  • Na poniższych obrazach przedstawiono trendy czasowe dla pięciu pierwszych protokołów L7 oraz szczegóły związane z przepływem (na przykład dozwolone i odrzucone przepływy) dla protokołu L7:

    Zrzut ekranu przedstawiający pięć najważniejszych protokołów warstwy 7, szczegóły i trendy.

    Zrzut ekranu przedstawiający szczegóły przepływu dla protokołu aplikacji w przeszukiwaniu dzienników.

Szukaj

  • Trendy wykorzystania pojemności bramy sieci VPN w danym środowisku.

    • Każda jednostka SKU VPN pozwala na określoną przepustowość. Czy bramy VPN są niedostatecznie wykorzystywane?
    • Czy Twoje bramy osiągają pełną pojemność? Czy należy uaktualnić do następnej wyższej jednostki SKU?

  • Które hosty najczęściej się komunikują, przez którą bramę VPN, przez który port?

    • Czy ten wzorzec jest normalny? Wybierz pozycję Zobacz wszystko w obszarze Brama sieci VPN, jak pokazano na poniższej ilustracji:

      Zrzut ekranu pulpitu nawigacyjnego prezentującego najpopularniejsze aktywne połączenia VPN.

  • Na poniższej ilustracji przedstawiono trendy czasowe wykorzystania pojemności bramy sieci VPN platformy Azure oraz szczegóły związane z przepływem (takie jak dozwolone przepływy i porty):

    Zrzut ekranu przedstawiający trend wykorzystania bramy sieci VPN i szczegóły przepływu.

Wizualizacja rozkładu ruchu według lokalizacji geograficznej

Szukaj

  • Dystrybucja ruchu na centrum danych, taka jak główne źródła ruchu do centrum danych, najpopularniejsze nieuczciwe sieci komunikujące się z centrum danych i najpopularniejsze protokoły aplikacji konwersujących.

    • Jeśli zauważysz większe obciążenie centrum danych, możesz zaplanować efektywną dystrybucję ruchu.

    • Jeśli nieautoryzowane sieci komunikują się w centrum danych, możesz ustawić reguły sieciowej grupy zabezpieczeń, aby je blokować.

      Wybierz Wyświetl mapę w Twoje środowisko, jak pokazano na poniższej ilustracji.

      Zrzut ekranu pulpitu nawigacyjnego przedstawiającego rozkład ruchu.

  • Mapa geograficzna przedstawia górną wstążkę do wyboru parametrów, takich jak centra danych (wdrożone/bez wdrożenia/aktywne/nieaktywne/włączona analiza ruchu/niewłączona analiza ruchu) oraz kraje/regiony przyczyniające się do nieszkodliwego/złośliwego ruchu do aktywnego wdrożenia:

    Zrzut ekranu przedstawiający widok mapy geograficznej przedstawiający aktywne wdrożenie.

  • Mapa geograficzna przedstawia rozkład ruchu do centrum danych z krajów/regionów i kontynentów komunikujących się z nim za pomocą niebieskich (łagodny ruch) i czerwonych (złośliwy ruch) kolorowych linii:

    Zrzut ekranu przedstawiający widok mapy geograficznej przedstawiający rozkład ruchu na kraje/regiony i kontynenty.

  • Blok Więcej szczegółowych informacji regionu świadczenia usługi Azure pokazuje również łączny ruch pozostały w tym regionie (czyli źródło i miejsce docelowe w tym samym regionie). Ponadto zapewnia szczegółowe informacje o ruchu wymienianym między strefami dostępności centrum danych.

    Zrzut ekranu przedstawiający ruch międzystrefowy i wewnątrzregionalny.

Wizualizacja dystrybucji ruchu przez sieci wirtualne

Szukaj

  • Dystrybucja ruchu na sieć wirtualną, topologia, najważniejsze źródła ruchu do sieci wirtualnej, najpopularniejsze nieautoryzowane sieci konwersujące się z siecią wirtualną i najważniejsze protokoły aplikacji konwersacji.

    • Wiedza o tym, która sieć wirtualna komunikuje się z którą siecią wirtualną. Jeśli rozmowa nie jest oczekiwana, można ją poprawić.

    • Jeśli nieautoryzowane sieci komunikują się z siecią wirtualną, możesz poprawić reguły sieciowej grupy zabezpieczeń, aby zablokować nieautoryzowane sieci.

      Wybierz pozycję Wyświetl sieci wirtualne w obszarze Twoje środowisko , jak pokazano na poniższej ilustracji:

      Zrzut ekranu pulpitu nawigacyjnego przedstawiającego dystrybucję sieci wirtualnej.

  • Topologia sieci wirtualnej pokazuje górną wstążkę do wyboru parametrów, takich jak sieć wirtualna (połączenia między sieciami wirtualnymi/aktywne/nieaktywne), połączenia zewnętrzne, aktywne przepływy i złośliwe przepływy sieci wirtualnej.

  • Topologię sieci wirtualnej można filtrować na podstawie subskrypcji, obszarów roboczych, grup zasobów i interwału czasu. Dodatkowe filtry, które ułatwiają zrozumienie przepływu, to: Typ przepływu (InterVNet, IntraVNET itd.), Kierunek przepływu (przychodzący, wychodzący), Stan przepływu (dozwolony, zablokowany), sieci wirtualne (docelowe i połączone), Typ połączenia (komunikacja równorzędna P2S i S2S oraz brama) oraz sieciowa grupa zabezpieczeń (NSG). Użyj tych filtrów, aby skoncentrować się na sieciach wirtualnych, które chcesz szczegółowo zbadać.

  • Możesz powiększać i pomniejszać podczas wyświetlania topologii sieci wirtualnej za pomocą kółka przewijania myszy. Kliknięcie lewym przyciskiem myszy i przesunięcie myszy pozwala przeciągnąć topologię w żądanym kierunku. Możesz także użyć skrótów klawiaturowych, aby wykonać następujące czynności: A (aby przeciągnąć w lewo), D (aby przeciągnąć w prawo), W (aby przeciągnąć w górę), S (aby przeciągnąć w dół), + (aby powiększyć), - (aby pomniejszyć), R (aby zresetować powiększenie).

  • Topologia sieci wirtualnej przedstawia dystrybucję ruchu do sieci wirtualnej do przepływów (dozwolonych/zablokowanych/przychodzących/wychodzących/łagodnych/złośliwych), protokołu aplikacji i sieciowych grup zabezpieczeń, na przykład:

    Zrzut ekranu przedstawiający topologię sieci wirtualnej przedstawiającą szczegóły dystrybucji ruchu i przepływu.

    Zrzut ekranu przedstawiający topologię sieci wirtualnej przedstawiającą najwyższy poziom i więcej filtrów.

Szukaj

  • Dystrybucja ruchu na podsieć, topologia, najważniejsze źródła ruchu do podsieci, najpopularniejsze nieautoryzowane sieci konwersujące się z podsiecią i najpopularniejsze protokoły aplikacji konwersacji.

    • Wiedza o tym, która podsieć komunikuje się z którą podsiecią. Jeśli widzisz nieoczekiwane rozmowy, możesz poprawić konfigurację.
    • Jeśli nieautoryzowane sieci komunikują się z podsiecią, możesz to poprawić, konfigurując reguły sieciowej grupy zabezpieczeń w celu blokowania nieautoryzowanych sieci.

  • Topologia podsieci pokazuje górną wstążkę do wyboru parametrów, takich jak aktywna/nieaktywna podsieć, połączenia zewnętrzne, aktywne przepływy i złośliwe przepływy podsieci.

  • Możesz powiększać i pomniejszać podczas wyświetlania topologii sieci wirtualnej za pomocą kółka przewijania myszy. Kliknięcie lewym przyciskiem myszy i przesunięcie myszy pozwala przeciągnąć topologię w żądanym kierunku. Możesz także użyć skrótów klawiaturowych, aby wykonać następujące czynności: A (aby przeciągnąć w lewo), D (aby przeciągnąć w prawo), W (aby przeciągnąć w górę), S (aby przeciągnąć w dół), + (aby powiększyć), - (aby pomniejszyć), R (aby zresetować powiększenie).

  • Topologia podsieci przedstawia dystrybucję ruchu do sieci wirtualnej w odniesieniu do przepływów (dozwolonych/zablokowanych/przychodzących/wychodzących/łagodnych/złośliwych), protokołu aplikacji i sieciowych grup zabezpieczeń, na przykład:

    Zrzut ekranu przedstawiający topologię podsieci przedstawiającą dystrybucję ruchu do podsieci sieci wirtualnej w odniesieniu do przepływów.

Szukaj

Dystrybucja ruchu na bramę aplikacji i Load Balancer, topologia, główne źródła ruchu, najpopularniejsze nieautoryzowane sieci konwersujące się z bramą aplikacji i Load Balancer oraz najważniejsze protokoły konwersacji aplikacji.

  • Wiedza o tym, która podsieć komunikuje się z którą bramą aplikacyjną lub równoważnikiem obciążenia. Jeśli zauważysz nieoczekiwane rozmowy, możesz poprawić konfigurację.

  • Jeśli nieautoryzowane sieci komunikują się z Application Gateway lub Load Balancer, możesz to poprawić, konfigurując reguły sieciowej grupy zabezpieczeń w celu blokowania nieautoryzowanych sieci.

    Zrzut ekranu przedstawia topologię podsieci z dystrybucją ruchu do podsieci bramy aplikacji w odniesieniu do przepływów.

Wyświetlanie portów i maszyn wirtualnych odbierających ruch z Internetu

Szukaj

  • Które otwarte porty komunikują się przez Internet?

    • Jeśli okaże się, że nieoczekiwane porty są otwarte, możesz poprawić konfigurację:

      Zrzut ekranu pulpitu nawigacyjnego przedstawiającego porty odbierające i wysyłające ruch do Internetu.

      Zrzut ekranu przedstawiający szczegóły portów docelowych i hostów platformy Azure.

Wyświetl informacje o publicznych adresach IP mających związek z twoim wdrożeniem

Szukaj

  • Które publiczne adresy IP komunikują się z moją siecią? Jakie są dane WHOIS i lokalizacja geograficzna wszystkich publicznych adresów IP?
  • Które złośliwe adresy IP przesyłają ruch do moich wdrożeń? Jaki jest typ zagrożenia i opis zagrożenia dla złośliwych adresów IP?

Sekcja Informacje o publicznym adresie IP zawiera podsumowanie wszystkich typów publicznych adresów IP obecnych w ruchu sieciowym. Wybierz typ publicznego adresu IP, aby wyświetlić szczegóły. Na pulpicie nawigacyjnym analizy ruchu wybierz dowolny adres IP, aby wyświetlić jego informacje. Aby uzyskać więcej informacji na temat prezentowanych pól danych, zobacz Schemat szczegółów publicznego adresu IP .

Zrzut ekranu, który wyświetla sekcję informacji o publicznym adresie IP.

Szukaj

  • Które reguły sieciowej grupy zabezpieczeń/sieciowej grupy zabezpieczeń mają najwięcej trafień na wykresie porównawczym z rozkładem przepływów?

  • Jakie są najważniejsze pary źródłowe i docelowe komunikacji według reguł NSG?

    Zrzut ekranu przedstawiający statystyki trafień NSG (sieciowej grupy zabezpieczeń) na pulpicie nawigacyjnym.

  • Na poniższych ilustracjach przedstawiono trendy czasowe dla trafień reguł sieciowej grupy zabezpieczeń i szczegółów przepływu źródłowo-docelowego dla sieciowej grupy zabezpieczeń:

    • Szybko wykrywaj, które grupy zabezpieczeń i reguły grupy zabezpieczeń wpływają na złośliwe przepływy oraz które są najbardziej złośliwymi adresami IP uzyskującymi dostęp do chmurowego środowiska.

    • Zidentyfikuj, które reguły NSG zezwalają lub blokują znaczący ruch sieciowy.

    • Wybierz najlepsze filtry do dokładnej kontroli grupy zabezpieczeń sieci lub jej reguł.

      Zrzut ekranu przedstawiający trendy czasowe dla trafień reguł NSG i najczęściej używanych reguł NSG.

      Zrzut ekranu przedstawiający szczegóły statystyk najważniejszych reguł sieciowej grupy zabezpieczeń w przeszukiwaniu dzienników.

Następny krok

Schemat analizy ruchu i agregacja danych

  • Last updated on