Microsoft Azure — устранение неполадок входящих и исходящих подключений виртуальной машины Azure
В этой статье мы будем использовать запрос Azure KQL для устранения неполадок с подключениями к виртуальной машине Azure для входящего и исходящего трафика из различных источников и мест назначения для мониторинга и анализа.
Оператор VMConnection KQL помогает отслеживать трафик для входящих и исходящих подключений к серверам Azure и от них.
KQL-запрос:
Устранение неполадок входящих и исходящих подключений к ВМ за последние 10 минут
VMConnections | TimeGenerated > ago(10m)
Устранение неполадок входящих и исходящих подключений к ВМ за последний час
VMConnections | TimeGenerated > ago(1h)
Устранение неполадок входящих и исходящих подключений к ВМ за последний 1 день
VMConnections | TimeGenerated > ago(1d)
Примечание. Измените временной интервал в соответствии с вашими потребностями для следующих примеров.
Пример 1. Отслеживайте трафик со всех серверов Azure из выбранной области со свойствами компьютера, имени процесса, исходного IP-адреса, целевого IP-адреса, целевого порта и протокола за последний 1 час.
VMConnection | where TimeGenerated > ago(1h) | summarize by Computer, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
этот запрос возвращает свойства компьютера, имени процесса, IP-адреса источника, IP-адреса назначения, порта назначения и протокола из выбранной области.
Выход:
Пример 2. Мониторинг трафика с выбранного/указанного сервера Azure со свойствами компьютера, имени процесса, исходного IP-адреса, целевого IP-адреса, целевого порта и протокола за последний 1 час.
VMConnection | where TimeGenerated > ago(1h) | summarize by Computer, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol | where Computer has "_add_Azure_VM_Name_"
этот запрос возвращает свойства компьютера, имени процесса, IP-адреса источника, IP-адреса назначения, порта назначения и протокола указанного сервера Azure за последний 1 час.
Выход:
Пример 3. Мониторинг входящего трафика с выбранного/указанного сервера Azure за последний час.
VMConnection | where TimeGenerated > ago(1h) | where Direction has "Inbound" | summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol | where Computer has "_add_Azure_VM_Name_"
этот запрос возвращает свойства компьютера, имени процесса, IP-адреса источника, IP-адреса назначения, порта назначения и протокола указанного сервера Azure с входящим трафиком за последний 1 час.
Выход:
Пример 4. Мониторинг исходящего трафика с выбранного/указанного сервера Azure за последний 1 час.
VMConnection | where TimeGenerated > ago(1h) | where Direction has "Outbound" | summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol | where Computer has "_add_Azure_VM_Name_"
этот запрос возвращает свойства компьютера, имени процесса, IP-адреса источника, IP-адреса назначения, порта назначения и протокола указанного сервера Azure с исходящим трафиком за последний 1 час.
Выход:
Пример 5. Отслеживайте входящий и исходящий трафик с выбранного/указанного сервера Azure за последний час.
VMConnection | where TimeGenerated > ago(1h) | where Direction has "Inbound" or Direction has "Outbound" | summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol | where Computer has "_add_Azure_VM_Name_"
этот запрос возвращает свойства компьютера, имени процесса, IP-адреса источника, IP-адреса назначения, порта назначения и протокола указанного сервера Azure с входящим и исходящим трафиком за последний 1 час.
Выход:
