如何启用 Azure VM 的流量纪录与分析

相信大家在 Azure 建立 VM 的时候，第一件事情就是设定网路安全性群组 NSG 限制来源 IP 位址与决定开启哪些服务埠号，避免网路上的恶意攻击。

假设我们今天被 DDoS 攻击了，那我们如何知道 Azure VM 的流量纪录？

Azure 网路监看员
网路监看员提供一套工具来监视、诊断、检视计量，可让您监视和修复 IaaS 产品的网路健康情况，例如虚拟机器 VM、虚拟网路 VNet、应用程式闸道、负载平衡器等。

网路监看员并非设计或适用于 PaaS 监视或 Web 分析。

网路监看员包含三个主要的工具和功能集

监视网路诊断工具交通流量

我们可以在搜寻列输入网路监看员就可以找到该服务了

当您建立或更新订用帐户中的虚拟网路时，网路监看员会在虚拟网路的区域中自动启用。

自动启用网路监看员不会影响您的资源或相关联的费用。

流量纪录
在网路监看员的记录档，建立流量纪录。

后续的设定会使用到储存体帐户与 Log Analytics 工作区，我们先根据 Azure 建议的命名规则，建立一个资源群组用来摆放相关资源。

也可以用自动启用的 Log Analytics 工作区，只不过很难识别就是了。

选取资源，点选您要记录的网路安全性群组 NSG 即可。
然后挑选纪录存放的储存体帐户，保留天数 0 代表永久保留。

启用流量分析并挑选 Log Analytics 工作区

按下建立就可以了

流量分析
等待一段时间，我们就可以在流量分析看到数据了。

马上就帮您分析出有 2K 的恶意输入流量，点选恶意的输入流量，就可以看到来源 IP 位址、侦测到的 L7 Protocol 与埠号。

使用流量分析地理地图检视

网路监看员也提供网路安全性群组 NSG 的命中率统计，帮您统计作用中最常使用的规则有哪些。

也有提供应用程式连接埠的统计，由于我们有使用 Zabbix 监控 Azure VM，所以这边被侦测到 Zabbix Agent 使用的 10050 埠号是第一名。

网路监看员费用
虽然自动启用的网路监看员不会影响相关联的费用，但我们有设定网路分析与流量分析就会有费用产生了。

Azure 网路监看员的功能十分强大，本篇仅针对流量纪录与分析进行简单的介绍，有兴趣的朋友们可以再去把玩监视与网路诊断工具的功能喔。

参考文件

https://learn.microsoft.com/zh-tw/azure/network-watcher/network-watcher-monitoring-overview#monitoringhttps://learn.microsoft.com/zh-tw/azure/cloud-adoption-framework/ready/azure-best-practices/resource-naminghttps://azure.microsoft.com/zh-tw/pricing/details/network-watcher/