Microsoft Azure – 对 Azure VM 入站和出站连接进行故障排除
在本文中,我们将使用 Azure KQL 查询对来自各种源和目标的入站和出站流量的 Azure 虚拟机连接进行故障排除,以进行监视和分析。
VMConnection KQL运算符有助于监控进出 Azure 服务器的入站和出站连接的流量。
KQL 查询:
过去 10 分钟的入站和出站 VM 连接故障排除
VMConnections
| TimeGenerated > ago(10m)过去 1 小时内的入站和出站 VM 连接故障排除
VMConnections
| TimeGenerated > ago(1h)过去 1 天的入站和出站 VM 连接故障排除
VMConnections
| TimeGenerated > ago(1d)注意:根据您对以下示例的需要更改您的时间跨度。
示例 1:使用计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性监视过去 1 小时内来自选定范围的所有 Azure 服务器的流量。
VMConnection
| where TimeGenerated > ago(1h)
| summarize by Computer, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol此查询从选择范围返回计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性。
输出:
示例 2:使用计算机、进程名称、源 IP、目标 IP、目标端口和协议等属性监视过去 1 小时内来自选定/指定 Azure 服务器的流量。
VMConnection
| where TimeGenerated > ago(1h)
| summarize by Computer, ProcessName, SourceIp, DestinationIp, DestinationPort, Protocol
| where Computer has "_add_Azure_VM_Name_"此查询返回过去 1 小时内指定 azure 服务器的计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性。
输出:
示例 3:监控过去 1 小时内来自选定/指定 Azure 服务器的入站流量。
VMConnection
| where TimeGenerated > ago(1h)
| where Direction has "Inbound"
| summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol
| where Computer has "_add_Azure_VM_Name_"此查询返回过去 1 小时内具有入站流量的指定 azure 服务器的计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性。
输出:
示例 4:监控过去 1 小时内来自选定/指定 Azure 服务器的出站流量。
VMConnection
| where TimeGenerated > ago(1h)
| where Direction has "Outbound"
| summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol
| where Computer has "_add_Azure_VM_Name_"此查询返回过去 1 小时内具有出站流量的指定 azure 服务器的计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性。
输出:
示例 5:监控过去 1 小时内来自选定/指定 Azure 服务器的入站和出站流量。
VMConnection
| where TimeGenerated > ago(1h)
| where Direction has "Inbound" or Direction has "Outbound"
| summarize by Computer,ProcessName,Direction,SourceIp,DestinationIp,DestinationPort,Protocol
| where Computer has "_add_Azure_VM_Name_"此查询返回过去 1 小时内具有入站和出站流量的指定 azure 服务器的计算机、进程名称、源 IP、目标 IP、目标端口和协议的属性。
输出:
