Preguntas más frecuentes (P+F) sobre Network Watcher

Network Watcher proporciona un conjunto de herramientas para supervisar. diagnosticar, ver métricas y habilitar o deshabilitar registros para recursos IaaS (Infraestructura como servicio), lo que incluye máquinas virtuales, redes virtuales, puerta de enlace de aplicación, equilibradores de carga y otros recursos en una red virtual de Azure. No es una solución para supervisar la infraestructura de PaaS (plataforma como servicio) u obtener análisis web/móviles.

Network Watcher proporciona tres conjuntos principales de funcionalidades:

• Supervisión
  • Vista de la topología muestra los recursos de la red virtual y las relaciones entre ellos.
  • Connection Monitor le permite supervisar la conectividad y la latencia entre puntos de conexión dentro y fuera de Azure.
• Herramientas de diagnóstico de red
  • Comprobación del flujo de IP permite detectar incidencias en el filtrado del tráfico a nivel de máquina virtual.
  • Diagnóstico de NSG le permite detectar incidencias en el filtrado de tráfico en el nivel de máquina virtual, conjunto de escalado de máquinas virtuales o puerta de enlace de aplicación.
  • Próximo salto le ayuda a comprobar las rutas de tráfico y a detectar problemas de enrutamiento.
  • Solucionar problemas de conexión habilita una comprobación de conectividad y latencia que se realiza una única vez entre una máquina virtual y un host de Bastion, puerta de enlace de aplicación u otra máquina virtual.
  • Captura de paquetes le permite capturar el tráfico de su máquina virtual.
  • Solución de problemas de VPN ejecuta varias comprobaciones de diagnóstico en las puertas de enlace de VPN y las conexiones para facilitar la depuración de problemas.
• Tráfico
  • Los registros de flujo de red virtual y los registros de flujo de grupo de seguridad de red permiten registrar el tráfico de red que pasa por las redes virtuales y los grupos de seguridad de red (NSG) respectivamente.
  • Análisis de tráfico procesa los datos del registro de flujo del registro de flujo de grupo de seguridad de red para que pueda visualizar, consultar, analizar y comprender el tráfico.

Para información más detallada, consulte la Información general de Network Watcher.

Consulte Precios de Network Watcher para más detalles sobre el precio de los distintos componentes de Network Watcher.

Consulte Regiones de Network Watcher para saber las regiones que admiten Network Watcher.

Consulte Permisos de Azure RBAC requeridos para usar Network Watcher para una lista detallada de los permisos de cada capacidad de Network Watcher.

El servicio Network Watcher se habilita automáticamente en cada suscripción. Debe activar manualmente Network Watcher si deshabilitó la activación automática de Network Watcher. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

El recurso primario de Network Watcher se implementa con una instancia única en todas las regiones. Formato de nomenclatura predeterminado: NetworkWatcher_RegionName. Ejemplo: NetworkWatcher_centralus es el recurso de Network Watcher para la región "Central US" (Centro de EE. UU.). Puede personalizar el nombre de la instancia de Network Watcher mediante PowerShell o la API REST.

Network Watcher solo necesita ser habilitado una vez por región y suscripción para que funcionen sus características. Network Watcher se habilita en una región al crear una instancia de Network Watcher en esa misma región.

El recurso Network Watcher representa el servicio back-end para Network Watcher, que está totalmente administrado por Azure. Sin embargo, puede crear o eliminar el recurso Network Watcher para habilitarlo o deshabilitarlo en una región determinada. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.

No, no se admite el traslado del recurso Network Watcher o cualquiera de sus recursos secundarios entre regiones. Para más información, vea Compatibilidad con la operación de traslado para recursos de red.

Sí, se admite el traslado de recurso de Network Watcher entre grupos de recursos. Para más información, vea Compatibilidad con la operación de traslado para recursos de red.

NetworkWatcherRG es un grupo de recursos que se crea automáticamente para los recursos de Network Watcher. Por ejemplo, los recursos instancias regionales de Network Watcher y registro de flujo de grupo de seguridad de red se crean en el grupo de recursos NetworkWatcherRG. Puede personalizar el nombre del grupo de recursos de Network Watcher mediante PowerShell, la CLI de Azure o la API REST.

Azure Network Watcher no almacena los datos de los clientes, excepto para Connection Monitor. El monitor de conexión almacena los datos de los clientes, que Network Watcher almacena automáticamente en una sola región para satisfacer los requisitos de residencia de datos en la región.

Network Watcher tiene los límites siguientes:

Sí, el servicio Network Watcher es resistente a las zonas de manera predeterminada.

No se necesita configurar nada para habilitar la resistencia de zonas. La resistencia de zonas para los recursos de Network Watcher está disponible de manera predeterminada y la administra el propio servicio.

El agente Network Watcher es necesario para cualquier función de Network Watcher que genere o intercepte tráfico desde una máquina virtual.

Las características Connection Monitor, Captura de paquetes y Solución de problemas de conexión (prueba de conectividad) requieren que la extensión Network Watcher esté presente.

La versión más reciente de la extensión Network Watcher es 1.4.3783.1. Para más información, vea Actualización de la extensión Azure Network Watcher a la versión más reciente.

• Linux: el agente de Network Watcher usa puertos disponibles a partir de port 50000 y posteriores hasta que alcanza port 65535.
• Windows: el agente de Network Watcher usa los puertos con los que responde el sistema operativo cuando se consulta para los puertos disponibles.

El agente de Network Watcher requiere conectividad TCP saliente para 169.254.169.254 a través de port 80 y 168.63.129.16 a través de port 8037. El agente usa estas direcciones IP para comunicarse con la plataforma Azure.

No, Connection Monitor no admite máquinas virtuales clásicas. Para más información, consulte Migración de recursos de IaaS de la implementación clásica a la de Resource Manager.

La topología solo se puede decorar desde fuera de Azure a Azure si el recurso de Azure de destino y el recurso de Connection Monitor están en la misma región.

No se puede usar la misma máquina virtual de Azure con configuraciones diferentes en el mismo monitor de conexión. Por ejemplo, no se admite el uso de la misma VM con filtro y sin filtro en el mismo monitor de conexión.

Los problemas que se muestran en el panel de Connection Monitor aparecen durante la detección de la topología o la exploración de saltos. Puede haber casos en los que el umbral establecido para el porcentaje de pérdida o RTT se incumpla, pero no se encuentre ningún problema en los saltos.

No hay ninguna selección de protocolo en Connection Monitor (clásico). Las pruebas de Connection Monitor (clásico) solo usan el protocolo TCP. Por eso, durante la migración, creamos una configuración TCP en pruebas en la nueva instancia de Connection Monitor.

Actualmente hay un límite regional cuando un punto de conexión usa agentes de Azure Monitor y Arc con el área de trabajo de Log Analytics asociada. Como resultado de esta limitación, el área de trabajo de Log Analytics asociada debe estar en la misma región que el punto de conexión de Arc. Los datos ingeridos en áreas de trabajo individuales se pueden unir para una sola vista, consulte Consulta de datos en áreas de trabajo, aplicaciones y recursos de Log Analytics en Azure Monitor.

Los registros de flujo le permiten registrar información en 5 tuplas sobre el tráfico de IP de Azure que pasa a través del grupo de seguridad de red o la red virtual de Azure. Los registros de flujo sin procesar se escriben en una cuenta de Azure Storage. Desde allí, puede procesarlos, analizarlos, consultarlos o exportarlos según necesite.

Los datos de los registros de flujo se recopilan fuera de la ruta del tráfico de red y, por tanto, no afectan al rendimiento o la latencia de la red. Puede crear o eliminar registros de flujo sin riesgo de que afecte al rendimiento de la red.

Los registros de flujo del grupo de seguridad de red registran el tráfico que fluye a través de un grupo de seguridad de red. Por otro lado, los diagnósticos de NSG devuelven todos los grupos de seguridad de red que el tráfico atraviesa y las reglas de cada grupo de seguridad de red que se aplican a este tráfico. Use diagnósticos de NSG para comprobar que las reglas del grupo de seguridad de red se aplican según lo previsto.

No, los registros de flujo de grupo de seguridad de red no admiten los protocolos ESP y AH.

No, los registros de flujo de grupo de seguridad de red y los registros de flujo de red virtual no admiten el protocolo ICMP.

Sí. El recurso de registro de flujo asociado también se eliminará. Los datos del registro de flujo se conservan en la cuenta de almacenamiento durante el período de retención configurado en el registro de flujo.

Sí, pero debe eliminar el recurso de registro de flujo asociado. Después de migrar el grupo de seguridad de red, puede volver a crear los registros de flujo para habilitar el registro de flujo en él.

Sí, puede usar una cuenta de almacenamiento de una suscripción diferente siempre que esta suscripción esté en la misma región del grupo de seguridad de red y asociada al mismo inquilino de Microsoft Entra del grupo de seguridad de red o la suscripción de la red virtual.

Debe habilitar al menos un registro de flujo de red virtual en la suscripción. Análisis de tráfico solo procesa datos de registros de flujo habilitados, por lo que la configuración de un registro de flujo garantiza que Traffic Analytics pueda acceder a los recursos de esa suscripción y analizar la actividad de red.

Para usar una cuenta de almacenamiento detrás de un firewall, debe permitir que los servicios de Azure de confianza accedan a la cuenta de almacenamiento:

1. Vaya a la cuenta de almacenamiento introduciendo el nombre de la cuenta de almacenamiento en el cuadro de búsqueda en la parte superior del portal.
2. En Seguridad y redes, seleccione Redes, y después Firewalls y redes de virtuales.
3. En Acceso de red pública seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas. Entonces, en Excepciones, marque la casilla junto a Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.
4. Habilite los registros de flujo mediante la creación de un registro de flujo para el recurso de destino mediante la cuenta de almacenamiento. Para obtener más información, consulte Crear un registro de flujo.

Puede comprobar los registros de almacenamiento tras unos minutos. Debería ver una marca de tiempo actualizada o un nuevo archivo JSON creado.

Actualmente, una cuenta de almacenamiento admite 100 reglas y cada una puede acomodar 10 prefijos de blob. Si alcanza el límite, puede establecer la directiva de retención en 0 al habilitar los nuevos registros de flujo de red virtual y, a continuación, agregar manualmente una regla de retención para la suscripción.

Para crear una regla de suscripción de directiva de retención, siga estos pasos:

1. Vaya a la cuenta de almacenamiento introduciendo el nombre de la cuenta de almacenamiento en el cuadro de búsqueda en la parte superior del portal.
2. En Administración de datos, seleccione Administración del ciclo de vida.
3. Seleccione + Agregar regla.
4. En la sección Detalles, seleccione los siguientes ajustes: Ámbito de regla:Limitar blobs con filtros, Tipo de blob:Blobs de bloque y Subtipo de blob:Blobs base.
5. En la sección Blobs base , configure las opciones de retención.
6. En la sección Conjunto de filtros , dé formato al prefijo Blob como se indica a continuación: "insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG"
7. Selecciona Agregar.

La regla con un período de retención más corto tiene prioridad.

Network Watcher tiene un mecanismo de reserva integrado que usa al conectarse a una cuenta de almacenamiento detrás de un firewall (firewall habilitado). Intenta conectarse a la cuenta de almacenamiento mediante una clave y, si se produce un error, cambia a un token. En este caso, se registra un error 403 en el registro de actividad de la cuenta de almacenamiento.

Sí, Network Watcher admite el envío de datos de registros de flujo a una cuenta de almacenamiento habilitada con un punto de conexión privado.

Los registros de flujo son compatibles con los puntos de conexión de servicio sin necesidad de ninguna configuración adicional. Para más información, consulte Habilitación de un punto de conexión de servicio.

La versión 2 de los registros de flujo introduce el concepto de estado del flujo y almacena información sobre los bytes y los paquetes transmitidos. Para más información, consulte Formato de registros de flujo de grupo de seguridad de red.

No, un bloqueo de solo lectura en un grupo de seguridad de red impide la creación del registro de flujo de grupo de seguridad de red correspondiente.

Sí, un bloqueo que impide la eliminación en el grupo de seguridad de red no impide la creación o modificación del registro de flujo de grupo de seguridad de red correspondiente.

Sí, los registros de flujo de grupo de seguridad de red se pueden automatizar mediante plantillas de Azure Resource Manager (plantillas de ARM). Para más información, vea Configuración de registros de flujo de NSG mediante una plantilla de Azure Resource Manager (ARM).

Sí, las redes virtuales y los grupos de seguridad de red pueden estar en diferentes regiones que la región del área de trabajo de Log Analytics.

Sí.

En la lista desplegable de selección de recursos del panel de análisis de tráfico, se debe seleccionar el grupo de recursos del recurso de red virtual , no el grupo de recursos de la máquina virtual o el grupo de seguridad de red.

El análisis de tráfico realiza un examen de detección de recursos cada 6 horas para identificar nuevas máquinas virtuales, NIC, redes virtuales y subredes. Cuando se crea una nueva máquina virtual o NIC después del ciclo de detección más reciente y los datos de flujo se recopilan antes de la siguiente detección, el análisis de tráfico aún no puede asociar el tráfico a un recurso conocido. Como resultado, esos recursos se etiquetan temporalmente como desconocidos en la vista de análisis.

Sí, puede deshabilitar el acceso público al recurso del punto de conexión de recopilación de datos (DCE) para bloquear el tráfico entrante público. La ingesta sigue funcionando sin asociar el recurso DCE con un ámbito de Private Link de Azure Monitor.

Sí. Si selecciona un área de trabajo existente, asegúrese de que se migró al nuevo lenguaje de consulta. Si no desea actualizar el área de trabajo, debe crear una nueva. Para obtener más información sobre el lenguaje de consultas Kusto (KQL), consulte Consultas de registro en Azure Monitor.

Sí, la cuenta de Azure Storage puede estar en una suscripción y el área de trabajo de Log Analytics puede estar en otra suscripción.

Sí. Puede configurar los registros de flujo que se enviarán a una cuenta de almacenamiento ubicada en una suscripción diferente, siempre que tenga los privilegios adecuados y que la cuenta de almacenamiento se encuentre en la misma región que el grupo de seguridad de red (registros de flujo del grupo de seguridad de red) o la red virtual (registros de flujo de red virtual). La cuenta de almacenamiento de destino debe compartir el mismo inquilino de Microsoft Entra del grupo de seguridad de red o la red virtual.

No. Todos los recursos deben estar en el mismo inquilino, incluidos los grupos de seguridad de red (registros de flujo del grupo de seguridad de red), las redes virtuales (registros de flujo de red virtual), los registros de flujo, las cuentas de almacenamiento y las áreas de trabajo de Log Analytics (si el análisis de tráfico está habilitado).

Sí.

Los libros de Análisis de tráfico tienen tecnología de consultas de Log Analytics. Si la consulta supera los límites de Log Analytics, el libro podría presentar errores de memoria baja. Para mejorar el rendimiento y reducir los errores de memoria baja, los usuarios pueden usar clústeres de Log Analytics dedicados.

No. Si elimina la cuenta de almacenamiento que se usa para los registros de flujo, los datos almacenados en el área de trabajo de Log Analytics no se verán afectados. Todavía puede ver datos históricos en el área de trabajo de Log Analytics (algunas métricas se verán afectadas), pero el análisis de tráfico ya no procesará ningún registro de flujo nuevo hasta que actualice los registros de flujo para usar una cuenta de almacenamiento diferente.

Seleccione una región compatible. Si selecciona una región no admitida, recibirá un error "No encontrado". Para más información, consulte Regiones compatibles con Análisis de tráfico.

El proveedor debe estar registrado para que el Microsoft.Insights registro de flujo funcione correctamente. Si no está seguro de si el Microsoft.Insights proveedor está registrado para su suscripción, consulte las instrucciones de Administración de registros de flujo de NSG para saber cómo registrarlo.

El panel puede tardar hasta 30 minutos en mostrar informes por primera vez. La solución primero debe agregar suficientes datos para que derive información significativa y, a continuación, genere informes.

Pruebe las siguientes opciones:

• Cambie el intervalo de tiempo en la barra superior.
• Seleccione otro área de trabajo de Log Analytics en la barra superior.
• Pruebe a acceder al análisis de tráfico después de 30 minutos, si se ha habilitado recientemente.

Es posible que vea este mensaje porque:

• El análisis de tráfico se ha habilitado recientemente y es posible que aún no haya agregado suficientes datos para que derive información significativa.
• Está utilizando la versión gratuita del área de trabajo de Log Analytics, que ha superado los límites de cuota. Es posible que tenga que usar un área de trabajo con una capacidad mayor.

Pruebe las soluciones sugeridas para la pregunta anterior. Si los problemas persisten, generen preocupaciones en Q&A de Microsoft.

Está viendo la información de los recursos en el panel; sin embargo, no hay estadísticas relacionadas con el flujo. Es posible que los datos no estén presentes debido a que no hay flujos de comunicación entre los recursos. Espere 60 minutos y vuelva a comprobar el estado. Si el problema persiste y está seguro de que existen flujos de comunicación entre los recursos, plantee sus dudas en Microsoft Q&A.

El análisis de tráfico se puede medir. La medición se basa en el procesamiento de los datos de registro de flujo sin procesar por el servicio. Para más información, consulte Precios de Network Watcher.
Los registros mejorados ingeridos en el área de trabajo de Log Analytics se pueden conservar sin cargo por un máximo de 31 días (o 90 días si Microsoft Sentinel está habilitado en el área de trabajo). Para obtener más información, consulte Precios de Azure Monitor.

El intervalo de procesamiento predeterminado del análisis de tráfico es de 60 minutos; sin embargo, puede seleccionar el procesamiento acelerado en intervalos de 10 minutos. Para más información, consulte Agregación de datos en análisis de tráfico.

Análisis de tráfico crea y administra recursos de regla de recopilación de datos y punto de conexión de recopilación de datos en el mismo grupo de recursos que el área de trabajo, con el prefijo NWTA. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto. Para más información, consulte Agregación de datos en análisis de tráfico. Para más información, consulte Reglas de recopilación de datos en Azure Monitor y puntos de conexión de recopilación de datos en Azure Monitor.

No se recomienda aplicar bloqueos a los recursos de DCR y DCE creados por el análisis de tráfico, ya que el servicio administra estos recursos. Los recursos bloqueados no se limpian tras la eliminación de los registros de flujo relacionados. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto. Para más información, consulte Agregación de datos en análisis de tráfico.

El análisis de tráfico se basa en sistemas de inteligencia sobre amenazas internos de Microsoft para considerar una dirección IP como malintencionada. Estos sistemas usan diversos orígenes de telemetría, como productos y servicios de Microsoft, la Unidad de crímenes digitales de Microsoft (DCU), el Centro de respuesta de seguridad de Microsoft (MSRC) y fuentes externas y crean inteligencia sobre él. Algunos de estos datos son Internos de Microsoft. Si una dirección IP conocida se marca como malintencionada, cree una incidencia de soporte técnico para conocer los detalles.

El análisis de tráfico no tiene compatibilidad integrada con las alertas. Sin embargo, dado que los datos de análisis de tráfico se almacenan en Log Analytics, puede escribir consultas personalizadas y establecer alertas en ellos. Siga estos pasos:

• Puede usar el vínculo de Log Analytics en análisis de tráfico.
• Use el esquema de análisis de tráfico para escribir las consultas.
• Seleccione Nueva regla de alertas para crear la alerta.
• Consulte Creación de una nueva regla de alertas para crear la alerta.

No, actualmente no es compatible. Si se implementa un área de trabajo de Log Analytics detrás de un perímetro de seguridad de red, el análisis de tráfico no podrá ingerir datos de él.

Sí. La solución de problemas de conexión y los diagnósticos de NSG no admiten implementaciones privadas de Application Gateway. Para obtener más información, consulte Implementación de Application Gateway privado.