Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure role-based access control (Azure RBAC) umożliwia przypisywanie tylko określonych akcji członkom organizacji, których potrzebują do wykonania przypisanych obowiązków.
Aby korzystać z funkcji usługi Azure Network Watcher, konto, za pomocą którego logujesz się do platformy Azure, musi być przypisane do wbudowanych ról właściciela, współautora lub współautora sieci albo przypisane do roli niestandardowej , która zawiera akcje wymienione dla funkcji usługi Network Watcher, której chcesz użyć.
Ważne
Współautor sieci nie obejmuje następujących działań:
- Akcje Microsoft.Storage/* wymienione w sekcji Dodatkowe akcje lub Dzienniki przepływu .
- Akcje Microsoft.Compute/* wymienione w sekcji Dodatkowe akcje .
- Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* lub Microsoft.Insights/dataCollectionEndpoints/* działania wymienione w sekcji Analiza ruchu.
Aby dowiedzieć się, jak sprawdzić role przypisane do użytkownika dla subskrypcji, zobacz Wyświetlanie listy przypisań ról platformy Azure przy użyciu witryny Azure Portal. Jeśli nie widzisz przypisań ról, skontaktuj się z odpowiednim administratorem subskrypcji.
W poniższych sekcjach wymieniono minimalne wymagane uprawnienia do korzystania z usługi Network Watcher i jego możliwości. Aby uzyskać pełną listę powiązanych uprawnień platformy Azure, zobacz Uprawnienia microsoft.Network, uprawnienia Microsoft.Compute, uprawnienia Microsoft.Storage, uprawnienia Microsoft.Insights i uprawnienia Microsoft.OperationalInsights.
Network Watcher
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/odczyt | Pobieranie usługi Network Watcher |
| Microsoft.Network/networkWatchers/zapisz | Tworzenie lub aktualizowanie usługi Network Watcher |
| Microsoft.Network/networkWatchers/delete | Usuwanie obserwatora sieciowego |
Monitor połączeń
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/connectionMonitors/rozpocznij/akcja | Uruchamianie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/zatrzymaj/działanie | Zatrzymywanie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/query/action | Wykonywanie zapytań względem monitora połączeń |
| Microsoft.Network/obserwatorzySieci/monitorowaniePołączeń/odczyt | Uzyskaj monitor połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/zapisz | Tworzenie monitora połączeń |
| Microsoft.Network/networkWatchers/connectionMonitors/delete | Usuwanie monitora połączeń |
Dzienniki przepływu
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/flowLogs/read | Uzyskaj szczegóły dziennika przepływu |
| Microsoft.Network/networkWatchers/flowLogs/zapisz | Tworzy dziennik przepływu |
| Microsoft.Network/networkWatchers/flowLogs/usuń | Usuwa dziennik przepływu |
| Microsoft.Network/networkWatchers/konfigurujDziennikRuchu/akcja | Konfigurowanie dziennika przepływu |
| Microsoft.Network/networkWatchers/queryFlowLogStatus/action | Status zapytania dla dziennika przepływu |
| Microsoft.Network/networkSecurityGroups/write 1 | Tworzy sieciową grupę zabezpieczeń lub aktualizuje istniejącą sieciową grupę zabezpieczeń |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS), umożliwiających bezpieczny dostęp do konta magazynu i zapisywanie w koncie magazynu |
1 Wymagane tylko dla dzienników przepływu NSG (grupy zabezpieczeń sieciowych).
Analiza ruchu
Ponieważ analiza ruchu jest włączona w ramach zasobu dziennika przepływu, oprócz wszystkich wymaganych uprawnień do dzienników przepływu, wymagane są także następujące uprawnienia:
| Akcja | Opis |
|---|---|
| Microsoft.Network/applicationGateways/read | Pobierz bramę aplikacji |
| Microsoft.Network/connections/read | Pobierz VirtualNetworkGatewayConnection |
| Microsoft.Network/expressRouteCircuits/read | Uzyskaj element ExpressRouteCircuit |
| Microsoft.Network/równoważniki_obciążenia/read | Pobieranie definicji modułu równoważenia obciążenia |
| Microsoft.Network/localNetworkGateways/read | Pobierz Bramę Sieci Lokalnej |
| Microsoft.Network/networkInterfaces/czytać | Pobieranie definicji interfejsu sieciowego |
| Microsoft.Network/networkSecurityGroups/odczyt | Pobierz definicję sieciowej grupy zabezpieczeń |
| Microsoft.Network/publicIPAddresses/read | Pobieranie definicji publicznego adresu IP |
| Microsoft.Network/routeTables/read | Pobieranie definicji tabeli tras |
| Microsoft.Network/virtualNetworkGateways/odczyt | Pobierz bramę sieci wirtualnej |
| Microsoft.Network/virtualNetworks/odczyt (read) | Pobieranie definicji sieci wirtualnej |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Compute/virtualMachineScaleSets/read | Pobieranie właściwości zestawu skalowania maszyn wirtualnych |
| Microsoft.OperationalInsights/workspaces/czytaj | Pobierz istniejący obszar roboczy |
| Microsoft.OperationalInsights/przestrzenie_robocze/klucze_współdzielone/działanie | Pobieranie kluczy udostępnionych dla obszaru roboczego |
| Microsoft.Insights/dataCollectionRules/read 1 | Przeczytaj regułę zbierania danych |
| Microsoft.Insights/dataCollectionRules/write 1 | Tworzenie lub aktualizowanie reguły zbierania danych |
| Microsoft.Insights/zasadyZbieraniaDanych/usunięcie 1 | Usuwanie reguły zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/read 1 | Odczytywanie punktu końcowego zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/write 1 | Tworzenie lub aktualizowanie punktu końcowego zbierania danych |
| Microsoft.Insights/dataCollectionEndpoints/delete 1 | Usuwanie punktu końcowego zbierania danych |
1 Wymagane w subskrypcji obszaru roboczego usługi Log Analytics podczas korzystania z analizy ruchu z dziennikami przepływu sieci wirtualnej.
Ostrzeżenie
Analiza ruchu tworzy i zarządza zasobami zasady zbierania danych (DCR) i punktu końcowego zbierania danych (DCE) w tej samej grupie zasobów co obszar roboczy Log Analytics, poprzedzonym prefiksem NWTA. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami.
Ważne
Uprawnienia dziedziczone przez grupę zarządzania nie są obecnie obsługiwane w przypadku włączania analizy ruchu.
Rozwiązywanie problemów z połączeniami
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/connectivityCheck/action (Sprawdzenie łączności) Microsoft.Network/networkWatchers/connectivityCheck/read |
Sprawdź możliwość nawiązania bezpośredniego połączenia TCP z maszyny wirtualnej do danego punktu końcowego |
| Microsoft.Network/networkWatchers/queryTroubleshootResult/action | Wyniki zapytania dotyczące testu rozwiązywania problemów z połączeniem |
| Microsoft.Network/networkWatchers/rozwiązywanie problemów/akcja | Uruchamianie testu rozwiązywania problemów z połączeniem |
Przechwytywanie pakietów
| Akcja | Opis |
|---|---|
| Microsoft.Network/obserwatorzySieci/zrzutyPakietów/statusZapytania/akcja | Wykonywanie zapytań dotyczących stanu przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/stop/action (zatrzymaj/akcja) | Zatrzymywanie uruchomionej sesji przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/odczyt | Pobieranie definicji przechwytywania pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/zapisz | Utwórz przechwytywanie pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/delete (usuń przechwytywanie pakietów) | Usuń przechwytywanie pakietów |
| Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read | Wyświetlanie stanu przechwytywania pakietów |
weryfikacja przepływu IP
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/ipFlowVerify/action, Microsoft.Network/networkWatchers/ipFlowVerify/read |
Zwraca informację, czy pakiet jest dozwolony lub zablokowany w odniesieniu do określonego miejsca docelowego. |
Następny skok
| Akcja | Opis |
|---|---|
| Microsoft.Network/obserwatorzySieci/następnyKrok/akcja Microsoft.Network/networkWatchers/nextHop/read |
W przypadku określonego źródłowego i docelowego adresu IP zwróć typ następnego przeskoku i adres IP następnego przeskoku. |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Network/networkInterfaces/czytać | Pobieranie definicji interfejsu sieciowego |
Widok grupy zabezpieczeń sieci
| Akcja | Opis |
|---|---|
| Microsoft.Network/obserwatorzySieci/widokGrupyZabezpieczeń/akcja | Wyświetlanie skonfigurowanych i skutecznych reguł sieciowej grupy zabezpieczeń stosowanych na maszynie wirtualnej |
Topologia
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/topologia/akcja Microsoft.Network/networkWatchers/topologia/read |
Uzyskiwanie widoku na poziomie sieci zasobów i ich relacji w grupie zasobów |
Raport dotyczący dostępności
| Akcja | Opis |
|---|---|
| Microsoft.Network/networkWatchers/azureReachabilityReport/akcja | Uzyskiwanie wyniku względnego opóźnienia dla dostawców usług internetowych z określonej lokalizacji do regionów świadczenia usługi platformy Azure |
Dodatkowe akcje
Niektóre funkcje usługi Network Watcher wymagają następujących akcji:
| Akcja | Opis |
|---|---|
| Microsoft.Authorization/*/Read | Pobieranie przypisań ról i definicji zasad platformy Azure |
| Microsoft.Zasoby/subskrypcje/grupyZasobów/Odczyt | Wyliczanie wszystkich grup zasobów w subskrypcji |
| Microsoft.Storage/storageAccounts/Odczyt | Uzyskaj właściwości określonego konta magazynu |
| Microsoft.Storage/storageAccounts/listServiceSas/Action, Microsoft.Storage/storageAccounts/listAccountSas/Action, Microsoft.Storage/storageAccounts/listKeys/Action |
Pobieranie sygnatur dostępu współdzielonego (SAS), umożliwiających bezpieczny dostęp do konta magazynu i zapisywanie w koncie magazynu |
| Microsoft.Compute/virtualMachines/Read, Microsoft.Compute/virtualMachines/Write |
Zaloguj się do maszyny wirtualnej, przechwyć pakiety i przekaż je na konto magazynowe. |
| Microsoft.Compute/virtualMachines/extensions/Odczyt, Microsoft.Compute/virtualMachines/extensions/Zapis |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
| Microsoft.Compute/virtualMachineScaleSets/Read, Microsoft.Compute/virtualMachineScaleSets/Write |
Uzyskiwanie dostępu do zestawów skalowania maszyn wirtualnych, przechwytywanie pakietów i przekazywanie ich do konta magazynu |
| Microsoft.Compute/virtualMachineScaleSets/extensions/Read, Microsoft.Compute/virtualMachineScaleSets/extensions/Write |
Sprawdź, czy rozszerzenie usługi Network Watcher jest obecne, i zainstaluj je w razie potrzeby |
| Microsoft.Insights/alertRules/* | Konfigurowanie alertów dotyczących metryk |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletów pomocy technicznej z usługi Network Watcher |