Usługa Network Watcher — często zadawane pytania

Usługa Network Watcher udostępnia zestaw narzędzi do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów IaaS (infrastruktura jako usługa), które obejmują maszyny wirtualne, sieci wirtualne, bramy aplikacji, moduły równoważenia obciążenia i inne zasoby w sieci wirtualnej platformy Azure. Nie jest to rozwiązanie do monitorowania infrastruktury PaaS (platforma jako usługa) ani uzyskiwania analizy internetowej/mobilnej.

Usługa Network Watcher udostępnia trzy główne zestawy możliwości:

• Monitorowanie
  • Widok topologii przedstawia zasoby w sieci wirtualnej i relacje między nimi.
  • Monitor połączeń umożliwia monitorowanie łączności i opóźnień między punktami końcowymi wewnątrz i na zewnątrz platformy Azure.
• Narzędzia diagnostyczne sieci
  • Weryfikacja przepływu adresów IP umożliwia wykrywanie problemów z filtrowaniem ruchu na poziomie maszyny wirtualnej.
  • Diagnostyka sieciowej grupy zabezpieczeń umożliwia wykrywanie problemów z filtrowaniem ruchu na poziomie maszyny wirtualnej, zestawu skalowania maszyn wirtualnych lub bramy aplikacji.
  • Następny przeskok pomaga zweryfikować trasy ruchu i wykryć problemy z routingiem.
  • Rozwiązywanie problemów z połączeniem umożliwia jednorazowe sprawdzanie łączności i opóźnień między maszyną wirtualną a hostem usługi Bastion, bramą aplikacji lub inną maszyną wirtualną.
  • Przechwytywanie pakietów umożliwia przechwytywanie ruchu maszyny wirtualnej.
  • Rozwiązywanie problemów z siecią VPN uruchamia wiele testów diagnostycznych bram sieci VPN i połączeń w celu ułatwienia debugowania problemów.
• Ruch
  • Dzienniki przepływu sieci wirtualnej i dzienniki przepływu sieciowej grupy zabezpieczeń umożliwiają rejestrowanie ruchu sieciowego przechodzącego przez sieci wirtualne i sieciowe grupy zabezpieczeń.
  • Analiza ruchu przetwarza dane dziennika przepływu sieciowej grupy zabezpieczeń, umożliwiając wizualizowanie, wykonywanie zapytań, analizowanie i zrozumienie ruchu sieciowego.

Aby uzyskać bardziej szczegółowe informacje, zobacz Omówienie usługi Network Watcher.

Zobacz Cennik usługi Network Watcher, aby uzyskać szczegółowe informacje o różnych składnikach usługi Network Watcher.

Zobacz Regiony usługi Network Watcher, aby dowiedzieć się więcej o regionach, które obsługują usługę Network Watcher.

Zobacz Uprawnienia RBAC platformy Azure wymagane do korzystania z usługi Network Watcher , aby uzyskać szczegółową listę wymaganych uprawnień dla każdej funkcji usługi Network Watcher.

Usługa Network Watcher jest automatycznie włączona dla każdej subskrypcji. Należy ręcznie włączyć usługę Network Watcher, jeśli zrezygnowano z automatycznego włączania usługi Network Watcher. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.

Zasób nadrzędny usługi Network Watcher jest wdrażany z unikatowym wystąpieniem w każdym regionie. Domyślny format nazewnictwa: NetworkWatcher_RegionName. Przykład: NetworkWatcher_centralus to zasób usługi Network Watcher dla regionu "Środkowe stany USA". Nazwę wystąpienia usługi Network Watcher można dostosować przy użyciu programu PowerShell lub interfejsu API REST.

Usługa Network Watcher musi być włączona tylko raz na region dla subskrypcji, aby jej funkcje działały. Usługa Network Watcher jest włączona w regionie przez utworzenie wystąpienia usługi Network Watcher w tym regionie.

Zasób usługi Network Watcher reprezentuje usługę zaplecza dla usługi Network Watcher, która jest w pełni zarządzana przez platformę Azure. Można jednak utworzyć lub usunąć zasób usługi Network Watcher, aby włączyć lub wyłączyć go w określonym regionie. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie usługi Azure Network Watcher.

Nie, przenoszenie zasobu usługi Network Watcher ani żadnych zasobów podrzędnych w różnych regionach nie jest obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa operacji przenoszenia dla zasobów sieciowych.

Tak, przenoszenie zasobu usługi Network Watcher między grupami zasobów jest obsługiwane. Aby uzyskać więcej informacji, zobacz Obsługa operacji przenoszenia dla zasobów sieciowych.

NetworkWatcherRG to grupa zasobów, która jest automatycznie tworzona dla zasobów usługi Network Watcher. Na przykład wystąpienia regionalne usługi Network Watcher i zasoby dziennika przepływu sieciowej grupy zabezpieczeń są tworzone w grupie zasobów NetworkWatcherRG . Nazwę grupy zasobów usługi Network Watcher można dostosować przy użyciu programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST.

Usługa Azure Network Watcher nie przechowuje danych klientów, z wyjątkiem monitora połączeń. Monitor połączeń przechowuje dane klientów, które są automatycznie przechowywane przez usługę Network Watcher w jednym regionie w celu spełnienia wymagań dotyczących przechowywania danych w regionie.

Usługa Network Watcher ma następujące limity:

Tak, usługa Network Watcher jest domyślnie odporna na strefy.

Żadna konfiguracja nie jest konieczna do włączenia odporności strefy. Odporność strefy dla zasobów usługi Network Watcher jest domyślnie dostępna i zarządzana przez samą usługę.

Agent usługi Network Watcher jest wymagany dla dowolnej funkcji usługi Network Watcher, która generuje lub przechwytuje ruch z maszyny wirtualnej.

Funkcje Monitor połączeń, Przechwytywanie pakietów i Rozwiązywanie problemów z połączeniem (test łączności) wymagają obecności rozszerzenia usługi Network Watcher.

Najnowszą wersją rozszerzenia usługi Network Watcher jest 1.4.3783.1. Aby uzyskać więcej informacji, zobacz Aktualizowanie rozszerzenia usługi Azure Network Watcher do najnowszej wersji.

• Linux: agent usługi Network Watcher używa dostępnych portów rozpoczynających się od port 50000 momentu, gdy osiągnie wartość port 65535.
• Windows: agent usługi Network Watcher używa portów, które system operacyjny odpowiada podczas wykonywania zapytania o dostępne porty.

Agent usługi Network Watcher wymaga wychodzącej łączności TCP z usługą 169.254.169.254port 80 over and 168.63.129.16 over port 8037. Agent używa tych adresów IP do komunikowania się z platformą Azure.

Nie, monitor połączeń nie obsługuje klasycznych maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Migrowanie zasobów IaaS z modelu klasycznego do usługi Azure Resource Manager.

Topologię można dekorować z platformy spoza platformy Azure do platformy Azure tylko wtedy, gdy docelowy zasób platformy Azure i zasób monitora połączeń znajdują się w tym samym regionie.

Tej samej maszyny wirtualnej platformy Azure nie można używać z różnymi konfiguracjami w tym samym monitorze połączeń. Na przykład używanie tej samej maszyny wirtualnej z filtrem i bez filtru w tym samym monitorze połączeń nie jest obsługiwane.

Problemy wyświetlane na pulpicie nawigacyjnym monitora połączeń znajdują się podczas odnajdywania topologii lub eksploracji przeskoku. Mogą wystąpić przypadki, w których próg ustawiony dla % utraty lub RTT jest osiągany, ale nie znaleziono żadnych problemów na przeskokach.

W monitorze połączeń (klasycznym) nie ma opcji wyboru protokołu. Testy w monitorze połączeń (klasycznym) używają tylko protokołu TCP i dlatego podczas migracji tworzymy konfigurację PROTOKOŁU TCP w testach w nowym monitorze połączeń.

Obecnie istnieje granica regionalna, gdy punkt końcowy korzysta z agentów usługi Azure Monitor i Arc ze skojarzonym obszarem roboczym usługi Log Analytics. W związku z tym ograniczeniem skojarzony obszar roboczy usługi Log Analytics musi znajdować się w tym samym regionie co punkt końcowy usługi Arc. Dane pozyskane w poszczególnych obszarach roboczych można połączyć w jednym widoku, zobacz Wykonywanie zapytań o dane w obszarach roboczych, aplikacjach i zasobach usługi Log Analytics w usłudze Azure Monitor.

Dzienniki przepływu umożliwiają rejestrowanie 5-krotkowego przepływu informacji o ruchu ip platformy Azure, który przechodzi przez sieciową grupę zabezpieczeń lub sieć wirtualną platformy Azure. Nieprzetworzone dzienniki przepływu są zapisywane na koncie usługi Azure Storage. W tym miejscu możesz dalej przetwarzać, analizować, wykonywać zapytania lub eksportować je zgodnie z potrzebami.

Dane dziennika przepływu są zbierane poza ścieżką ruchu sieciowego, więc nie mają wpływu na przepływność ani opóźnienie sieci. Dzienniki przepływu można tworzyć lub usuwać bez ryzyka wpływu na wydajność sieci.

Dzienniki przepływu sieciowej grupy zabezpieczeń rejestrują ruch przepływujący przez sieciową grupę zabezpieczeń. Z drugiej strony diagnostyka sieciowej grupy zabezpieczeń zwraca wszystkie sieciowe grupy zabezpieczeń, które są przesyłane przez ruch i reguły każdej sieciowej grupy zabezpieczeń, które są stosowane do tego ruchu. Użyj diagnostyki sieciowej grupy zabezpieczeń, aby sprawdzić, czy reguły sieciowej grupy zabezpieczeń są stosowane zgodnie z oczekiwaniami.

Nie, dzienniki przepływu sieciowej grupy zabezpieczeń nie obsługują protokołów ESP i AH.

Nie, dzienniki przepływu sieciowej grupy zabezpieczeń i dzienniki przepływu sieci wirtualnej nie obsługują protokołu ICMP.

Tak. Skojarzony zasób dziennika przepływu również zostanie usunięty. Dane dziennika przepływu są przechowywane na koncie magazynu dla okresu przechowywania skonfigurowanego w dzienniku przepływu.

Tak, ale musisz usunąć skojarzony zasób dziennika przepływu. Po przeprowadzeniu migracji sieciowej grupy zabezpieczeń można ponownie utworzyć dzienniki przepływu, aby włączyć rejestrowanie przepływu.

Tak, możesz użyć konta magazynu z innej subskrypcji, o ile ta subskrypcja znajduje się w tym samym regionie sieciowej grupy zabezpieczeń i skojarzona z tą samą dzierżawą firmy Microsoft Entra sieciowej grupy zabezpieczeń lub subskrypcji sieci wirtualnej.

Aby użyć konta magazynu za zaporą, musisz zezwolić zaufanym usługom platformy Azure na dostęp do konta magazynu:

1. Przejdź do konta magazynu, wprowadzając nazwę konta magazynu w polu wyszukiwania w górnej części portalu.
2. W obszarze Zabezpieczenia i sieć wybierz pozycję Sieć, a następnie wybierz pozycję Zapory i sieci wirtualne.
3. W obszarze Dostęp do sieci publicznej wybierz pozycję Włączone z wybranych sieci wirtualnych i adresów IP. Następnie w obszarze Wyjątki zaznacz pole wyboru obok pozycji Zezwalaj usługom platformy Azure na liście zaufanych usług w celu uzyskania dostępu do tego konta magazynu.
4. Włącz dzienniki przepływu, tworząc dziennik przepływu dla zasobu docelowego przy użyciu konta magazynu. Aby uzyskać więcej informacji, zobacz Tworzenie dziennika przepływu.

Dzienniki magazynu można sprawdzić po kilku minutach. Powinien zostać wyświetlony zaktualizowany znacznik czasu lub utworzony nowy plik JSON.

Obecnie konto magazynu obsługuje 100 reguł, a każda reguła może pomieścić 10 prefiksów obiektów blob. Jeśli osiągniesz limit, możesz ustawić zasady przechowywania na 0 po włączeniu nowych dzienników przepływu sieci wirtualnej, a następnie ręcznie dodać regułę przechowywania dla subskrypcji.

Aby utworzyć regułę dotyczącą subskrypcji zasad przechowywania, wykonaj następujące kroki:

1. Przejdź do konta magazynu, wprowadzając nazwę konta magazynu w polu wyszukiwania w górnej części portalu.
2. W obszarze Zarządzanie danymi wybierz pozycję Zarządzanie cyklem życia.
3. Wybierz pozycję + Dodaj regułę.
4. W sekcji Szczegóły wybierz następujące ustawienia: Zakres reguły:Ograniczanie obiektów blob za pomocą filtrów, Typ obiektu blob:Blokowe obiekty blob i Podtyp obiektów blob:Obiekty blob podstawowe.
5. W sekcji Podstawowe bloby skonfiguruj ustawienia retencji.
6. W sekcji Zestaw filtrów sformatuj prefiks obiektu blob w następujący sposób: "insights-logs-flowlogflowevent/flowLogResourceID=/<yourSubscriptionId>_NETWORKWATCHERRG"
7. Wybierz Dodaj.

Reguła z krótszym okresem przechowywania ma pierwszeństwo.

Usługa Network Watcher ma wbudowany mechanizm rezerwowy używany podczas nawiązywania połączenia z kontem magazynu za zaporą (włączona zapora). Próbuje nawiązać połączenie z kontem magazynu przy użyciu klucza, a jeśli to się nie powiedzie, przełączy się na token. W takim przypadku w dzienniku aktywności konta magazynu jest rejestrowany błąd 403.

Tak, usługa Network Watcher obsługuje wysyłanie danych dzienników przepływu do konta magazynu włączonego z prywatnym punktem końcowym.

Dzienniki przepływu są zgodne z punktami końcowymi usługi bez konieczności dodatkowej konfiguracji. Aby uzyskać więcej informacji, zobacz Włączanie punktu końcowego usługi.

Dzienniki przepływu w wersji 2 przedstawiają koncepcję stanu przepływu i przechowuje informacje o bajtach i pakietach przesyłanych. Aby uzyskać więcej informacji, zobacz Format dziennika przepływu sieciowej grupy zabezpieczeń.

Nie, blokada tylko do odczytu w sieciowej grupie zabezpieczeń uniemożliwia utworzenie odpowiedniego dziennika przepływu sieciowej grupy zabezpieczeń.

Tak, blokada nie można usunąć w sieciowej grupie zabezpieczeń nie uniemożliwia tworzenia ani modyfikowania odpowiedniego dziennika przepływu sieciowej grupy zabezpieczeń.

Tak, możesz zautomatyzować dzienniki przepływu sieciowej grupy zabezpieczeń za pomocą szablonów usługi Azure Resource Manager (szablony usługi ARM). Aby uzyskać więcej informacji, zobacz Konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager (ARM).

Tak, sieci wirtualne i sieciowe grupy zabezpieczeń mogą znajdować się w różnych regionach niż region obszaru roboczego usługi Log Analytics.

Tak.

Na liście rozwijanej wyboru zasobów na pulpicie nawigacyjnym analizy ruchu należy wybrać grupę zasobów sieci wirtualnej , a nie grupę zasobów maszyny wirtualnej lub sieciowej grupy zabezpieczeń.

Analiza ruchu przeprowadza skanowanie odnajdywania zasobów co 6 godzin, aby zidentyfikować nowe maszyny wirtualne, karty sieciowe, sieci wirtualne i podsieci. Gdy nowa maszyna wirtualna lub karta sieciowa zostanie utworzona po ostatnim cyklu odnajdywania, a dane przepływu są zbierane przed następnym odnajdywaniem, analiza ruchu nie może jeszcze skojarzyć ruchu ze znanym zasobem. W związku z tym te zasoby są tymczasowo oznaczone jako nieznane w widoku analizy.

Tak, możesz wyłączyć publiczny dostęp do zasobu punktu końcowego zbierania danych (DCE), aby zablokować do niego publiczny ruch przychodzący. Pozyskiwanie nadal działa bez kojarzenia zasobu DCE z zakresem usługi Azure Monitor Private Link.

Tak. Jeśli wybierzesz istniejący obszar roboczy, upewnij się, że został on zmigrowany do nowego języka zapytań. Jeśli nie chcesz uaktualnić obszaru roboczego, musisz utworzyć nowy. Aby uzyskać więcej informacji na temat języka zapytań Kusto (KQL), zobacz Zapytywania dzienników w usłudze Azure Monitor.

Tak, twoje konto usługi Azure Storage może znajdować się w jednej subskrypcji, a obszar roboczy usługi Log Analytics może znajdować się w innej subskrypcji.

Tak. Dzienniki przepływu można skonfigurować do wysłania do konta magazynu znajdującego się w innej subskrypcji, pod warunkiem, że masz odpowiednie uprawnienia i że konto magazynu znajduje się w tym samym regionie co sieciowa grupa zabezpieczeń (dzienniki przepływu sieciowej grupy zabezpieczeń) lub sieć wirtualna (dzienniki przepływu sieci wirtualnej). Docelowe konto magazynu musi współdzielić tego samego dzierżawcę Microsoft Entra z grupą zabezpieczeń sieciowych lub siecią wirtualną.

Nie. Wszystkie zasoby muszą znajdować się w tej samej dzierżawie, w tym w sieciowych grupach zabezpieczeń (dzienniki przepływu sieciowej grupy zabezpieczeń), sieciach wirtualnych (dziennikach przepływu sieci wirtualnej), dziennikach przepływów, kontach magazynu i obszarach roboczych usługi Log Analytics (jeśli włączono analizę ruchu).

Tak.

Skoroszyty usługi Traffic Analytics są obsługiwane przez zapytania usługi Log Analytics. Jeśli zapytanie przekroczy limity dla analizy dzienników logów, skoroszyt może przedstawiać błędy z powodu niskich zasobów pamięci. Aby zwiększyć wydajność i zmniejszyć liczbę błędów pamięci, użytkownicy mogą używać dedykowanych klastrów usługi Log Analytics.

Nie. Jeśli usuniesz konto magazynu używane na potrzeby dzienników przepływu, dane przechowywane w obszarze roboczym Log Analytics nie zostaną naruszone. Nadal można wyświetlać dane historyczne w obszarze roboczym Log Analytics (niektóre metryki będą dotknięte), ale analiza ruchu przestanie przetwarzać nowe dzienniki przepływu, dopóki nie zaktualizujesz dzienników, aby wykorzystywały inne konto magazynowe.

Wybierz obsługiwany region. Jeśli wybierzesz nieobsługiwany region, zostanie wyświetlony błąd "Nie znaleziono". Aby uzyskać więcej informacji, zobacz Obsługiwane regiony analizy ruchu.

Microsoft.Insights dostawca musi być zarejestrowany, aby rejestrowanie przepływu działało prawidłowo. Jeśli nie masz pewności, czy Microsoft.Insights dostawca jest zarejestrowany dla twojej subskrypcji, zobacz Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń instrukcje dotyczące rejestrowania go.

Wyświetlenie raportów po raz pierwszy na pulpicie nawigacyjnym może potrwać do 30 minut. Rozwiązanie musi najpierw agregować wystarczającą ilość danych, aby uzyskać istotne szczegółowe informacje, a następnie generuje raporty.

Wypróbuj następujące opcje:

• Zmień interwał czasu na górnym pasku.
• Wybierz inny obszar roboczy usługi Log Analytics na górnym pasku.
• Spróbuj uzyskać dostęp do analizy ruchu po upływie 30 minut, jeśli została ona niedawno włączona.

Ten komunikat może zostać wyświetlony z następujących powodów:

• Analiza ruchu została niedawno włączona i może nie mieć jeszcze zagregowanych wystarczającej ilości danych, aby uzyskać znaczące szczegółowe informacje.
• Używasz bezpłatnej wersji obszaru roboczego usługi Log Analytics i przekroczono limity przydziału. Może być konieczne użycie obszaru roboczego z większą pojemnością.

Wypróbuj sugerowane rozwiązania poprzedniego pytania. Jeśli problemy będą się powtarzać, zgłoś obawy w usłudze Microsoft Q&A.

Widzisz informacje o zasobach na pulpicie nawigacyjnym; jednak nie ma żadnych statystyk związanych z przepływem. Dane mogą nie być obecne z powodu braku przepływów komunikacji między zasobami. Poczekaj 60 minut i ponownie sprawdź stan. Jeśli problem będzie się powtarzać i masz pewność, że przepływy komunikacji między zasobami istnieją, zgłoś obawy na Microsoft Q&A.

Analiza ruchu jest mierzona. Pomiar jest oparty na przetwarzaniu nieprzetworzonych danych dziennika przepływu przez usługę. Aby uzyskać więcej informacji, zobacz Cennik usługi Network Watcher.
Rozszerzone dzienniki pozyskane w obszarze roboczym usługi Log Analytics można przechowywać bez opłat przez maksymalnie pierwsze 31 dni (lub 90 dni, jeśli usługa Microsoft Sentinel jest włączona w obszarze roboczym). Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.

Domyślny interwał przetwarzania analizy ruchu wynosi 60 minut, jednak można wybrać przyspieszone przetwarzanie w odstępach 10 minut. Aby uzyskać więcej informacji, zobacz Agregacja danych w analizie ruchu.

Analiza ruchu tworzy i zarządza zasobami reguł zbierania danych (DCR) i punktami końcowymi zbierania danych (DCE) w tej samej grupie zasobów co obszar roboczy, a wszystkie te zasoby mają prefiks NWTA. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz Agregacja danych w analizie ruchu. Aby uzyskać więcej informacji, zobacz Reguły zbierania danych w usłudze Azure Monitor i punktach końcowych zbierania danych w usłudze Azure Monitor.

Nie zaleca się stosowania blokad do zasobów DCR i DCE utworzonych przez analizę ruchu, ponieważ te zasoby są zarządzane przez usługę. Zablokowane zasoby nie są czyszczone po usunięciu powiązanych dzienników przepływu. Jeśli wykonasz jakąkolwiek operację na tych zasobach, analiza ruchu może nie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz Agregacja danych w analizie ruchu.

Analiza ruchu opiera się na wewnętrznych systemach analizy zagrożeń firmy Microsoft, aby uznać adres IP za złośliwy. Systemy te korzystają z różnych źródeł telemetrii, takich jak produkty i usługi firmy Microsoft, jednostka Microsoft Digital Crimes Unit (DCU), Centrum reagowania na zabezpieczenia firmy Microsoft (MSRC) oraz zewnętrzne źródła danych i tworzenie analiz na ich podstawie. Niektóre z tych danych są wewnętrzne firmy Microsoft. Jeśli znany adres IP jest oznaczony jako złośliwy, utwórz zgłoszenie do pomocy technicznej, aby uzyskać szczegóły.

Analiza ruchu nie ma wbudowanej obsługi alertów. Jednak ponieważ dane analizy ruchu są przechowywane w usłudze Log Analytics, można pisać zapytania niestandardowe i ustawiać na nich alerty. Wykonaj te kroki:

• Link usługi Log Analytics można użyć w analizie ruchu.
• Użyj schematu analizy ruchu , aby napisać zapytania.
• Wybierz pozycję Nowa reguła alertu , aby utworzyć alert.
• Zobacz Tworzenie nowej reguły alertu w celu utworzenia alertu.

Nie, nie jest on obecnie obsługiwany. Jeśli obszar roboczy usługi Log Analytics zostanie wdrożony za obwodem zabezpieczeń sieci, analiza ruchu nie będzie mogła pozyskiwać z niego danych.

Tak. Rozwiązywanie problemów z połączeniem i diagnostyka sieciowej grupy zabezpieczeń nie obsługuje wdrożeń usługi Application Gateway prywatnych. Aby uzyskać więcej informacji, zobacz Wdrażanie usługi Private Application Gateway.